根据B2B International的调查,大多数企业在对企业员工进行IT安全培训时,都首选企业自己的技术支持部门,而不是雇佣外部IT咨询机构或让人力资源部门或员工发展部门委托IT安全专业人员来进行。根据调查,针对员工的有效IT安全培训是抵御网络威胁策略的一个重要组成部分。在过去12个月内,平均每5起内部安全事故中,就有4起同员工行为有直接关联。
· 32%的受调查企业遭遇过机密数据意外泄漏
· 30%的受调查企业承认员工丢失过存储企业重要数据的移动设备
· 19%的企业遭遇过员工蓄意造成的数据泄漏
· 18%的企业处理过机密数据落入他人之手的安全事件,造成这类事件发生的原因是对移动设备的不当使用(通过移动邮件客户端、短信等造成数据泄漏)
研究多次显示,企业员工的疏忽错误导致发生重要数据泄漏和IT安全事故的比例很大。解决这一难题的主要措施是确保终端用户充分了解IT安全风险,并且知晓如何避免这些风险。这清楚地表明了针对企业员工进行IT安全教育的重要性。现在的问题是,应该选择谁对企业员工进行培训呢?
根据B2B International的调查,大多数企业认为企业自己的IT部门应该对员工进行IT安全培训,虽然这并不是IT部门的主要职能。但是,这一额外的工作量将会影响IT部门的表现。受调查企业注意到,IT部门有其他更重要的任务需要完成,通常没有时间对企业的员工进行培训。很明显,这将对培训的质量造成负面影响。另一方面,可以通过委托第三方IT咨询机构来完成这一工作,而且会取得更好的效果。但是,只有12%的受调查企业表示曾经采取过这种手段。
参与调查的企业中,有8%的企业选择让人力资源部门对企业员工进行IT安全培训。此外,还有差不多数量的企业委托员工培训和发展部门完成这项工作。约有3%的受调查企业会委托外部企业培训服务机构完成这一任务。这些数据在不同区域差别不大,例如,选择委托企业内部IT安全部门进行培训比例最高的国家主要位于中东地区(73%)、日本(72%)和北美洲(71%)。选择雇佣外部IT咨询机构进行员工IT安全培训的企业主要位于南美洲(16%)和亚太地区。
整体来看,大多数企业认可对企业员工进行IT安全教育的重要性,只有4%的受调查企业声称不会对自身企业员工进行IT安全培训。但是,企业培训的质量却存在疑问。毕竟,员工对于网络威胁的认知对企业IT安全策略的实施有直接影响,并最终影响到企业针对网络威胁的抵御能力。目前,企业IT安全策略的执行度相对较低,约39%的受调查企业表示企业员工并不会严格遵循企业的IT安全策略。