不要成为最薄弱的环节：培训您的员工

去年年初，国际数据公司（IDC）预测，2017年安全支出将达到81.70亿美元，比2016年增长8.2%。从财富50强企业到小型企业，随着企业继续寻求“银子弹”，这一增长受到了企业的推动。经济每个月都会生产数十家新的安全供应商，他们承诺解决我们的所有问题。然而，根据2017的一份报告，43%的用户仍然因为简单的社会工程攻击而沦陷814%的用户仍然使用弱密码或重申密码。

当人们向我提出有关这种趋势的问题时，我的建议总是一样的：我们都专注于错误的事情。如果我们看看过去五年安全模式的根本转变，我们不能忽视传统网络边界被消除的事实，而社交媒体的固有信任推动了我们的许多决策。保护不再有效，因此我们转向检测和响应。我们每个人的口袋里至少有一台电脑和五年前的桌面一样强大，而且它总是打开的；总是连接。

http://blog.stewart.com/stewart/wp-content/uploads/sites/11/2018/01/Genady-infographic.png

技术和保护是必要的，但我们必须将重点转移到最重要的事情上：最薄弱的环节。我们作为安全从业者的职责是专注于持续的用户教育和意识，但我们必须谨慎对待我们采取的方法。当您创建安全意识计划时，请考虑以下事项：

• 使之相关。 让它引起观众的共鸣。从工作或个人经验中举例说明为什么你的信息有意义或没有意义。
• 赞美和奖励。 使用正面强化。100 名点击网络钓鱼电子邮件的人中有 5 人报告“弹性率达到 95%”，而不是“失败率达到 5%”。
• 再次测试、训练和测试。 一致性很重要。使用培训练习结果调整您的课程。
• 及时培训。 立即培训是改变行为的最佳方式。一旦用户犯了错误，就立即纠正错误。
• 发挥创造力。 CBT 很无聊。吸引您的受众。如果您使用的是 PowerPoint，请使其具有动态性。YouTube 上有很多免费的短视频。

最重要的是，当我们开始 2018 时，请记住关注最薄弱的环节！