2024-01-08 資安認知訓練(Awareness training)的重要性

在資訊保安的工作裡，資安認知訓練是一項基本的措施，但同時亦是很多企業忽略的一環。

過往筆者也有參與資安認知訓練的設計及提供培訓服務，很多時最困難的並不是內容的撰寫，也不是預算的多寡或培訓時間的時數，而是如何讓受訓者認真去接受培訓資訊。

企業員工會覺得資訊保安是資訊科技部門的責任，自己只是一個使用者身份，並不需要特別理會。但在資安世界，缺口往往不是在保安方案的軟硬件，也不是在資訊科技部門的人材不足，而是在於「人」。

使用者往往是資訊保安的潛在的一個隱患。駭客亦很明白這個道理，所以也會捨難取易，不會直接進攻企業的資安防禦工事，而是透過攻擊一般使用者身份的企業員工，從而取得存入權限，再進而進入企業的網絡裡作進一步的攻擊。

近年，尤其過去因疫情而令很多企業實行了在家工作的新工作常態，令同事間更依靠即時通訊軟件作為主要溝通方式，令Hacker更容易透過scamming或者social engineering的手法去騙取員工的資訊。

筆者早年就處理過一些企業被攻擊情況，手法多是在長假期的時候，透過即時通訊軟件、電子郵件假裝成是企業高層或直屬上司，託詞因為緊急狀況，不能使用原有的電郵或手機號，需要即時支援。這時候因為大家都不在公司範圍的機會很高，而「高層」的要求令員工亦不敢怠慢或者進一步詢問更多，往往給予了駭客可乘之機。

資安訓練的設立，就是令企業裡的每個員工都有一定的認知基準，更懂得提防和分辨可能是屬於駭客的攻擊，從而減低因使用者的失誤而打開了企業的資安缺口。

和一些企業管理層討論過，其中培訓課程的難處是很多公司會使用新入職員工需要完成E-learning的課程，但這些會比較依靠播放短片，做選擇題形式，未必有效評估到員工已經達成學習目標。或者公司內部培訓部或資訊科技部門兼任，但結果是同事並不珍惜培訓機會，甚至覺得浪費了他們半天或一天時間。

其建立一套資安訓練其實並不複雜，更多的企業會直接使用第三方的培訓機構。像筆者服務的第三方機構，會替客戶設計一套切合他們現有資安環境的課程，可能是三小時或者一天的課程，已經足夠將基礎的訓練透過講課、角色扮演、短片或案例分析，有效去傳遞資安概念，從而在短時間提升全公司的資安認知。而且使用第三培訓機構，員工的出席率和認真上課的狀況也有明顯的改善。

一個好的Awareness Training，絕對是企業資訊保安上不能忽略的。

英文版在領英：

https://www.linkedin.com/pulse/2024-01-08-importance-awareness-training-yuman-chau-mql8c