关于意识培训的六个误解

许多引人注目的数据泄露和其他安全事件都可以追溯到一封不应该打开的电子邮件。通过安全意识培训可以避免这些事件的发生吗？也许。关于这个话题的讨论通常以这样的说法开始：此类培训不仅浪费时间，而且效率低下。然而，这些保留意见往往是基于错误的假设和不切实际的期望。下面，我们整理了最常见的误解。

1.“意识培训只是将责任转移到用户身上！”

IT 安全的责任始终（至少部分地）由最终用户承担。毫不奇怪，IT 安全并不仅仅局限于 IT 团队的门口，它甚至还涉及领导层。此外，“人为错误”几乎从来都不是真正的原因，而是系统性问题的症状。因此，安全事件的根本原因不是“员工X点击了恶意链接”。这只是最初的触发因素。没有人会故意做出错误的决定；每个决定都是由做出该决定的系统决定的。简而言之：如果没有人指导员工，错误是不可避免的。

此外，如果单一措施（例如意识培训）是安全和灾难之间的全部，那么从根本上来说就是错误的。仅仅因为防火墙等技术措施无法自行阻止一切，就认为它们毫无用处，这也是错误的。每一项 IT 安全措施只有与其他措施结合起来才能有效发挥作用。

2.“如果我们进行网络钓鱼模拟，我们的员工就会感到被欺骗。我们不希望这样！”

3.“这些培训根本不实用！”

设计不当的训练确实是不切实际的。然而，同样不切实际的是，期望每年一次的一日课程（以多项选择测试为上限）能够有意义地提高安全性。八小时讲座式的“纯知识传递”无法实现这一点。大部分内容很快就会被遗忘。