人應(yīng)該是任何網(wǎng)絡(luò)安全戰(zhàn)略的核心。

　　良好的安全性考慮到人們?cè)趯?shí)踐中的工作方式，并且不會(huì)妨礙人們完成工作。人們也可以成為預(yù)防事件（或檢測(cè)何時(shí)發(fā)生）的最有效資源之一，前提是他們參與得當(dāng)，并且有一種鼓勵(lì)他們暢所欲言的積極網(wǎng)絡(luò)安全文化。支持員工獲得安全工作所需的技能和知識(shí)通常是通過(guò)意識(shí)或培訓(xùn)的方式來(lái)完成的。這不僅有助于保護(hù)組織，還表明重視員工，并認(rèn)識(shí)到他們對(duì)業(yè)務(wù)的重要性。

　　有什么好處？

　　增加對(duì)組織的信任和忠誠(chéng)度

　　更早地發(fā)現(xiàn)那些通常不被技術(shù)發(fā)現(xiàn)的事件

　　一個(gè)讓個(gè)人感到安全（并被鼓勵(lì)提早提出問(wèn)題和提出新想法）的環(huán)境將使組織更有效

　　該怎么辦？

　　鼓勵(lì)高層領(lǐng)導(dǎo)以身作則

　　鼓勵(lì)高層領(lǐng)導(dǎo)在網(wǎng)絡(luò)安全方面定下基調(diào)。如果高層領(lǐng)導(dǎo)無(wú)視安全政策和流程，或以某種方式要求“特殊待遇”（例如要求使用與標(biāo)準(zhǔn)發(fā)布的設(shè)備不同的設(shè)備），則會(huì)向組織中的其他所有人發(fā)出信號(hào)，即高層不考慮規(guī)則適合目的，并且員工嘗試?yán)@過(guò)政策是可以接受的。

　　與員工建立有效的對(duì)話

　　與員工交談，了解他們的日常工作涉及的內(nèi)容，并嘗試了解他們的觀點(diǎn)、工作流程和壓力，以了解執(zhí)行某些活動(dòng)可能存在哪些障礙。只有了解和理解可能阻止人們遵循安全程序和實(shí)踐的因素，才能消除障礙。從這些知識(shí)中學(xué)習(xí)以幫助改進(jìn)系統(tǒng)并確保人們能夠有效地完成他們的工作。

　　確保了解當(dāng)?shù)毓ぷ鳝h(huán)境的人員參與安全政策制定。確保政策和流程符合目的且相稱，并為人們提供途徑來(lái)挑戰(zhàn)在實(shí)踐中對(duì)他們不起作用的流程。眾所周知，那些讓人們對(duì)挑戰(zhàn)工作方式感到安全的組織更具創(chuàng)新性，并且能夠更好地應(yīng)對(duì)意外情況。

　　建立可以在組織內(nèi)報(bào)告問(wèn)題的流程，并確保人們知道這些流程是什么，并鼓勵(lì)人們報(bào)告問(wèn)題。通過(guò)傾聽(tīng)報(bào)告的問(wèn)題，以公平的方式積極回應(yīng)，然后讓員工參與糾正問(wèn)題的過(guò)程，在組織內(nèi)建立信任。許多事件只能被人們發(fā)現(xiàn)，如果他們覺(jué)得自己信任組織，那么他們更有可能在懷疑出現(xiàn)問(wèn)題時(shí)進(jìn)行報(bào)告。及早發(fā)現(xiàn)事件對(duì)于限制影響至關(guān)重要。

　　不要對(duì)錯(cuò)誤進(jìn)行污名化，防止個(gè)人或團(tuán)隊(duì)被挑出來(lái)責(zé)備；這將使人們?cè)谖磥?lái)不那么不愿意報(bào)告事件。任何安全事件都應(yīng)被視為個(gè)人和組織自我提升的機(jī)會(huì)。

　　考慮開(kāi)展安全意識(shí)活動(dòng)

