远程工作中的网络安全意识培训现状

重点总结

根据Hornetsecurity的研究，三分之一的公司并没有为远程员工提供任何形式的网络安全意识培训。这项研究强调，74的远程员工都有权限访问关键数据，这为公司带来了更大的风险。这在当今的混合工作环境中显得尤为突出。

尽管培训不足、员工感到准备不足，44的受访者表示他们的组织计划增加远程工作的员工比例。Hornetsecurity首席执行官Daniel Hofmann指出：“当员工在远程办公时，传统的数据控制和安全方法不再有效，个人的责任增加。企业必须承认远程办公带来的独特风险，并激活相应的安全管理系统，同时赋予员工处理一定风险的能力。”

数据驱动防御推广者Roger Grimes补充道，甚至还有一个更令人沮丧的统计数据：大多数提供培训的组织每年仅进行一次。而KnowBe4的数据表明，年一度的培训几乎没有益处，实际上就像公司根本没有进行培训一样。

Grimes表示，成功的黑客攻击中有70到90涉及社交工程，但几乎没有组织将IT和安全预算的5用于应对这个问题。“这种风险与缓解措施的不匹配使得黑客和恶意软件在大多数组织中长期成功，”他说。“每个组织都应该意识到，最有效的缓解措施是对员工进行安全意识培训。没有其他单一的措施，比如防火墙、杀毒软件和入侵检测软件，能提供如此大的好处。但安全意识培训需要频繁且积极，至少每月一次，并包含模拟钓鱼测试，凡是测试失败的员工都需进一步培训，直到他们能够通过测试。”

LARES Consulting的虚拟首席信息安全官Darryl MacLeod指出，组织在网络安全培训上的投入可以确保员工了解最新的威胁和趋势，这有助于降低数据泄露或其他网络攻击的风险。对个别IT专业人员来说，安全培训也帮助他们保持优势并提升技能。

“我观察到的一个新兴趋势是将游戏化用于安全培训，”MacLeod表示。“游戏可以作为一种有趣且吸引人的方式来学习复杂的网络安全主题。通过将游戏机制融入安全培训，学习者能够培养必要的技能以在行业中取得成功。”

Veridium的首席运营官Baber Amin指出，人性使然，企业必须认识到员工培训始终重要但绝不会万无一失。他表示，大多数攻击的首要原因是凭证管理的不足。“由于密码是最基本的凭证，处理敏感数据的组织应该考虑消除访问链中的薄弱环节，转而采用无密码策略。当涉及敏感数据时，消除凭证共享及由此导致的滥用行为、减少技术支持电话、减小社交工程攻击的潜在攻击面，并降低第三方密码数据库泄露的后果，这些都至关重要。”