人员是企业抵御不断进化的网络威胁最强大的防线，但仅靠安全意识培训并不足以转变用户的行为。

　　本指南中，usercure分析了为什么人员风险管理（HRM）是构筑熟知安全型员工基础的新方法，

　　别被愚弄了……

　　企业在增强员工安全意识方面的投入越来越多，但有个大问题仍然困扰这各个行业的中小企业和大企业：人员相关的数据泄露。

　　面对不断进化的网络威胁，即使越来越多的企业持续推出员工安全意识培训计划，仍然有超过90%的数据泄露源自人为错误。

　　于是，为什么人员相关的数据泄露如此普遍呢？

安全意识培训往往并不足够

　　我们很容易认为，不时推出几个安全意识课程和发送几封电子邮件公告就能阻止员工点击网络钓鱼邮件，或者拦住他们重用糟糕的弱口令。然而，正如许多企业发现的，仅靠安全意识培训往往不足以真正激发用户弹性和驱动安全的人员行为。

　　原因如下：

　　· 培训并不总是契合目标：无数安全培训计划都是指向失败的急功近利产品，例如，匆匆抛出不规律、无参与感的通用培训课程，然后寄希望于员工从此不会点击下一封网络钓鱼邮件，期待所有必要的合规选项框都勾选掉。

　　· 培训课程被错误地视为万灵丹：定期培训是帮助员工强化自身安全行为的重要手段，但基于计算机的课程仅仅是对付人为网络风险的其中一环。员工需要通过优化的策略传达和实际风险评估来知晓自己肩负的安全责任，比如通过网络钓鱼模拟和暗网数据泄露扫描；这些动作需要定期执行，从而保持员工面对现代威胁的弹性。

　　· 培训结果不能真实反映人员风险：很多用户培训计划都无法真实反映企业面临的人员网络风险，相反，只能依赖安全意识培训评级和（可能的）零星网络钓鱼模拟的结果来评估企业的安全状况。而这往往无法描绘出人员风险全景，而且，培训的全面效果也难以精确评估。

　　那么，企业该如何更好地理解、处理和监测自身人员往来风险呢？

人员风险管理（HRM）：usecure以用户为中心的安全新类型

　　人员风险管理（HRM）使IT人员和托管服务提供商能够在不妨碍员工生产力的情况下，度量、缓解和监测持续的人员网络风险。

　　usercure通过自动化用户定制的安全意识培训、周期性网络钓鱼模拟、简化策略管理，以及持续监测暗网数据泄露来简化HRM，以持续的人员风险评分来清晰展示这些动作随时间推移对风险的影响。

　　可以查阅usecure的免费指南，了解关于传统安全意识培训往往流于表面的原因，知悉如何开始通过自动化的人员风险管理（HRM）来驱动安全的用户行为。

　　usecure HRM免费指南：Security awareness training is broken

参考阅读

近70%的网络安全专业人员在工作之外学习网络技能

英国内阁办公厅网络安全培训开支一年暴涨500%