　　承認(rèn)宣傳活動(dòng)的有效性可能需要時(shí)間。在分析任何意識(shí)工作的影響之前，留出足夠的時(shí)間。

　　確保信息與員工相關(guān)并適合組織。傳達(dá)不相關(guān)、無(wú)法實(shí)現(xiàn)或?qū)λ麄兊墓ぷ鞣绞疆a(chǎn)生負(fù)面影響的信息不會(huì)產(chǎn)生預(yù)期的結(jié)果，并且可能會(huì)產(chǎn)生負(fù)面影響，因?yàn)樗砻鲗?duì)員工的需求缺乏了解。如果人們不得不為安全流程和控制找到變通辦法來(lái)完成他們的工作，那么他們可能已經(jīng)知道他們正在違反規(guī)則，如果不解決根本問(wèn)題，更多的意識(shí)將無(wú)濟(jì)于事。

　　關(guān)注關(guān)于員工可以做什么來(lái)提供幫助的積極信息，而不僅僅是他們做他們不應(yīng)該做的事情的后果。使用恐懼或?qū)Ｗ⒂谕{來(lái)激勵(lì)員工行為并不能很好地發(fā)揮作用，實(shí)際上它會(huì)產(chǎn)生相反的效果，讓人們感到不參與。

　　了解意識(shí)只是第一步。僅僅因?yàn)樽屓藗円庾R(shí)到風(fēng)險(xiǎn)以及如何應(yīng)對(duì)，并不意味著他們會(huì)執(zhí)行這些行為，或者能夠執(zhí)行這些行為。這可能需要更多的工作來(lái)了解任何技術(shù)或文化障礙，并可能需要開(kāi)發(fā)適用于組織的替代解決方案。

　　確保高層領(lǐng)導(dǎo)參與宣傳活動(dòng)。如果很明顯他們沒(méi)有遵循信息（通過(guò)他們的行動(dòng)或其他方式），那么這將很快破壞活動(dòng)的有效性。

　　量身定制網(wǎng)絡(luò)安全培訓(xùn)以滿足組織需求

　　在開(kāi)發(fā)或采購(gòu)任何培訓(xùn)解決方案之前，了解并優(yōu)先考慮組織中個(gè)人所需的網(wǎng)絡(luò)安全知識(shí)和行為。如果正在考慮購(gòu)買“現(xiàn)成的”培訓(xùn)，請(qǐng)確保它滿足組織要求，并且與組織的技術(shù)安全控制措施配合良好。

　　向員工強(qiáng)調(diào)培訓(xùn)的好處，明確培訓(xùn)將如何不僅對(duì)他們有幫助，而且對(duì)整個(gè)組織也有幫助。這將有助于向員工表明他們受到組織的重視，從而建立忠誠(chéng)感。關(guān)心他們工作的組織的員工更有可能希望幫助其實(shí)現(xiàn)目標(biāo)，從安全角度來(lái)看，這可能會(huì)成為現(xiàn)實(shí)，例如，員工想要報(bào)告他們?yōu)榱斯ぷ鞫仨毑扇〉谋匾踩胧┩戤叀?/p>

　　以小的、頻繁的塊提供培訓(xùn)。一致的小信息比一年一次的一小時(shí)會(huì)議更容易消化和更有效。聽(tīng)取員工提供的關(guān)于近期培訓(xùn)計(jì)劃的反饋，并利用這些信息來(lái)調(diào)整未來(lái)的計(jì)劃。

　　避免重復(fù)，年復(fù)一年使用相同的培訓(xùn)視頻會(huì)導(dǎo)致員工認(rèn)為培訓(xùn)沒(méi)有得到重視。如果員工認(rèn)為前輩沒(méi)有考慮到培訓(xùn)，那么參與的人就不會(huì)得到充分的投入。

　　確保培訓(xùn)師對(duì)該主題有足夠的了解，并能將其與學(xué)員的日常工作聯(lián)系起來(lái)。如果學(xué)員認(rèn)為他們比培訓(xùn)師了解的更多（或認(rèn)為他們脫節(jié)），他們會(huì)質(zhì)疑培訓(xùn)的重要性以及為什么他們不能找到更合適的人來(lái)做這件事?？紤]請(qǐng)高級(jí)管理層支持培訓(xùn)。