在對待IT安全培訓的態(tài)度上，企業(yè)的IT安全專家們一般可分為兩類：一類專家認為安全意識培訓課程很有必要，另一類則認為對員工進行安全意識教育完全是浪費時間。其實，企業(yè)對員工進行的安全意識培訓課程不但是現實情況的要求，而且也是企業(yè)提高競爭力，與其它競爭對手相區(qū)別的一個重要特征。理論上，安全意識培訓是個好主意，但是和很多好主意一樣，如果實施的不到位，好主意也會變得沒有效果甚至真的成了浪費時間的事情。

        對于當前的企業(yè)信息安全窘境，很多人都指責是由于企業(yè)過分的依賴于安全軟件廠商提供的過于老舊的技術(比如反病毒特征碼)，而安全軟件廠商沒有及時根據新的威脅改進安全解決方案。當然，這是一個挺合理的解釋，但是另一方面講，企業(yè)的IT專家們也應該負有同樣的責任，因為他們沒有為企業(yè)員工提供新安全環(huán)境下的安全培訓課程(當然也還有其它很多因素，但是本文不作討論)。如果我們這些IT專家還在拿九十年代的IT安全知識來教育現在的企業(yè)員工，還有什么理由去責怪安全軟件廠商不及時更新技術呢?也許大家都聽到過這樣的安全教育：“要確保安全，就只訪問大型網站”或“不要去成人網站，否則會中毒”。大多數企業(yè)對員工進行的安全意識培訓，課程的主干都是圍繞著一系列“能做什么”和“不能做什么”展開的。 現在，是時候讓我們重新考慮安全培訓課程的內容和教學方式了，不論是內容還是教學方式都應該進行升級，才能符合當今企業(yè)員工的實際工作情況。

丟掉“用戶”這個詞

        不知企業(yè)的IT部門什么時候開始將自己和其他員工用“我們”和“他們”這種方式分開的，但是這種情況必須馬上停止。為什么IT專家在說他們的同事時，總是用“用戶”這個詞呢(而且通常說這個詞的時候都帶著鄙夷和不屑的態(tài)度)。這個詞并不意味著什么，但是卻會導致部門間的分裂、不信任、以及怨恨情緒在IT部門和企業(yè)其他部門間彌漫。而要糾正這種錯誤，IT專家們需要為了企業(yè)未來更好的發(fā)展，從內心真切的與其他部門的員工交流。對于任何企業(yè)來說，人都是最寶貴的財富，因此確保他們能夠安全的工作，企業(yè)才能有信心實現長遠的發(fā)展。改掉這個不良的習慣，最終會讓企業(yè)變得更強大，更具競爭力。

拋開消極心態(tài)

         在IT圈里有一個流傳很廣的觀點，即非IT人員無法被訓練成時刻考慮到信息安全的程度。認為安全培訓無用的言論中，有一條是說，企業(yè)里總會有那么一個“足夠蠢”的員工會打開病毒郵件。我覺得這是一種相當消極的想法，在談論到所謂的“愚蠢用戶”時，IT技術人員好像把自身擺在了一個崇高的皇室地位上一樣。我們應該意識到，實際上我們這些IT技術人員才是最愚蠢的，是這些人用錯誤的培訓方法和過時的培訓內容對員工們進行培訓，并把同事都當做二等公民一樣對待，導致了企業(yè)面臨各種各樣的安全風險。雖然從概率理論上講，一個大型企業(yè)里，確實會有某個甚至幾個員工落入黑客巧妙編制的釣魚陷阱中，但這并不能成為IT專家們放棄對員工進行安全意識培訓的理由。如果按照這個理論，我們干脆連基本的反病毒軟件、入侵檢測系統(tǒng)、防火墻或其它任何安全技術都不要采用了，因為黑客總有辦法繞過這些防護屏障。

       另外，不要過多的考慮安全意識培訓做不到的事情，相反，要多想想這樣的培訓能帶來什么好處，比如對于企業(yè)風險管理的好處。所有IT安全專家的首要任務都是盡量降低企業(yè)的IT風險。和面對其它所有風險一樣，我們永遠無法避免人為因素造成的安全風險。而良好的安全意識培訓課程能夠讓企業(yè)降低人為因素所帶來的安全風險，尤其是釣魚類型攻擊和惡意軟件的風險。

讓課程中肯，適用和互動

         Michael Santarcangelo是一位著名的主動意識倡導者，他對于安全意識的定義為：“個人意識到自己的行為所導致的后果，包括行為意圖和影響”。大多數人并不理解自己的上網行為與所導致的對個人潛在的負面影響結果之間的必然聯系。如果安全意識培訓課程僅僅是告訴員工哪些事情做得不對，并不能起到明顯的改善作用，或者說員工不一定能接受。我們必須找到真正致力于安全辦公方面的專業(yè)教練。

        通過適當的具有互動性的范例來授課并展開討論，會讓企業(yè)員工建立起一套正確的思維過程和決策的框架，從而讓員工的網絡行為更加安全。令所有員工都安全起來，才能讓他們不被黑客當做釣魚目標。另外要鼓勵員工在上網時用更加謹慎的態(tài)度進行網絡瀏覽，這可以有效降低網絡威脅的發(fā)生率。同時這種鼓勵也是在實施和改進安全意識培訓課程中的一種催化劑。

         安全意識的培訓應該作為企業(yè)一種根深蒂固的文化，而不是每年一次的例行工作。比如可以每月舉辦一次關注于家庭電腦使用安全方面的午餐會，在公司的內網上專門開辟一個空間用來宣傳安全意識，或每周給員工們發(fā)送一封信息安全提示方面的郵件等。這種定期的提示會鞏固員工的安全意識和培訓成果，并最終實現全員整體安全意識的大幅度提升。

        安全意識培訓本身并不能給企業(yè)帶來足夠的安全防護能力，但是結合適當的方法和安全解決方案，將會大幅度提升企業(yè)的安防水平，降低企業(yè)所面臨的風險，實現企業(yè)多年來努力希望實現的更加安全可靠的網絡環(huán)境。通過改變安全意識培訓課程的內容和教學方法，企業(yè)的競爭優(yōu)勢將明顯提升。因此培訓老師絕對應該調整培訓的態(tài)度，記住要讓每個員工都獲得足夠的尊重，因為員工對于企業(yè)的意義遠不止確保安全辦公和安全上網這一點。