設法使管理部門參與其中。對於管理部門,安全管理者要向其強調良好安全所帶來的經濟效益,並強調由於減少了數據庫遭受損害的風險,必然會減少“宕機”時間和經濟損失。相反,如果安全專家無法說服管理者實施強健有效的培訓計劃,由數據損害所導致的經濟損失和補救成本將極大地增加。
有針對性地進行安全培訓。在提供安全培訓時,對銷售人員和收發室的員工是否同等對待?答案應當是否定的,培訓應當重視不同員工所面臨的特定漏洞。例如,銷售員應當接受更多的移動安全培訓,因為他們比其他員工更有可能在其工作中使用移動設備和應用。此外,對IT部門進行培訓也是非常必要的。
確保安全培訓深入人心。安全意識培訓不是一種“一蹴而就”的訓練。公司至少每年舉行一次培訓,最好每季度舉行一次。最好的方法是,確保培訓的連續性。例如,公司不妨設置員工的桌面,使其每周都能夠看到不同的安全消息。公司應當圍繞著安全構建文化。
講演技巧很重要。為什麼有的人在進行安全培訓時觀眾能夠熱情洋溢?而有的人在演講時卻令人感覺如同嚼蠟?原因就在於技巧。企業不應當僅僅通知員工必須參加安全培訓,而應當用一種鼓動性方法使員工樂於接受培訓。例如,如果安全培訓者用這樣一個題目作為演講的主題,“黑客怎樣竊取你的個人信息?”,如果培訓講師能夠以生動的案例來闡釋,則其效果顯然是事半功倍。在這個問題上,企業不妨向營銷人員取經。
解釋為什麼需要安全策略。雖然在許多主流媒體上已經有許多敏感數據遭受嚴重損失的案例,很多用戶仍不會覺得自己的數據有什麼風險。培訓者需要借助案例有針對性地向員工展示,黑客是怎樣利用其個人數據並最終給公司帶來損失的。
向用戶展示不遵循安全方案的示例。培訓人員不能僅僅告訴用戶不要點擊可疑的附件或鏈接,而是展示可疑的鏈接或附件的樣子。通過幻燈向員工強調惡意內容是什麼樣子。視頻比幻燈更有說服力。例如,安全培訓者不妨向員工展示數據洩露的危險,警告他們在處理文檔時保持謹慎的重要性。
確保用戶可以輕松地遵循安全策略。例如,不必強求用戶的口令必須非常復雜,以防止其遺忘。如果用戶忘記了口令,應該允許其重置。
此外,保持正確的態度。員工們不喜歡你以安全專家的姿態高高在上地教訓他們,不要把他們看作傻子。