原创 超Sir 关键信息基础设施安全保护联盟

没有指标就无法衡量和展示价值，但就常见的安全意识基本指标而言：如学习覆盖率、学习完成率、考试通过率、钓鱼模拟演练中招率、安全事件报告率等等，不太可能引起高管的兴趣和重视。如果高管层看不到更有价值的结果，就不太可能批准更合理的预算和资源支持安全意识教育，而没有足够的理解、重视和资源支持，安全意识教育就无法充分发挥应有的作用。由此，陷入了一个低水平的恶性循环，“人为因素”安全风险便长期无法有效解决。

通过权威数据看安全意识的重要性

据IBM最新发布的《2024年数据泄露成本报告》显示，全球范围数据泄露事件的平均成本达到了488万美元（约3500万元）的历史新高。而造成数据泄露成本增加的主要原因是多方面的，如：监管部门的执法力度和处罚金额加大、网络犯罪分子借助于AI和自动化工具发起越来越复杂的攻击、企业安全团队人员配备不足、员工的安全意识薄弱与安全响应技能缺乏等等，这些都直接或间接反映了加大对员工安全意识教育力度的重要性（如：通过安全意识教育增强制度与行为合规性、加大黑客攻击难度、使广大员工成为安全团队的一份子，充分发挥“联防联控”的作用）。
安全团队在向高管陈述自己的观点时，还可以举出具体的财务证据，以及安全意识教育如何帮助解决成本最高、威胁时间最长的网络攻击类型。例如，恶意内部人员造成的损失成本最高，平均为499万美元。其次为网络钓鱼(社会工程学攻击)以及凭据被盗/泄露，这两类攻击平均给公司造成的损失分别为488万美元和481万美元。另外，识别和遏制网络钓鱼以及凭据被盗/泄露的时间周期分别长达261天和292天(近10个月)。通过持续的安全意识教育，可以降低内部人员威胁发生的概率，提升员工识别和响应网络钓鱼/社会工程学攻击的能力，使员工养成良好的密码设置、使用与保管习惯，缩短平均检测时间/平均响应时间/平均遏制时间等。在这些方面，安全意识教育的投资回报率比安全技术防御更高，且更有效。

通过安全意识成熟度模型认清现状

SANS提出的安全意识成熟度模型已成为业界广泛参考的标准，它不仅提供了一个基准工具，用于评估和衡量组织当前的安全意识成熟度水平，而且也是一个战略路线图，为组织规划和迈向更成熟阶段指明了方向，同时还是一个沟通工具，用于向利益相关者可视化展示安全意识的发展和成果全景图，五个成熟度级别从低到高依次是:

【零起点】: 组织未开展任何安全意识宣传与培训，员工对于组织的安全策略、流程、制度毫不知情，对安全漠不关心，员工在网络威胁面前是脆弱的，这也意味着内部违规、外部攻击和数据泄露事件屡屡发生。

【关注合规】: 组织仅仅为了达到相关合规/监管/审计要求而开展最基础的安全意识培训和考核，培训通常是临时组织或每年举办一、二次，员工往往是被动应付式参加培训，且不清楚自己的安全角色与责任。
【意识提升与行为改变】: 组织配备了专人全职负责安全意识工作，面向全员开展系统性、常态化的安全意识宣贯、培训和演练，并针对不同岗位及风险特点开展针对性强化培训，鼓励员工在工作和生活中的风险行为改变。员工能够充分理解并遵守安全制度，能够积极配合、发现、预防和报告安全事件。
【长期维持与文化变革】: 组织在强有力的流程、资源和领导支持下，安全意识和安全责任已成为员工的一种自然习惯，这意味着安全文化已成为全体员工的共识，融入到了日常工作中，深刻影响和改变了员工的安全态度、认识、信念、价值观和行为方式。员工清楚地知道哪些态度、行为、做法和习惯是安全的，是组织提倡的、值得表扬的，哪些是不安全的、不提倡的、值得批评的。

【战略度量框架】: 组织形成了一套以数据为驱动的综合度量指标框架，将安全意识工作成果与组织的业务目标和安全目标挂钩，更好地从战略层跟踪、衡量和展示安全意识工作的投资回报率。关于度量指标如何设定，请参历史文章：彻底搞懂安全意识度量指标，看这篇就够了！

向高管展示安全意识成熟度模型，有助于高管更直观地理解人为因素安全风险管理工作的现状、差距和不足，以及未来的发展蓝图和前景。

将安全意识指标转化为业务结果指标

如何通过安全意识度量指标来展示真正的业务价值是一个难题。实际上，安全意识指标可以反映和影响两个结果的好坏，一个是安全结果，另一个是业务结果。例如，钓鱼邮件中招率、钓鱼邮件上报率、钓鱼培训完成率等是最基本的安全意识度量指标，如果仅将这些干巴巴的数据拿给高管层看，基本不太会引起重视和共鸣。而这些关于钓鱼防范的安全意识指标可以转化为影响安全结果的指标，如：网络钓鱼中招事件的减少、识别和响应钓鱼邮件的速度更快、花在钓鱼培训上的工作量、时间和成本降低等。从业务结果影响层面，有效的网络钓鱼防御可以最大限度地降低钓鱼攻击造成的业务运营中断或数据丢失、减少可能的监管处罚、降低网络安全保险费、保护组织品牌声誉、赢得客户信任等等，而这些正是高管层关心的话题。也就是说：安全意识结果会影响安全结果，而安全结果又会影响更广泛的业务运营结果。更高的安全性将转化为更高的生产力和更好的服务交付，最终有助于组织降低成本、降低风险、提升效率、增加利润。
展现安全意识(人为因素风险管理）的商业价值需要安全团队跳出传统惯性思维的束缚，不局限于浅层的数字指标，用以非技术受众能够理解的方式清晰地传达安全意识给业务带来的积极影响。将安全意识指标与安全目标和业务目标相呼应，贴合得越紧，越能支撑业务总目标，越容易赢得高管层的理解和支持。
当充足的理由、清晰的逻辑和详实的数据依然无法说服和打动高管时，安全团队还可以通过现场黑客攻击模拟演示的方式，让高管身临其境地体会到黑客是如何利用员工的安全意识薄弱而轻易突破企业安全防线。另外，还可以尝试“讲故事”的方式吸引高管的注意力和引发共鸣，例如：一家企业如何因为一名员工中招钓鱼邮件而感染勒索病毒，导致业务中断、股价下跌、舆论漩涡、法律诉讼，以及高管引咎辞职等等。通过挖掘隐藏在数字背后的事件和故事，将安全意识教育转化为令人信服的业务价值论证，从而更好地赢得高管层的支持。

​