企业员工安全意识培训一直被认为是合规性的可选活动,但并不一定是保护企业资产的有效策略。
研究公司Gartner这个月发布了第一个安全意识培训供应商魔力象限,该报告分析了来自19个最大安全意识培训供应商的产品。重量级供应商Wombat Security Technologies、FishNet Security和SANS Institute都榜上有名,还有令人惊讶的大批初创培训机构。总而言之,该Gartner报告中的供应商的总体年收入约为6.5亿美元。
原因之一在于,在企业环境中,携带自己设备到工作场所(BYOD)趋势的日益流行让设备可以绕过或者无视很多企业用于保护台式机和笔记本电脑的经过检验而可靠的技术控制。这样一来,攻击者和敏感企业数据之间的唯一障碍可能是企业对使用BYOD手机的安全最佳做法的知识。
Walls总结道,未来市场整合活动对于行业是利好消息,因为培训会被视为合法的必须具备的企业安全工具。
Walls表示,“他们没有在俄亥俄州之外提供培训服务其实并不重要。”
他表示,这种态度在很大程度上是源于企业过去的错误,企业通常利用内部安全团队来制定安全培训计划。虽然来自内部安全专家的意见对于高质量培训很重要,但Walls称,这种DIY培训课程往往没有包含关键因素:教学设计人员和其他培训专家。
他指出,世界各地有很多这样的供应商,他们仅在一个地区提供培训服务,例如北京或者伦敦,或者有的供应商近提供特定语言的安全意识培训,这在印度这样的国 家就很普遍。当同时考虑这些大型和小型供应商时,其结果是,这个培训市场的年收入已经超过10亿美元,并且根据有限的市场数据,这个市场每年大约增长 13%。
“他们会发送附有连接的邮件给你,如果你点击它,你就要继续回去参加辅导培训,”Walls表示,“持续的评估构建在员工实际操作的根本性质中。”
Walls表示,企业还关注数据泄露事故相关的“声誉问题”。例如,在零售商Target和Home Depot公司遭遇大规模数据泄露事故后,这两家公司饱受批评,有消息称这两家公司的安全程序都存在严重的人员和技术失误。
“有效的教育并不是简单的事情,这需要非常了解你的受众,以及你如何衡量教学成效,”Walls表示,“在这个行业中,在安全教育的历史完全忽略了这些,它并没有担心效果;并没有考虑这是否有效。”
安全意识培训:不只是为了合规尽管如此,现在越来越多的企业正在转向安全培训来解决各种安全和业务问题。