9个提示，技巧和必须为安全意识程序

成功的一个关键因素是要能够证明你的努力是成功的。做到这一点的唯一方法是在开始新的意识努力之前收集指标。安全Mentem。

正如团队在最近的文章中所概述的那样成功的安全意识计划的7个要素，这些指标可以包括态度调查。他们还可以包括使用钓鱼模拟工具，包括前后意识培训。您还可以检查与安全相关的事件的数量，例如试图访问被禁止的网站。

”当人们讨论意识时，他们通常只关注预防——他们试图实现‘人的防火墙’的想法，”SANS学院安全人类程序的培训主任和《人的防火墙》的作者Lance Spitzner说关于意识的5个误区。“虽然预防很重要，但为什么要限制自己呢?”为什么不把人也训练成人类传感器呢?”

斯皮茨纳建议让员工了解妥协的指标，并让他们报告潜在的事件。

“例如，如果你在内部进行钓鱼评估，你不应该只追踪有多少人受到了攻击，还应该知道有多少人发现并报告了攻击。想想那时你的组织会强大多少。”他说。

安全催化剂认为，组织内部的违规行为实际上可以提高意识迈克尔Santarcangelo。

为了在商业环境中实现这一目标，Santarcangelo提出了如下建议:

-选择“正确的”规则来打破:找到一些不太可能造成损害的东西，同时允许个人获得必要的经验来理解结果(他们的行为的后果)。

-让它成为一个特殊的事件(而不是例行公事):承认他们有机会打破规则，因为他们受到尊重，但这是有条件的(一些结构)。

-参与对话，而不是说教;从他们的经验中学习，并以此为基础，就规则的目的达成共识。

“过去的大多数意识项目都未能改变人们的行为，”斯皮茨纳说。然而，这是因为过去的大多数程序并不是为了改变行为而设计的。他们唯一的目标是满足法规遵循要求，勾选复选框。因此，我们投资了绝对最小值。”

斯皮茨纳继续说道:“在这些最基本的安全意识项目中，人们每年只做一次PowerPoint演示，或者每季度发送一次安全意识简报。”

斯皮茨纳说，要想有效地改变人们的行为，各组织需要创建一些从头开始设计的项目来改变人们的行为。

Winkler和Manke说，获得c级支持的认知项目更成功。

他们指出:“这种支持必然会带来更多的自由、更大的预算以及来自其他部门的支持。”“任何负责运行安全意识项目的人，在专注于其他事情之前，至少应该首先尝试获得强有力的支持。”

Winkler和Manke还敦促组织实施一个成功的意识项目，让其他部门参与进来，如法律、合规、人力资源、营销、隐私和物理安全。这些部门往往有共同的利益，可能愿意提供额外的资源，例如资金或分配。还可以强制提高安全意识。

根据温克勒和曼克的观点，创造力是必须的。

创造性的一个例子包括在公司活动期间使用安全多维数据集。安全意识部门在主走廊设置了一个模拟隔间，里面有10处常见的安全违规行为。能辨认出所有10项违规行为的员工将被列入抽奖。”

Winkler和Manke说，虽然大多数安全意识项目遵循一年的计划，但这些计划也试图每个月涵盖一个主题。他们推荐一个90天计划——每三个月重新评估项目和目标。

最成功的项目同时关注三个主题，并在90天内定期强化。每隔90天，就会对该课程进行重新评估，以确定今后需要解决哪些问题。”

当涉及到不同的员工时，一个标准并不适用于所有人。

“最成功的节目不仅是创造性的;他们依赖于许多形式的意识材料，”温克勒和曼克说。这包括时事通讯、海报、游戏、新闻订阅、博客、仿冒网络钓鱼等。最有参与性的努力似乎取得了最大的成功。”