トレーニングの種類

每个组织都有适合不同文化的训练方式。。有以下几种选择:。

• 教室训练在整个过程中，教练可以确认学习者的努力程度，并进行相应的调整。。参与者还可以实时提问。。
• オンライントレーニング:与面对面的培训相比，它更灵活，更有规模，而且学习者可以从自己方便的地方开始学习内容，可能会减少对员工生产力的影响。。学习者也可以按照自己的节奏来学习。。
• 視覚教材你不可能把贴在休息室里的海报当成训练保安意识的唯一手段。。但是，如果你能有效地利用它，它就能起到提醒作用。。
• 钓鱼运动:没有什么比网页仿冒体验更能吸引学习者的注意力了。。当然，没有通过phishing测试的学习者需要自动注册参加额外的培训。。

在某些情况下，将上述几种组合起来可能是最合适的选择。。提高安全意识的训练并不是一次性的。。通过多种媒体进行定期的安全培训是最理想的，尤其是在离职率高的情况下。。

対象とする科目

在确定目标时，我们还需要考虑组织的威胁特征。。这些话题可能包括:。

• フィッシング:员工需要接受培训，以了解如何与可疑链接交互，如何在冒名网页上输入凭证，以及如何在发现网页仿冒时报告。。最近的网页仿冒比以前更加巧妙了。。在训练中，你需要囊括棘法钓鱼、可疑电话和可疑社交媒体账户的联系。。也可以介绍一些影响其他类似组织的钓鱼攻击案例。。
• 物理的セキュリティ:根据组织的性质，物理安全要求可能有所不同。。因为企业应该已经采用了物理安全策略，这有助于确保员工理解一些适用的策略(例如办公桌抽屉的锁和客人进入办公室的规则)。是一个很好的机会。。训练还需要确认如何报告物理安全风险，例如建筑物内没有佩戴客人徽章的人，以及公开的机密数据。。
• 桌面安全概述如果你没能在适当的时间锁定或关闭你的电脑，或者将未经授权的设备连接到工作站可能会发生的后果。。
• ワイヤレスネットワーク描述无线网络的性质，以及连接不熟悉的网络时可能发生的风险。。
• パスワードセキュリティ将复杂的密码作为必要条件，并鼓励员工定期修改密码的培训应该已经开始了。。但是，密码安全培训对于解释密码的重用、使用容易推测的密码以及更改失败带来的风险仍然很重要。。默认密码。密码管理工具也可以成为培训对象。。
• マルウェア在关于恶意软件的培训中，我们需要定义恶意软件的类型，并说明恶意软件的能力。。用户可以学习如何找到恶意软件，以及如何处理设备被感染的情况。。

効果測定

建立一个测试训练效果的过程是非常重要的。。一个方法是设置问题。。为了测试训练前的水平，我们需要在展开前进行设问。。你还需要确认训练后你的哪些部位发生了变化。如果钓鱼演习是定期进行的，那么我们需要追踪员工在接受安全防范培训后的反应是否有所改善(或恶化)。。

虽然这可能不是科学的方法，但随着时间的推移，员工的增加，资产的增加，对安全事故的发生次数和种类，有什么样的倾向进行调整，从而进行跟踪。我们可以在一定程度上判断工具的影响。。另外，为了判断行为的变化，在训练前后要查看公开的密码、被解锁的电脑、潜在的物理安全风险，是否可以巡视办公室进行实际确认?也许吧。

学習者の視点に対する考慮

安全可能是安全团队的首要任务，但其他团队有不同的目标。。因此，我们需要竭尽全力来有效地利用时间。。理想的情况是，应该根据员工的职责来定制培训，使培训内容与每个参与者的工作相关。。这样员工就能专注于重要的事情，尽快回到工作岗位上。。它还能让组织中的高风险用户(例如域管理员)得到最佳培训，以应对与自己工作相关的风险和威胁。。

当你和员工一起确认策略和最佳实践的时候，你需要经常解释为什么每个策略都很重要。。只有完全理解政策的前后关系，并认为它是正确的，用户才会有更高的概率遵守政策。。例如，如果你知道一个被巧妙伪装的勒索软件可以瞬间加密工作站上的所有文件，你就能很好地理解从互联网上安装随机软件的风险。很容易吧。最后，要注意不要对员工指名道姓地大吼大叫，不要让跟不上训练节奏的员工觉得你很傲慢。。倒不如说，团队领导应该集中精力创造一个让所有人都能愉快提问、报告突发事件的环境。。

当培训结束时，用户需要很好地理解如何保护组织不受风险的伤害，并且愿意与其他团队合作，积极地创建一个更安全的环境。。理解组织的需求和文化是成功培训的关键。。