关于选购网络安全意识服务的几大原则

（文章来源：首席安全官）

购买安全意识培训方案的第一步是获得公司管理层的批准。从本质上讲，您需要管理层相信和理解，强大的安全意识方案是不断发展的业务所必不可少。无论机构规模的大小，如果您无法持续向员工传递网络安全的最佳做法，就很容易沦为攻击的受害者。

比例有多高呢？ 超过90％的安全漏洞是由公司员工的人为错误引起的。好好想想这个情况吧。你的目标是说服公司管理层，投入进行安全意识培训，以保护企业免受网络威胁的影响，并允许员工在日常进行安全决策时使用批判性思维。

如果您选择安全意识培训的第一条标准是价格最低，您最终将采用员工讨厌的方案。想象一下，如果购买一栋房子，您的目标是寻找最便宜的房子，而不考虑房屋本身的质量。您最终会为花钱购买，但却摇摇欲坠的房子而后悔不已。对于这栋可能倒塌的房子，未来您将需要大量的工作进行维护、管理和投入。安全意识培训方案对公司和员工都是一项投资，因此请不要将培训过程视为一种商品。

多数安全意识方案都按每位员工的全年费用进行计价。因此，在制定预算时，您应该有个大致的规划，比如每位员工每年20美元（150元人民币）。根据机构的不同需求，这个数字会有一些多少波动，机构更多员工参与时就可能获得折扣。预算可能来自IT部门、人事部门、培训预算等。您甚至可以在不同部门之间共担预算，因为安全意识方案涉及保护整个机构。

在开展模拟网络钓鱼时会遇到一个方面是员工的情商。重点是中招模拟网络钓鱼时，员工的感觉。大多数供应商会忽略此步骤，员工会对为什么这事发生在自己身上感到不信任、愤怒和困惑。因此，您需要确保自己选择的安全意识合作伙伴，重点关注网络钓鱼测试前后的员工体验。这将使您可以专注于培训网络钓鱼防御能力较弱的员工，并在整个教育活动中实施积极的信息传递。

在防御网络钓鱼时，您希望所有员工都在同一个团队中。不要过分考虑网络钓鱼测试的技术方面。重点在于让机构的每个人都了解要寻找什么，如何寻找，以及向哪里报告攻击。您应该能够要求供应商供明确指导，以便成功启动和维持的网络钓鱼培训计划。

您会如何处理收集的数据？您的培训方案将收集有关员工的大量数据。在培训方案中，员工在全年将获得培训分数、培训完成证书、持续时间、下载的内容、出勤信息和其他互动内容。您将需要一个简单的仪表板，以一目了然地展示方案的运行情况，深入了解公司需要在哪里进行提升。您还需要直接从平台中提供审核员和其他合规数据，以展示培训方案的结果。您将只需要查看和下载报告，就可一目了然地展示安全意识方案的状况。

了解入职计划以及启动和运行安全意识计划需要多长时间。通常情况，您希望选择一家合作伙伴，可以使你和员工的生活变得简单。让员工能够快速、轻松地获得培训内容应该是方案的目标。制定启动战略和计划是成功实施安全意识培训方案的关键。要确保所有员工的都能完全了解为什么安全是机构的优先事项。

在这时候，您需要宣布企业已经投资进行安全意识培训，帮助员工学习如何免受网络威胁。同样，培训信息的重点需要主要围绕为何帮助员工了解更多网络安全威胁，以及如何防御这些威胁。如果你宣布要开展强制性培训，并将其作为合规性活动，你就不会得到期望从员工获得的响应和参与。

每个供应商都应提供支持，以确保安全意识方案获得成功。我们在这里并不是仅仅指的是提供功能或故障单的支持，还包括随着培训方案的推进，及时提供指导和咨询。您可能出于某种考虑选择了一家安全意识合作伙伴，但团队在如何交付和管理强大的安全意识方案上，需要获得基于最佳实践的指导。供应商有责任和洞察来监督各种行业的不同安全意识方案。你需要依靠供应商提供帮助，以确保员工从安全意识培训的投资中获得最大收益。

（责任编辑：fqj）