員工的網絡安全意識是個坎兒，企業一定要重視起來！

前言

在企業內部，人為失誤和缺少體系化的網絡安全意識是企業數據泄露和安全威脅的首要原因。現階段，網絡安全意識雖然在培訓方面取得了很大進展，但仍有很多企業并沒有把員工網絡安全培訓放在首要位置，因此，強調網絡安全意識的重要性并有效地做到這一點，還有一些工作要做。

1.獲得高層對安全意識培訓的授權

Wombat Security的Egan表示，安全專家們經常會被一個正在進行項目的細節搞得焦頭爛額，而無法關注全局。例如，安全專家會告訴CEO，目前仍有15%的員工會點擊網絡釣魚軟件，而且無論安全專家如何努力，員工的網絡安全意識不提高，企業所面臨的網絡安全風險仍不可能為零；重要的是這些數字對CEO們來說并沒有任何意義。不如這樣說：最好告訴他們，公司可以通過安全意識培訓，降低安全風險和安全修復成本。這才是高層最想要獲得的結果。

2.加強對特殊崗位人員的安全培訓

CrowdStrike的服務副總裁湯姆?埃瑟里奇(Tom Etheridge)表示，公司應該將安全意識培訓作為一項檢查清單。從執行董事會和高管到財務團隊和采購部門的高層領導，都需要參加公司組織的專業的網絡威脅培訓。

這些人崗位特殊，具有訪問許多個人電腦和公司服務器信息的特殊權限，因此這些人在網絡犯罪分子眼里是具有高價值的目標。

安全專家需給出安全策略，這樣網絡犯罪分子眼中的目標就可以學習如何使用雙因素認證和加密之類的工具，以及學習在出差時保護物理資產（電腦等）所需采取的適當步驟。

3.提升信息安全意識，從領導層開始

一般來講，當管理層開始重視網絡安全時，員工也會被帶動，對企業信息安全政策和準則認真對待，有意識地避免詐騙和數據泄露的威脅。

安全專家更為關注那些為安全意識培訓提供資金以及支持的人員。也就是說公司是否對員工提供安全意識培訓的決定權多數掌握在其直屬領導手中。因此，只要得到領導們的認可，那么員工的安全意識培訓就可以正常進行，也就能夠有效地提升團隊的網絡安全意識，

4.公司應尋找天生的領導者

Wombat Security的Egan表示，許多公司沒有考慮為安全意識項目建立一個特別部門。安全專家可以尋找天生的“領導者”——他們可能是技術人員，也可能不是技術人員，但在公司聚會上是派對的主角，或者總是在全公司的會議上發言。讓他們成為公司的擁護者，他們會說服其他人，安全意識對于公司的網絡安全持續建設是非常重要的。

5.安全意識將作為技能貫穿員工整個職業生涯

當然，安全意識培訓會讓公司更安全。但是，安全專家和人力資源部的工作人員并沒有提到其他廣泛的好處。例如，公司對員工進行安全意識培訓，可以間接地幫助其父母避免一些常規的網絡安全損害，將損失降到最低。這些上了年紀卻不懂電腦的老人，可以在充滿網絡安全威脅的今天，最大化享受先進互聯網技術帶來的樂趣。

我們可能沒有意識到，安全意識已經不僅僅是一個商業問題，而是一個現代生活技能問題。人力資源部門在招聘新員工時需要強調培訓方面的內容以及重要性。這將是每一個員工在他們職業生涯中可以隨身攜帶的技能。

6.企業舉行攻防演練，提升防御能力

很多公司會給員工發送一些網絡釣魚郵件進行內部測試，看看會發生什么。但是在進行任何測試之前，他們要考慮使用攻擊的類型、如何對被釣魚的用戶進行分組等考量。

CrowdStrike公司就經常與企業合作進行測試，在特定時間嘗試網絡釣魚，以觀察員工的表現。他說，基于廣泛的網絡釣魚可能是為了有助于合規目的或評估企業采取網絡安全策略的有效性，但這并不能測試出企業真實的防御能力。因此，公司如果有條件，可以進行紅藍對抗比賽，有效提升技術人員的攻防水平，最終向高管說明安全團隊是如何能更有效地應對安全問題。

企業的網絡安全與否，員工的網絡安全意識是一道坎兒，只有過了這一關，才能打牢企業網絡安全的地基，有效降低數據泄露等網絡安全風險。

本文轉載自今日頭條號“e安教育”