避免資安意識培訓失敗3大主因，可混搭5種模式打造客製化課程

「資訊安全3大要素是人員、技術及流程，人員往往是最脆弱的一環。」安永企管副總經理陳志明直言。許多企業會推動資安意識計畫，希望強化員工資安意識，並協助他們實踐安全行為，來限制人為資安風險。不過，多年從事資安顧問的他指出，大多數資安意識計畫都不算成功，往往歸咎於3個原因：員工參與度低、受訓者無法持續實踐安全行為、課程沒有依照組織情況設計。

資安意識計畫失敗的三大原因

陳志明進一步說明這3個問題。首先是員工參與積極度過低。他觀察，企業制定資安意識計畫時，常過度聚焦於公司政策，沒有告訴培訓對象，這些安全行為如何使自己或所屬部門受益。無法體會資安重要性，企業員工便不會積極參與。

第2個常見問題是，將資安培訓視為一次性練習，員工不會將安全行為納入工作習慣。許多企業進行員工資安培訓時，只會重複使用主題和測驗方法一成不變的線上課程，讓員工逐漸失去興趣。甚至會演變成，員工開始流傳課程測驗答案，培訓時任由影片播完，待測驗時照抄答案交差了事。

第3個問題是，企業擬定資安意識培訓計畫時，常因法規或公司政策規定要有資安培訓內容，便匆匆找來講師或線上課程，讓相關人員參與。由於沒有針對自身業務環境和面臨威脅來選擇培訓教材。培訓後，仍難以看見課程對企業帶來哪些具體成效。

如何避免這些問題，陳志明建議，首先，資安培訓不能只是一次性進修或考試，還要為受訓者訂定日常安全行為的執行標準。再來，執行計畫前，承辦人員應分析不同受訓者的業務如何受益於安全行為，與講師積極溝通培訓內容，量身打造溝通方法與教材。例如，若欲對高階主管傳達特定觀念，甚至希望引導高階主管加碼投資資安，承辦人員都應與講師協調。

至於如何決定培訓受眾，陳志明強調，除了企業內部人員，企業會接觸到的利害關係方，例如合作廠商、客戶、主管機關、會計師、律師等，也必須納入資安意識計畫，培養出相對應的資安意識及程序。

資安意識計畫另一項重點是，要有明確培訓目標，才能引起參與人員學習動機。陳志明舉例，他曾替一家國內企業授課，培訓一開始就表明，結束後會替企業選拔資安長，資安長還得在一定時限內提出公司資安藍圖，向總經理匯報。有了明確目標和時限，學員不僅積極學習，還會主動思考自己需要哪些知識來達成目標，積極請教講師。

資安培訓應因才施教，採用多元培訓模式

陳志明表示，既然要根據不同受訓者設計不同課程，承辦人員設計教材時，也需要綜合使用不同培訓工具和模式。根據形式和對象，他提出5種可混搭的訓練模式，包括了數位課程、釣魚攻擊演練、駭客實際演練、駭客工具展現、及遊戲化訓練等。

數位課程是最通用且常用的形式，陳志明認為，數位課程固然簡單好用，但課程主題跟測驗方法要力求多元，避免變成員工只想背測驗答案，應付了事。

釣魚攻擊演練則是由培訓方對員工進行釣魚攻擊，來提升員工對此類攻擊的戒心。陳志明建議，攻擊方可以多種攻擊型態並用，例如電子郵件、語音呼叫、文字簡訊，也要捕鯨和魚叉式攻擊並用。這樣一來，才能更好模擬駭客多樣化的攻擊手法。

駭客實際演練是請道德駭客扮演攻擊者和受害者，直接展現駭客如何輕易突破人和系統漏洞，再回顧駭客攻擊步驟，說明駭客思維及防禦方法。陳志明說，實際演練過程能引導受訓者思考如何應對，同時能產生一定震撼，加深印象。

駭客工具展現則是各種駭客工具，例如惡意充電線、感染USB、Proxmark IC卡破解器、RFID複製卡等，用電腦以外的呈現媒介來刺激受訓者好奇心，同時意識到資訊安全不只是政策和培訓，而是真實會發生於生活中的議題。

最後一種，陳志明建議，遊戲化訓練模式可以參考商業遊戲、網路戰爭（紅藍隊演練）遊戲、密室逃脫等遊戲形式，分別針對高階主管、資安人員及一般人員，將他們置於特定情境中，要求在時限內做出資安相關決策。商業遊戲強調業務目標與資運安全的交集，意圖使玩家能從企業營運角度來思考資安重要性；網路戰爭遊戲能訓練資安人員危機處理能力；密室逃脫則是將資安事件跟意識融入團隊遊戲中，以遊戲和團隊合作的形式來嘗試提升員工參與度。陳志明表示，遊戲化訓練雖然需要投入更多資源來設計教材，但跳脫了教條式教學形式，讓學員沉浸在情境中思考如何行動，因此通常教學成果會較好。

 相關報導