出色的安全培训是真正的挑战

所有员工都需要安全培训，但通常人们都对此避而不谈。多年来的各种研究表明，人们普遍认为人为错误是组织中最大的弱点。

对于 SaaS 提供商等技术公司来说，他们还需要确保其开发人员和工程师在安全方面处于领先地位，而将威胁通过软件供应链传递给客户则会带来进一步的风险。技术和非技术同事都必须发挥自己的作用——而这只能通过终身学习来实现。

科技公司必须高度重视员工教育、培训和最佳实践。交付的每个环节都必须尽量降低对业务、员工、客户以及客户的客户的风险。技术和非技术人员必须接受符合质量标准的培训，其中最广泛适用的是 SOC 2 和ISO 27001。此外，还有各种与特定行业和员工角色相关的数据安全、隐私和财务处理法规。

安全培训一直是科技公司面临的真正挑战。产品创新者争先恐后地进入市场，并且有“快速行动，打破常规”的动力。规模扩大后，其他业务、技术和人员挑战也随之而来，安全必须与许多其他紧急和重要的优先事项竞争。当许多公司认真对待这个问题时——即使他们确实这样做了——它也不会引起大多数员工的注意。是时候改变这种状况了。

更加重视安全意味着致力于培训

每个人都声称自己非常重视安全，但如果首席信息安全官和部门负责人没有定期、频繁地（这是关键部分）更新、测试甚至部署针对所有员工的红队战术，那么他们就对自己不完全诚实。

如果没有频繁的复习培训和培养并支持安全意识的员工文化，企业将面临巨大风险。安全环境的建立与破坏取决于人，他们很容易犯错、忘记或上当受骗。

现在，人工智能和机器学习被用于创造更逼真、更有针对性的诱饵，降低这种风险的唯一方法就是不断进行训练和持续提高意识。

让训练持久的关键秘诀

教授为什么，而不仅仅是什么

这对于任何类型的培训都至关重要。要求合规性会使强制程序看起来像是一种强加，所有安全都是要避免的障碍。解释安全漏洞和常见陷阱，以便用户意识到警惕的重要性。解释对企业和每个用户（无论是在他们的职业、个人和家庭生活中）的影响。

不要回避技术细节

技术团队将希望了解任何影响其执行能力的限制。

如果安全解决方案或步骤可能会影响交付，则必须考虑到这一点，并向风险和事件管理方面的高层领导进行适当解释。这些高层领导必须做好安全减慢进度的准备，并为此提供支持——如果这是自上而下的安全方法的一部分，那么安全意识至关重要。

如果培训以演习和活动为后盾，将非技术人员置于威胁的中心，并提供有关突破时间的统计数据、估计补救成本以及发生损失时对他们和员工安全的业务影响，那么非技术人员将更好地理解存在的规模和危险。相关细节强调了演习的重要性。

做人，做真实的自己

涵盖主要风险领域——社会工程、密码、物理安全、数据处理和合规性等——但不要忘记人性。

技术人员和业务线人员都必须了解业务和自身角色的主要风险领域。考虑人与人之间互动的文化。确保人们在将培训带回现实世界时能够安全地进行检查或承认错误。

让每个人都能使用

安全培训必须面向技术熟练且具备安全素养的人员，以保持他们的新鲜感和谦逊感。它也不能让技术素养较低的人感到不知所措或失去兴趣。

值得根据受众的角色和资历量身定制信息，并一起培训同龄人群体。如果初级员工因为被坐在他们旁边的经理吓到而不要求澄清，那将没有任何好处。

让专家根据群体需求设计培训有助于避免人们走神。无论承认与否，每个人都喜欢精彩的恐怖故事；利用引人入胜的故事培训来激发用户分享和讨论的欲望。

有趣且令人难忘

运用故事讲述者的所有最佳实践，让书面内容生动活泼，让口头部分引人入胜。出色的安全培训并不乏味——它很重要，值得产生影响。

请记住：间隔和多样化的重复是长期巩固学习的关键。首席信息安全官必须冒着不受欢迎的风险，坚持进行频繁、定期的培训和复习。定期培训——标准的年度复习培训——已经不够了；必须提供频繁的计划和突击培训。部署红队和突击演习可以真正提高员工的水平。无论结果如何，都要确保一种学习而不是责备的文化，并激励适当程度的透明度、探究和诚实。

为工程师提供创建安全设计的工具

您的技术和产品团队需要更多的安全培训，以将最佳实践嵌入到CI/CD工作流程中并确保解决方案不易受到已知风险的影响。

投资工具和培训，为技术人员提供框架和模型，使安全性成为创造优秀产品时简单易行的步骤。在开发阶段避免漏洞或未来违规更便宜。通过指出由于安全性不佳而导致问题的产品来抵御成本削减压力，并提供一个案例来表明安全产品可以确保盈利能力。