企業員工安全意識培訓正蓬勃發展
企業員工安全意識培訓一直被認為是合規性的可選活動,但并不一定是保護企業資產的有效策略。
然而,在充滿質量安全意識培訓產品的競爭激烈的市場,一位專家稱,企業安全管理人員應該重新思考他們對用戶意識培訓的看法。
研究公司Gartner這個月發布了第一個安全意識培訓供應商魔力象限,該報告分析了來自19個最大安全意識培訓供應商的產品。重量級供應商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名,還有令人驚訝的大批初創培訓機構。總而言之,該Gartner報告中的供應商的總體年收入約為6.5億美元。
該報告作者同時也是Gartner研究副總裁Andrew Walls表示,在這個Gartner研究中不能看到的是,成千上萬的利基培訓供應商,這些供應商在適當的情況下可以像大型供應商一樣提供有用的產品。例如,如果一家小型培訓供應商旨在美國辛辛那提地區運營,并且其客戶好評如潮,辛辛那提的企業應該考慮這家本地供應商是否滿足其企業的需求。
Walls表示,“他們沒有在俄亥俄州之外提供培訓服務其實并不重要。”
他指出,世界各地有很多這樣的供應商,他們僅在一個地區提供培訓服務,例如北京或者倫敦,或者有的供應商近提供特定語言的安全意識培訓,這在印度這樣的國家就很普遍。當同時考慮這些大型和小型供應商時,其結果是,這個培訓市場的年收入已經超過10億美元,并且根據有限的市場數據,這個市場每年大約增長13%。
安全意識培訓拐角
Walls承認,盡管長期以來很多企業認為員工意識培訓根本沒有作用,但安全意識培訓市場正在蓬勃發展。
他表示,這種態度在很大程度上是源于企業過去的錯誤,企業通常利用內部安全團隊來制定安全培訓計劃。雖然來自內部安全專家的意見對于高質量培訓很重要,但Walls稱,這種DIY培訓課程往往沒有包含關鍵因素:教學設計人員和其他培訓專家。
“有效的教育并不是簡單的事情,這需要非常了解你的受眾,以及你如何衡量教學成效,”Walls表示,“在這個行業中,在安全教育的歷史完全忽略了這些,它并沒有擔心效果;并沒有考慮這是否有效。”
“從而導致大家普遍認為,安全培訓并不值得花時間和金錢,”Walls繼續說道,“這是責備工具的經典綜合征,錯在于你,而不是受眾。”
安全意識培訓:不只是為了合規
盡管如此,現在越來越多的企業正在轉向安全培訓來解決各種安全和業務問題。
原因之一在于,在企業環境中,攜帶自己設備到工作場所(BYOD)趨勢的日益流行讓設備可以繞過或者無視很多企業用于保護臺式機和筆記本電腦的經過檢驗而可靠的技術控制。這樣一來,攻擊者和敏感企業數據之間的唯一障礙可能是企業對使用BYOD手機的安全最佳做法的知識。
Walls認為,另一個因素是影響著各種規模和各行各業的企業的數據泄露事故浪潮。面對數據泄露事故問題,企業可以部署盡可能多的技術,但如果員工仍然會打開釣魚郵件,培訓就成為一種必然。
Walls表示,企業還關注數據泄露事故相關的“聲譽問題”。例如,在零售商Target和Home Depot公司遭遇大規模數據泄露事故后,這兩家公司飽受批評,有消息稱這兩家公司的安全程序都存在嚴重的人員和技術失誤。
在看到這樣的數據泄露事故時,企業通常擔心面對來自客戶和股東的類似批評—關于員工沒有受到適當的培訓。
Walls表示:“企業想要能夠證明他們已經教授其員工所有這些內容,以及員工具有相關技能。”
選擇安全意識培訓供應商
面對市場中數以千計的安全意識培訓供應商,以及進入Gartner魔力象限的近20家供應商,企業可能想知道哪家最好。盡管Gartner魔力象限將某些供應商標注為“領導者”或者“遠見者”,Walls強調,對于培訓,并沒有“最佳供應商”,只有滿足具體要求的合適的供應商。
Walls表示,企業必須認識到,從性質來看,安全培訓應該對目標受眾進行定制化。客戶服務員工可能適合一年兩次的基于計算機的培訓模式,而首席執行官和其他高管則更適合通過其他培訓方法獲取知識。
考慮到這一點,Walls建議,企業應該看看哪些供應商提供特定主題的培訓(可以是針對特定行業,或者特定監管要求,例如HIPAA或者反釣魚),然后蘋果可用的培訓模式來確定是否滿足企業員工培訓需求。
“這可能是具有高互動性的過程,供應商可能會送他們一本書,但企業必須要自己進行分析,”Walls指出,很多他知道的企業選擇多個供應商來滿足不同的需求。“如果你是在印度尼西亞和新澤西州運營的跨國企業,你不能給每個人都安排相同的培訓。”
除了事前評估企業的需求,在選擇培訓供應商需要考慮的另一個重要因素是提供的評估服務。有些供應商可能提供簡短培訓視頻,緊接著是一個測試來幫助企業遵守法律法規,但Walls強調這些方法并不能提高企業的安全態勢。
企業應該確定培訓供應商提供持續的評估服務。Walls表示,反釣魚供應商(例如Wombat、PhishMe和PhishLine)在近年來頗為流行,不僅因為網絡釣魚攻擊給企業構成巨大威脅,而且因為這些供應商客戶真正證明釣魚預防培訓服務的有效性。
“他們會發送附有連接的郵件給你,如果你點擊它,你就要繼續回去參加輔導培訓,”Walls表示,“持續的評估構建在員工實際操作的根本性質中。”
Walls預計,在未來幾年我們會看到較大型培訓供應商之間的大量整合。有些較大型安全供應商會考慮進行收購,以整合安全意識培訓到更大的產品組合中,而PhishMe和Wombat等供應商已經與其他安全公司建立了合作伙伴關系。他補充說,反釣魚供應商可能會受到影響,因為其產品的獨特性被削弱。
Walls總結道,未來市場整合活動對于行業是利好消息,因為培訓會被視為合法的必須具備的企業安全工具。
“如果你不讓員工了解你的政策,你不要指望他們會遵循政策,”Walls表示,“企業應該將其視為基本要素,就像在臺式機部署反惡意軟件。”
