最终用户培训的效率

Question

我读了很多关于加强最终用户安全培训的文章，比如如何识别钓鱼邮件。即使是强制训练，如最终用户必须观看的会议或视频，也很容易被最终用户忽视或忽略。

我不断听到不认真对待训练的“后果”，但我觉得这不是最好的行动方针。我在这里的问题是，你有什么建议，以提高培训的有效性，并保持观众(最终用户)真正的意愿，充分关注培训？

Answer 1

我用两种方法非常成功地做到了这一点：

• 把训练和小的“逃避”结合起来，用笑话或与主要话题无关的东西吸引注意力的时刻(对他们来说可能很无聊)。这就像按下他们的刷新按钮。
• 进行互动。不要像法庭上的辩护人那样陈述你的案子。询问他们的想法，让他们陈述他们对这件事的看法，并以互动的方式解释为什么某些事情必须以某种方式去做。

作为一种介绍，你可以利用恐惧来对付他们。开始你的演示，给出一个灾难情况的例子(例如，伙计1点击了一个网络钓鱼文件，造成公司很多k/M美元的损失，他就被解雇了)。

Answer 2

从我在网络领域的经验看来，以下建议确实有助于建立一种“安全文化”。在这种文化中，所有员工都了解自己在保护公司资产方面的个人角色，并感到有能力毫无畏惧地沟通安全问题。

提高安全功能的可见度，并将其重新命名为合作伙伴

不幸的是，像我们这样的安全人士常常与一种不存在的文化联系在一起。我们被(错误地)看作是害怕/避免的对手，是变革的反对者，而不是与企业合作增加价值的伙伴。网络安全功能通常被视为“警察”，只有在那里才能执法，而不了解用户的需求。

因此，我建议首先将安全功能重新命名为业务的朋友。最终用户可能不知道安全性对公司有什么好处，也不知道它如何带来价值，因为我们通常是成本中心，而不是利润中心。他们可能只是看到了安全表现的负面方面，如果没有很好地实现和深思熟虑，或者过度实现(即安全纳粹)，找到方法来交互，了解您的最终用户，并真正了解他们的需求。向他们展示你真正关心的是新的安全控制对他们的工作的成本。

确保最终用户理解公司安全培训的目的

最终用户不愿意参加安全培训可能是因为他们不理解为什么某些过程/过程是这样的。作为网络安全专业人士，我们可能理解DLP在减少数据泄漏方面的作用，但非技术终端用户可能只是在他们发送的电子邮件被屏蔽时感到恼怒，他们被迫使用其他(可能是不熟悉的)方式进行通信。关于如何与最终用户进行通信，这个答案提出了几个很好的要点，其中两个要点将在下面突出显示。

• 针对最终用户的安全培训，根据其工作职责所面临的具体相关安全风险，并提供所有用户都能得到的基础培训。
• 招募同事组成网络安全宣传/支持小组。而不是管理层从上面强制执行培训，现在有关安全的持续信息来自他们的同行，当最终用户对IT安全流程/期望有疑问时，他们也是支持的来源。