A-A+

企业员工安全意识培训正蓬勃发展

2014年11月12日 大杂烩 评论 3 条 阅读 993 次

企业员工安全意识培训一直被认为是合规性的可选活动,但并不一定是保护企业资产的有效策略。

然而,在充满质量安全意识培训产品的竞争激烈的市场,一位专家称,企业安全管理人员应该重新思考他们对用户意识培训的看法。

研究公司Gartner这个月发布了第一个安全意识培训供应商魔力象限,该报告分析了来自19个最大安全意识培训供应商的产品。重量级供应商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名,还有令人惊讶的大批初创培训机构。总而言之,该Gartner报告中的供应商的总体年收入约为6.5亿美元。

该报告作者同时也是Gartner研究副总裁Andrew Walls表示,在这个Gartner研究中不能看到的是,成千上万的利基培训供应商,这些供应商在适当的情况下可以像大型供应商一样提供有用的产品。例如,如果一家小型培训供应商旨在美国辛辛那提地区运营,并且其客户好评如潮,辛辛那提的企业应该考虑这家本地供应商是否满足其企业的需求。

Walls表示,“他们没有在俄亥俄州之外提供培训服务其实并不重要。”

他指出,世界各地有很多这样的供应商,他们仅在一个地区提供培训服务,例如北京或者伦敦,或者有的供应商近提供特定语言的安全意识培训,这在印度这样的国家就很普遍。当同时考虑这些大型和小型供应商时,其结果是,这个培训市场的年收入已经超过10亿美元,并且根据有限的市场数据,这个市场每年大约增长13%。

安全意识培训拐角

Walls承认,尽管长期以来很多企业认为员工意识培训根本没有作用,但安全意识培训市场正在蓬勃发展。

他表示,这种态度在很大程度上是源于企业过去的错误,企业通常利用内部安全团队来制定安全培训计划。虽然来自内部安全专家的意见对于高质量培训很重要,但Walls称,这种DIY培训课程往往没有包含关键因素:教学设计人员和其他培训专家。

“有效的教育并不是简单的事情,这需要非常了解你的受众,以及你如何衡量教学成效,”Walls表示,“在这个行业中,在安全教育的历史完全忽略了这些,它并没有担心效果;并没有考虑这是否有效。”

“从而导致大家普遍认为,安全培训并不值得花时间和金钱,”Walls继续说道,“这是责备工具的经典综合征,错在于你,而不是受众。”

安全意识培训:不只是为了合规

尽管如此,现在越来越多的企业正在转向安全培训来解决各种安全和业务问题。

原因之一在于,在企业环境中,携带自己设备到工作场所(BYOD)趋势的日益流行让设备可以绕过或者无视很多企业用于保护台式机和笔记本电脑的经过检验而可靠的技术控制。这样一来,攻击者和敏感企业数据之间的唯一障碍可能是企业对使用BYOD手机的安全最佳做法的知识。

Walls认为,另一个因素是影响着各种规模和各行各业的企业的数据泄露事故浪潮。面对数据泄露事故问题,企业可以部署尽可能多的技术,但如果员工仍然会打开钓鱼邮件,培训就成为一种必然。

Walls表示,企业还关注数据泄露事故相关的“声誉问题”。例如,在零售商Target和Home Depot公司遭遇大规模数据泄露事故后,这两家公司饱受批评,有消息称这两家公司的安全程序都存在严重的人员和技术失误。

在看到这样的数据泄露事故时,企业通常担心面对来自客户和股东的类似批评—关于员工没有受到适当的培训。

Walls表示:“企业想要能够证明他们已经教授其员工所有这些内容,以及员工具有相关技能。”

选择安全意识培训供应商

面对市场中数以千计的安全意识培训供应商,以及进入Gartner魔力象限的近20家供应商,企业可能想知道哪家最好。尽管Gartner魔力象限将某些供应商标注为“领导者”或者“远见者”,Walls强调,对于培训,并没有“最佳供应商”,只有满足具体要求的合适的供应商。

Walls表示,企业必须认识到,从性质来看,安全培训应该对目标受众进行定制化。客户服务员工可能适合一年两次的基于计算机的培训模式,而首席执行官和其他高管则更适合通过其他培训方法获取知识。

考虑到这一点,Walls建议,企业应该看看哪些供应商提供特定主题的培训(可以是针对特定行业,或者特定监管要求,例如HIPAA或者反钓鱼),然后苹果可用的培训模式来确定是否满足企业员工培训需求。

“这可能是具有高互动性的过程,供应商可能会送他们一本书,但企业必须要自己进行分析,”Walls指出,很多他知道的企业选择多个供应商来满足不同的需求。“如果你是在印度尼西亚和新泽西州运营的跨国企业,你不能给每个人都安排相同的培训。”

除了事前评估企业的需求,在选择培训供应商需要考虑的另一个重要因素是提供的评估服务。有些供应商可能提供简短培训视频,紧接着是一个测试来帮助企业遵守法律法规,但Walls强调这些方法并不能提高企业的安全态势。

企业应该确定培训供应商提供持续的评估服务。Walls表示,反钓鱼供应商(例如Wombat、PhishMe和PhishLine)在近年来颇为流行,不仅因为网络钓鱼攻击给企业构成巨大威胁,而且因为这些供应商客户真正证明钓鱼预防培训服务的有效性。

“他们会发送附有连接的邮件给你,如果你点击它,你就要继续回去参加辅导培训,”Walls表示,“持续的评估构建在员工实际操作的根本性质中。”

Walls预计,在未来几年我们会看到较大型培训供应商之间的大量整合。有些较大型安全供应商会考虑进行收购,以整合安全意识培训到更大的产品组合中,而PhishMe和Wombat等供应商已经与其他安全公司建立了合作伙伴关系。他补充说,反钓鱼供应商可能会受到影响,因为其产品的独特性被削弱。

Walls总结道,未来市场整合活动对于行业是利好消息,因为培训会被视为合法的必须具备的企业安全工具。

“如果你不让员工了解你的政策,你不要指望他们会遵循政策,”Walls表示,“企业应该将其视为基本要素,就像在台式机部署反恶意软件。”

标签: