關于選購網絡安全意識服務的幾大原則

（文章來源：首席安全官）

購買安全意識培訓方案的第一步是獲得公司管理層的批準。從本質上講，您需要管理層相信和理解，強大的安全意識方案是不斷發(fā)展的業(yè)務所必不可少。無論機構規(guī)模的大小，如果您無法持續(xù)向員工傳遞網絡安全的最佳做法，就很容易淪為攻擊的受害者。

比例有多高呢？ 超過90％的安全漏洞是由公司員工的人為錯誤引起的。好好想想這個情況吧。你的目標是說服公司管理層，投入進行安全意識培訓，以保護企業(yè)免受網絡威脅的影響，并允許員工在日常進行安全決策時使用批判性思維。

如果您選擇安全意識培訓的第一條標準是價格最低，您最終將采用員工討厭的方案。想象一下，如果購買一棟房子，您的目標是尋找最便宜的房子，而不考慮房屋本身的質量。您最終會為花錢購買，但卻搖搖欲墜的房子而后悔不已。對于這棟可能倒塌的房子，未來您將需要大量的工作進行維護、管理和投入。安全意識培訓方案對公司和員工都是一項投資，因此請不要將培訓過程視為一種商品。

多數安全意識方案都按每位員工的全年費用進行計價。因此，在制定預算時，您應該有個大致的規(guī)劃，比如每位員工每年20美元（150元人民幣）。根據機構的不同需求，這個數字會有一些多少波動，機構更多員工參與時就可能獲得折扣。預算可能來自IT部門、人事部門、培訓預算等。您甚至可以在不同部門之間共擔預算，因為安全意識方案涉及保護整個機構。

在開展模擬網絡釣魚時會遇到一個方面是員工的情商。重點是中招模擬網絡釣魚時，員工的感覺。大多數供應商會忽略此步驟，員工會對為什么這事發(fā)生在自己身上感到不信任、憤怒和困惑。因此，您需要確保自己選擇的安全意識合作伙伴，重點關注網絡釣魚測試前后的員工體驗。這將使您可以專注于培訓網絡釣魚防御能力較弱的員工，并在整個教育活動中實施積極的信息傳遞。

在防御網絡釣魚時，您希望所有員工都在同一個團隊中。不要過分考慮網絡釣魚測試的技術方面。重點在于讓機構的每個人都了解要尋找什么，如何尋找，以及向哪里報告攻擊。您應該能夠要求供應商供明確指導，以便成功啟動和維持的網絡釣魚培訓計劃。

您會如何處理收集的數據？您的培訓方案將收集有關員工的大量數據。在培訓方案中，員工在全年將獲得培訓分數、培訓完成證書、持續(xù)時間、下載的內容、出勤信息和其他互動內容。您將需要一個簡單的儀表板，以一目了然地展示方案的運行情況，深入了解公司需要在哪里進行提升。您還需要直接從平臺中提供審核員和其他合規(guī)數據，以展示培訓方案的結果。您將只需要查看和下載報告，就可一目了然地展示安全意識方案的狀況。

了解入職計劃以及啟動和運行安全意識計劃需要多長時間。通常情況，您希望選擇一家合作伙伴，可以使你和員工的生活變得簡單。讓員工能夠快速、輕松地獲得培訓內容應該是方案的目標。制定啟動戰(zhàn)略和計劃是成功實施安全意識培訓方案的關鍵。要確保所有員工的都能完全了解為什么安全是機構的優(yōu)先事項。

在這時候，您需要宣布企業(yè)已經投資進行安全意識培訓，幫助員工學習如何免受網絡威脅。同樣，培訓信息的重點需要主要圍繞為何幫助員工了解更多網絡安全威脅，以及如何防御這些威脅。如果你宣布要開展強制性培訓，并將其作為合規(guī)性活動，你就不會得到期望從員工獲得的響應和參與。

每個供應商都應提供支持，以確保安全意識方案獲得成功。我們在這里并不是僅僅指的是提供功能或故障單的支持，還包括隨著培訓方案的推進，及時提供指導和咨詢。您可能出于某種考慮選擇了一家安全意識合作伙伴，但團隊在如何交付和管理強大的安全意識方案上，需要獲得基于最佳實踐的指導。供應商有責任和洞察來監(jiān)督各種行業(yè)的不同安全意識方案。你需要依靠供應商提供幫助，以確保員工從安全意識培訓的投資中獲得最大收益。