隨著各種網絡威脅層出不窮，IT團隊在與忽視安全警告的終端用戶的較量中持續失敗，這著實令人遺憾。CompTIA公司首席技術布道師JamesStanger將解釋如何讓用戶成為解決方案的一部分，而非問題所在。以下是五種方法，幫助企業的員工更加關注安全問題。

如今的網絡犯罪分子擁有龐大的攻擊面可供利用。他們有時會使用一種名為勒索軟件的惡意軟件，有時則利用配置錯誤的服務器或發動分布式拒絕服務（DDoS）攻擊。但在大多數情況下，他們攻擊的是鏈條中最薄弱的一環：人類。

1.應對最常見的網絡安全威脅

當攻擊者決定攻擊一家公司時，他們通常會進行社會工程學攻擊，而這通常意味著利用電子郵件。據估計，絕大多數（超過90%）基于惡意軟件的網絡攻擊都源自商業電子郵件入侵（BEC）攻擊。

這還只是惡意軟件方面。如今的威脅行為者不僅利用電子郵件傳播惡意軟件，還進行各種形式的魚叉式網絡釣魚攻擊和冒充戰術。我從世界各地的安全運營中心工作人員那里也聽到了同樣的說法。

為什么？因為電子郵件仍然是我們溝通的主要方式。因此，它也是主要的攻擊面。誠然，攻擊者已將注意力轉向其他服務，包括社交媒體和即時通訊。但電子郵件仍然是黑客和員工之間的主要聯系紐帶。

那么，IT專業人員學會如何與終端用戶溝通就順理成章了。畢竟，盡快獲取詳細準確的信息只能幫助組織更有效地應對。

2.明確終端用戶在網絡安全中的角色

終端用戶可以扮演兩種角色。他們可以是解決方案的一部分，也可以是問題的一部分。就在今天，我與一位來自英國的網絡安全專業人員交談過。他經常在曼徹斯特市與執法部門以及英國政府官員合作。

他直言不諱地說：“如果員工沒有良好的安全意識，那么你永遠無法通過招聘來實現更高的安全性?！?/p>

專業人士表示，即使是最先進的人工智能輔助軟件也無法解決未經培訓的終端用戶所產生的問題。

3.培訓終端用戶

管理組織網絡安全風險的關鍵步驟是實施有效的安全意識培訓計劃，并結合IT專業人員的加強溝通。你不能只是不斷試圖教育人們；你必須加強溝通。作為網絡安全專業人員，以員工能理解的方式與他們溝通至關重要。

以下是與終端用戶溝通的一些技巧：

讓網絡安全人性化：不要讓IT專業人員只在幕后工作。指定一個人或一群人成為你溝通中的安全形象代言人。這將有助于員工將網絡安全視為更少的技術煩惱，更多的人類關切。

分享經驗：講述你曾處于類似情境的故事。員工會產生共鳴。這樣做將建立一種同志情誼，有助于提升士氣，并讓人們想要了解更多他們如何能幫助你。

簡短傳授智慧：你不可能一下子解釋清楚所有事情。你也不應該嘗試這樣做。沒有人想閱讀一封長篇大論講解技術步驟的電子郵件。很少有人愿意參加一個小時的安全會議。以用戶友好的方式分解信息。

進行雙向溝通：僅讓IT和網絡安全工作人員單向與終端用戶溝通是不夠的。學習和溝通必須是互動的，而且必須是雙向的。一旦員工看到正在進行真正的對話，你會驚訝于他們在遵守安全政策和網絡安全最佳實踐方面會有多大的改進。

改變方式：是的，擁有可供日后參考的書面最佳實踐很重要。但是，要用多種媒介進行溝通。一個組織制作了一系列短小的5分鐘視頻，展示經驗豐富的網絡安全人員在輕松的環境中與終端用戶談論一項重要實踐。員工喜歡這種閑聊。另一個組織則舉行10分鐘的網絡安全市政廳會議，IT專業人員和終端用戶在其中提問和回答問題。當你拆分信息并改變溝通風格時，人們就會開始學習。

4.與個人合作，而非僅與群體合作

IT專業人員在與終端用戶合作時，最好的做法是找到與他們問題共情的方式。大多數情況下，人們會對敏感信息被泄露或他們遇到問題而感到非常不安。

一旦你表示理解，就更容易了解你正在調查的具體問題的關鍵細節。我發現，典型的禮貌行為總會讓人們感覺更好，包括解釋為什么在這里以及詢問他們的感受。這樣做不會花費太多時間，并且會對所有相關人員有所幫助。

為了讓某人放松下來，你可以講述你自己的故事，或者指出許多人經歷過類似的問題。有時，遭受攻擊的人擔心他們會受到責備，甚至丟掉工作。關注你公司的安全政策——很少有公司會責怪個人受害者造成數據泄露。

當你在應對事件時，要找到方法溝通你接下來要采取的步驟。向他們展示你的行動是基于政策并依賴行業最佳實踐的。

一旦人們看到你表現出了專業性和同理心，你就會發現與他們合作很容易。然后，你可以開始詢問他們導致問題的活動。提出開放式問題也有助于你了解安全問題發生時他們正在做什么。

5.不要忘記網絡安全的人性化因素

隨著組織改進溝通，他們發現可以減少漏洞，因為終端用戶意識到信息安全不僅僅是一個抽象的東西，也不是別人的問題。員工還意識到，在許多方面，他們才是第一道防線，而不是防病毒程序和防火墻。任何經驗豐富的專業人士都會告訴你，在網絡安全意識計劃中改進溝通是首要的風險管理步驟。