这个策略可以大大提升企业的安全水平降低风险

没错，本文还是一个思考，不写出来分享憋得慌。

啥策略这么神奇？你一定很好奇，别急，看我慢慢道来

背景

对于企业而言，核心是人才，企业的价值是人的价值集合，人在不断的做事产生价值，而过程中会面临或者引发很多安全风险，对于攻击者而言，人是最容易攻击的也是最脆弱的。

比如应用的安全问题是怎么造成的？是研发人员缺乏安全方面的知识，安全意识不足，编写出存在安全漏洞的代码，从而导致安全漏洞。

比如设备弱口令问题，运维人员因为安全意识不足，方便操作设置弱口令被攻击者利用。

比如 github 代码泄漏问题，研发人员因为安全意识不足将公司代码、甚至包含敏感服务器的认证信息，对企业的安全造成威胁。

为了提升员工的安全意识，很多企业的安全部门专门会做一些安全培训和安全意识培训相关的宣贯，在等级保护、ISO 27001 等安全认证中也有要求定期做一些安全相关的培训，来提升全体员工的安全意识，降低企业的安全风险。

但是多数安全培训都是走走形式，效果很一般，对于员工而言，安全意识的提升对自己的工作并不能带来太大的作用，因为企业不会因为安全意识强而升职加薪，没有激励就没有动力，所以安全部门为了提升培训的效果，会采用强制培训和设置考试的方式，考试过不了采用与绩效挂钩的方式，这种方式对于员工而言一定是排斥的，效果也不会太好。

解决办法

那么如何让互联网从业人员提升安全意识，将安全作为一个属性附在员工身上，并且提升安全意识不只是企业的要求，而是人人都想要提升的能力呢？

原始的状态是安全部门强制提升安全意识而非员工自发提升，这就跟逼着孩子学习是一个道理，孩子不会因为强迫而变得学习更好，即使短期有效也必不会长期持续。想要孩子学习好，需要引导和激励，让孩子从心底里热爱学习，自发成长。

对于员工安全意识的提升该怎么做呢？下面分享一下我的思考，想要落实需要各个大厂配合。

一个员工在入职之前就有很强的安全意识，对于企业而言可以节省很多的培训费用，效果还比自己培训的好，所以我们能不能在招募人才之前就把安全意识作为面试招聘中的一项参考内容呢？

我认为是可以的，一个安全意识强的领导，在工作中可以形成很好的正向影响，员工会因为领导的安全意识，慢慢提升自身的安全意识；一个安全意识强的员工，在工作中可以影响身边的员工提升安全意识，减少因为安全意识不足而导致的企业损失。

在招聘之前，就把安全意识的要求增加到招聘要求中，对于求职的候选人，为了更好的符合企业的岗位要求，多多少少获取突击学习一下安全相关知识，提升自身的安全意识，久而久之形成正向循环，互联网人才的安全意识会越来越好，即可以提升人员的安全意识，还能降低企业在安全培训上的投入，还能大大提升企业的安全性。

总结

这个思考的目的就是想表达，在招聘人才之前就把安全意识和安全相关技能作为参考，可以激发候选人的学习动力，降低企业安全培训的投入，提升企业的安全性。这个策略的落实需要企业内部推广，让安全意识成为每个人自己想要提升的部分，而非企业强迫提升的部分。

本身安全的存在是因为主体不安全导致的，安全的主体就是人，人创造物，物安全不安全取决于人对安全的认知，我相信终有一天，安全意识会成为每个人都想要提升的能力，对于个人而言是有百利而无一害的。

对于人身安全，每个人从小就会被父母告知，什么能做，什么不能做，什么危险，会有什么危害，因为恐惧心理，每个人对于人身安全都有很强的意识，而在互联网上的安全意识，算是新兴领域，全民安全意识的提升还有很长的路要走，作为互联网人是最接近和了解互联网的，提升安全意识从我们做起。