很多公司企业的员工是分散的,要集中搞课堂式的信息安全培训是一件非常困难的事情。对此,昆明亭长朗然科技有限公司信息安全意识项目专员董志军表示:在云计算和移动计算的信息化时代,移动计算终端特别是智能手机人手一两部,笔记本电脑或平板电脑更是普及到了千家万户,也是远程工作人员的必备随身工具。经过多年的发展,基于云端(互联网)的学习管理系统已经非常成熟稳定,随着视频直播的盛行,针对社会大众以及企业用户的多媒体形式的信息安全学习内容也很丰富。因此,企业级移动化学习解决方案及相关服务不再是什么高大上的东西,而是唾手可得的了,对于学员们来讲,可以无时无处进行。所以对于企业安全意识培训负责人员来讲,根本没有必要为了信息安全意识活动,而将员工们集中起来。

那么,很多员工信息安全意识培训负责人可能会问:我们可能什么都没有,或者只有学习管理平台没有内容,我们该怎么选择呢?要花费多少钱呢?能不能达到预期呢?会不会有什么问题呢?

首先,我们要知道,培训或学习效果的衡量可不简单,有些安全知识沟通可以起到立竿见影的效果,比如针对当下新型威胁和应对措施的宣传,可能会正好防止了正要发生的骗局。而有些知识内容的影响却是长远的,可能在未来某个时间点,影响到员工的某项信息安全选择,该选择可能在当时也引发不了可立即显现的结果,但却可能在其后的某个时间点发挥了关键性的重要作用。您可能会说:这种效果谁说得清楚呢?您可能没有意识到:我们大多数人今天在社会上遵纪守法,其实也是漫长的家庭、学校和社会教育的结果,少数不法分子的不轨行为,往往可以追溯到多年前的教育不当或者缺失。在信息安全意识教育培训方面,也是同样的道理,通常要衡量他们的效果,可能要等到多年以后,而且这种对比性的实验很难科学地进行。当下,国际上比较通行的做法是对员工的知识和态度进行培训事前和培训事后的评估,以衡量在短期内的效果。

一家大公司使用的方法是将总共有近2000名员工分成两组,干预组和对照组,其中的干预组使用电子学习方式进行信息安全意识培训,另一组(对照组)则不进行。结果显示:干预组的员工信息安全知识、意识和行为得到提高,这表明将电子学习工具用于信息安全意识培训,会获得明显改善信息安全。其实,这种研究非常有局限性,短期影响是能拿数字来说话,但是不够科学,因为很多测试是短期性的,有的行为也可能只是在培训之后的短期矫正,还没形成长期的安全习惯。尽管如此,该研究有其实际意义,就是可以证明支持信息安全意识计划的eLearning电子学习对员工的知识、行为和意识有短期影响。

其次,安全意识培训负责人较为关心学习管理系统的功能,新型的学习管理系统基本上都是Web模式,支持学员通过浏览器进行远程访问,所以可以通过电脑、手机以及平板进行学习。当然也有很多学习管理系统支持APP,可以让学员通过APP应用进行移动化学习。虽然这些都是常识,但是还是需要啰嗦一下,以免部分人员对此不清楚。有两项功能通常是核心的,必须讲的:

一、学员账户管理功能,通常来讲,可以让学员自行注册,比如让学员访问学习平台网址,然后点击注册新账号,输入账号、密码、邮箱、姓名等等必要的信息,然后查邮箱,点击确认。这种方式让培训负责人省心,但是却要让每位学员花时间进行注册,如果注册时填写的信息较少还好,如果信息较多,流程复杂,则会带来一些问题。另一种方式是批量导入学员账户,通常是按照标准格式的表格文件进行用户信息数据的填写,然后导入,密码可以自动随机生成之后通过邮件发给用户,这种方式较为流行。同时,也可以是事先设置好的密码,事先设置好密码的这种方式,可以让用户免去注册的时间,甚至可以保护不愿意披露或使用电子邮箱(或手机号码)的用户个人信息,但是可能存在密码忘记或重置的问题,因为没有邮箱就不能正确发送重置链接,可能需要联系管理员帮忙。

