資安新兵訓練營

選擇適合你的訓練方式
所有安全意識課程的核心，都是要教育使用者資訊的價值與存取控制，並訓練他們遇到哪些不尋常的事件時該做回報。使用者不必是專家——如果訓練的範圍不脫離他們的日常工作，他們會更容易吸收進去。
許多公司一開始常採用低成本且未經包裝的課程，或將安全意識課程委外，以便善用教育機構的經驗，很少公司會以自己的痛苦經歷來教育使用者。委外的課程、推廣的教材與教學工具固然提供了實用且成熟的安全意識課程，但卻缺乏經年累月的研究、設計與微調。
雖然各家廠商所提供的課程各有所長，但對於這些委外課程，你只需在意幾項功能（請參考：「功能要求」）。安全教材的授課方式也非常重要：雖然大多數廠商皆有提供線上資源，但有些也提供了實體教室的訓練課程。
另外，也要看看這些教育單位提供了怎麼樣的學習追縱工具。每月的學員報表當然是不可或缺的，但有些公司也提供了額外的報表工具。別忘了問問看你是否可以建立自己想要的報表。
SANS Institute是最為人所熟知的「現成」安全意識訓練，它不但提供了線上學習，還提供了面對面的教學、學習追縱，以及傑出的輔助教材。Symantec Education Services也提供了單元式的安全意識課程，但它基本的組合只包含了書面教材的CD，你必須自己找講師。
如果這些現成的方案都不符合你的需求，那麼就開發自己的安全意識課程吧，上至CEO，下到郵件收發員，你都可以為各類使用者設計出最適合他們的課程。例如，雖然所有使用者必須學習如何選擇好的密碼，但程式開發人員還需了解如何撰寫安全的程式，而業務則必須知道如何保護筆記型電腦及PDA上的資料。自行開發的訓練課程更容易與公司的安全原則及程序整合。不過這也是最花錢的方法，從人事、時間，以及預算的觀點來看，適合這種方案的要不是最小的組織，要不就是最大型的組織。
對於中型的組織而言，則可採用混合的方式，也就是將外部的安全意識套裝課程根據自己的特殊需求進行修改。多數廠商都有提供客製化的服務，其中包括了Security Awareness Company，他們肯依據你的需求去修改制式化的課程，讓你的安全意識課程更有人氣。另外，ReeseBrook也提供了HIPAA、GLB、SOX，以及「愛國者法案」（Patriot Act）等規定的課程模組。


現在就行動！
廣告界有個說法，就是潛在客戶必須看過你的訊息三次，才有辦法讓他們注意你的產品，但若要讓他們行動，則需要更多的努力。安全意識教育也一樣。因此請務必慎選你要傳達的訊息，並反覆推敲。
試試這些有效的方法吧：
?建立品牌—別忘了現代行銷手法的強大效果。你可以為你的安全意識教材建立一個商標。將訊息的目標設定為最需要安全意識課程的使用者群。記得要做的有創意、有趣，而且要簡單明暸。
?讓訊息傳出去—「好康道相報」。你可以利用傳單或是螢幕保護程式，將容易記憶的訊息或標語傳達出去。
?反覆進行—環境中的威脅變化快速，因此訓練課程也必須與日精進。請時常檢閱你的訓練課程，並要求所有的使用者每年至少得整頓一次他們的電腦存取權限。
?發佈快訊—請善用公司內部刊物或內部的郵件系統。寫的內容要儘量減短，技術字眼也要越少越好；大概只需一到兩段的文字，就可以達到快速通知使用者的目的了。
?建置安全部落格—部落格（blog）是新流行的全民日誌：你可以將每天或每一週的安全災害，寫成幾段的資訊，並加上你的評論與事後的結果。
千萬要記得避免資訊過量的情形發生。儘量從大量的準則中精挑細選，原則與程序之類的東西固然該寫，但請試著把焦點放在其背後的概念上。例如，不要只是對員工說要好好保管客戶資料庫的密碼，而是要教導他們要是資料庫中的姓名、地址，甚至是信用卡資訊被盜取的話，對員工自己乃至於公司，會發生怎麼樣的後果。你的使用者若是更清楚這些情況，就會做出更好的抉擇，進而讓往後的課程更好推展。
試著將你的核心訊息抽象化到較高的境界，然後再依重要性進行排列。一開始可以強力主打其中的二到三項內容。例如，你可以先讓員工知道公司（而非他們自己）擁有他們工作所需的資料與運算資源，以及要如何做到好的密碼管理。當這些觀念深植在他們心中後，再回過頭來介紹清單的下一個項目，例如如何分辨社會工程詐騙（social engineering scam）以及網路釣魚（phishing）的手法等。

現役安全尖兵
現在你已經將使用者送到資安新兵訓練營了，但你要怎麼評斷訓練的效果呢？不管你是使用套裝的課程還是自己設計的課程，在你開始前，都得先準備好用來評估效果的度量工具。
評量的方法可包含使用者的用心程度：有多少使用者存取過安全意識課程網站？或是點選過每月快訊的E-Mail連結？當然，更直接的評量還包括了有多少使用者參加安全意識課程，以及他們在隨堂測試的平均分數又是多少。
不過最真實的衡量方式，還是在於訓練課程如何影響安全性。像技術支援中心每個月的來電數就是很好的指標。你可以預期這個數字會減少，但是電話數目變多未嘗不是好現象：這意謂著你的使用者更關心安全性問題了。而支援中心的電話成本增加也是個早期的預警，因為誰都不希望最後會影響到公司的營運。
善用你的工具——如果你有不錯的軟體盤點工具的話，可以利用這些工具追縱有哪些電腦安裝了非法的軟體。利用安全意識課程強化這項威脅的知識，如此這些違反規定的電腦數目應該會大量地減少。
當選定評量方式後，請儘速實施，即使你的安全意識課程還沒開始都沒有關係。要評斷的課程是否有效，就得先知道課程實施前的狀況為何。只要建立出你想評量的基準，便可以利用實際的數字來看出課程是否有效。

開戰時刻
安全意識課程是一項長期的安全策略：不經一番等待，你便無法完全得知他們的效果。而若要讓你的課程能夠成功，最有效的方法，就是從內部的企業文化開始做起。
在選擇訓練的傳達方式時，記得要能夠順應員工日常的作業習慣，否則他們很容易排斥你的課程規劃。當然，也要避免一次教太多的東西。
透過仔細的課程規劃，以及選擇能夠與現存程序完美整合的評量方式，相信貴公司（以及使用者）已經準備好面對接下來的挑戰了。
特約編輯David Bianco是技術安全顧問與訓練公司Vorant Network Security的總裁。若對本文有任何意見，請寄到iseditor@asmag.com。