问企业安全培训是否应根据用户的工作角色量身定制？

EN

这里的安全意识专家(奖项，畅销书)。

--当然，您应该/需要定制针对角色/风险的培训。

实际上，许多国际机构都认为这一点很重要：

• NIST CSF (PR.AT)
• NIST SP 800-16
• 无菌
• 联邦调查局/国土安全部
• ，国家网络中心首席运营官

这些正是我能从头顶上回忆起来的东西。

但你在最后的问题似乎表明了一个误解的材料将如何产生。

设置了基线标准

你的组织需要设定一个最低标准的意识，以满足您的组织的风险简介。这意味着每个人都有相同的基本基础。最重要的是特定角色的材料。

相同的材料，特定角色的例子

但它可以走得更深，更有效。我主张使用相同的基础材料来创建特定于角色的材料，但是要有特定角色的例子。不要向船运部展示人力资源的例子。在实际情况下，保留特定角色的例子，但要覆盖相同的材料，以便基础是相同的。这有助于说明为什么材料对员工很重要。

列车迎接风险

此外，组织中不同的角色将经历不同的风险，这些独特的风险应该在培训中得到解决。财务和人力资源面临不同的风险，需要不同的工具/程序来应对这些风险。船运部将有一套完全不同的风险。培训绝对应该针对风险而定制。

是的，对于那些不是专门的安全意识课程设计者的人来说，这会让人望而生畏。这是一项很大的工作。这就是为什么大多数组织都不这么做的原因。但他们应该这么做。

轻松模式:冠军

一种更容易的方法是采用“冠军”方案，在每个部门/风险领域的选定人员接受培训和支持，以帮助设计、交付和成为部门/风险特定材料的联络点。这在许多组织中被证明是非常有效的。然后，你应该把已经被证明有效的定制材料，滚动到你的学习计划中，以使它更加一致和可重复。

下一步:不仅仅是特定角色，而是特定于受众的

。

此外，我还主张为贵组织中不同的技术和人口群体提供不同的材料。对于那些从来没有听说过这个概念的人来说，“如何发现一个phish”的培训需要看起来与IT专家不同。所使用的语言和概念需要被组织中的不同人口群体所理解。例如，询问不同的人是否知道什么是“浏览器”。看到谁没听说过这个词，你可能会感到震惊。这意味着，你的“如何发现一个教鞭”材料需要要么不使用该术语或培训人员在其中。

刻度材料

在我的材料中，我让他们毕业，这样技能和知识水平就会提高。当人们表现出精通较低的水平时，他们就会解锁更高的等级。这意味着IT专家只需要处理一次基本材料，而受到高层次的全新技术的挑战。新的人可以用这种材料成长。

定制培训以满足用户需求的想法实际上是一种非常好的方法。然而，这种方法必须有一些附加内容，这样才能适合您组织中的每个人。

尽管如此，当您说应用程序开发人员所需的培训与人力资源人员不同时，这是非常正确的。

然而，当您查看ISO 27001的结构时，您会发现它有许多方面将适用于所有部门，如出入控制、资产管理和处置、知识产权管理、业务连续性程序、雇用程序、事件处理、可接受的使用指南、清晰的办公桌和清晰的屏幕等等。你会发现我上面列出的每一个项目都将适用于每个人。

您的培训方法应该考虑到所有这些，同时也要使培训角色具体化。我一直在采取一种部门特有的方法。有些模块是专门为某些部门保留的，而大多数模块适用于所有部门。你的训练计划应该列出所有这些。

最后，您传授给员工的主题实际上应该在组织的信息安全管理系统(ISMS)的范围内。因此，如果您有一个定义明确的ISMS，请仔细查看为您的组织所定义的所有策略和程序。这将给你一个很好的起点来定义你所有的主题。

这与其说是一个安全问题，不如说是一个沟通问题，但我必须承认，这一结果对全球安全做法产生了强烈影响。重要的是，所有员工都会认为他们的活动是重要的，他们的不良行为会产生严重的影响。

如果你以这种方式呈现：

• IT管理员将遵循一个专门用于他们工作的模块。
• IT开发人员将遵循一个专门用于其工作的模块。
• 非IT研究员将遵循一个通才模块

非IT工作人员认为安全性不是他们关心的问题的风险很高。

由于我以前的工作之一不是以IT为重点，我认为非IT工作人员可能会更关心以下介绍：

• 每个人都有一个通用模块，让所有员工共享这个基础，不管他们的具体活动是什么。
• 每组增加一个模块

对于IT组、管理员和开发人员来说，附加模块的内容微不足道。

对于非IT成员，您必须找到与其实际活动相关的示例。社会攻击是财务团队最关心的问题，保密是客户服务代表团队最关心的问题。这样，你就可以向每个群体表明你已经考虑过他们的活动，而且他们的活动中缺乏良好的安全措施会产生严重的后果。

实际内容与第一种方法没有太大的不同，但是可以看到不同的内容。