二、学习进度报表功能,一般来讲,安全意识培训负责人需要定时查看学习进度报表,以便根据学习进展情况,督促未及时登录参训的、未完成学习的、未通过测试考核的学员,可以通过Web查看,也可以下载或通过邮件收取报表。有的可能需要了解员工们答对或答错了哪些题目,以便知晓哪些人在哪些方面的安全认知比较薄弱,此外,再复杂的报表功能其实没有太大的实际用途。

此外,有的企业客户希望更多的集成化功能,比如学员账户管理能够集成到内部现有的活动目录AD/LDAP,有的企业客户希望学习管理系统有模拟钓鱼邮件的功能,以便测试用户们的防钓鱼意识。这些功能在有的学习管理系统中已经内置,需要一些配置即可使用,如LDAP的启用;另一些需要定制开发,比如加入模拟钓鱼邮件功能,或者与反钓鱼行为管理系统进行关联互动。

再次,安全意识培训负责人可能比较关心培训内容,一般来说有普及性的,也有特定性的,普及性的即针对所有行业都适用的,特定性的则是针对特定行业、特定人群、特定岗位的特定内容。信息安全意识内容知识庞大,而且新的威胁不断出现,所以知识库存量是必须考虑的,此外,内容的更新也是一项考虑,毕竟人们所学的会慢慢遗忘,需要至少每年进行一次信息安全意识的刷新。内容的形式可以多种多样,供应商通常提供课程内容清单供选择,也会将产品组合包装成标准化的课程,包括即用型交互式软件模块。这些模块通常支持可共享内容对象参考模型 (SCORM) 标准格式,可导入同样支持该标准的云端服务或本地部署的学习管理系统。当然,也有些企业客户想通过其它的渠道使用培训内容,比如在其它系统中加入安全知识宣导提示图片,每月发送一份两分钟左右的短时微学习课程(短视频+测试的微课),以便员工们能够潜在地以多种形式接收相同的或者补充性的信息,从而增加信息吸收的可能性。

有的外企可能需要课程内容支持多语言和多文化受众,至少在中文之外需要有国际英文,甚至,有的企业客户可能需要辅助功能,例如内容定制、新内容创建等等。一些企业客户青睐互动的游戏化方式,不仅仅是将游戏作为学习工具还建立多部门排行榜,以安全知识赛事等活动,使部门以各种方式相互竞争。

最后,安全意识培训负责人关心的往往是价格问题,国际上信息安全意识eLearning市场已经非常拥挤了,大量有竞争力的供应商提供知识模块、反网络钓鱼行为管理和宣传活动支持材料的组合,价格基本上在合理的可接受的区间。国内市场不够成熟,并非没有厂商、系统或内容,而是标准化不够,导致eLearning的普及度较低,价格很不透明。不过,通常按照国际的标准以及国内的市场,每位员工在(人民币)百元左右,是较为合理的价格,也在很多企业员工培训预算的可承受范围之内。对于有学习管理系统的企业客户,可以考虑购买课程内容,内容是知识产权作品,质量各异,所以价格也各不同,通常有按学员人数、按使用时长计费的,也有按企业包授权的,加上可能有些内容的定制,所以价格不好一概而论,不过,在几千块到几万块不等的合理价格,可以购得一些通用的知识模块,如果要定制内容,则看所需人力,通常会花费数万至数十万。

总之,eLearning方式几乎适用于各种规模的组织机构对员工进行信息安全意识培训,对于在所有员工群体的地理位置分散的组织特别有用,学员可以随时随地进行线上学习。

再让我们聊一聊行业的发展前景,当下,国际上一些供应商也在探索与核心安全技术供应商建立合作伙伴关系,以便安全意识系统能与例如员工监控、端点检测和响应、端点保护平台、安全电子邮件网关等等进行关联。合作的目标是能够利用实时数据和日志数据,根据观察到的员工表现出的不安全行为提供注入性的、及时的学习。此外,当记录不安全或有风险的行为时,该行为可能会触发自动注册到相关的培训模块。这是一种商业领域的自然演变和进货,是基于员工个性化认知和行为改进的培训。在大数据、机器学习和人工智能越来越普及的时代,借助科技创新来修复特定人员的“安全漏洞”,是未来的发展方向,值得我们翘首展望。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com