安全意识培训的投资回报率

基于技术的安全解决方案，如防火墙、端点检测和响应解决方案、安全电子邮件网关、桌面防病毒、基于云的恶意软件和垃圾邮件过滤，都是安全基础设施的基本要素。然而，太多的决策者忽视了另一个对保证网络、数据、应用程序和财务资源安全必不可少的重要因素：与它们互动的人。

安全意识培训旨在增强用户识别威胁的能力，例如网络钓鱼尝试、声称来自公司首席执行官的异常请求、网页上的恶意广告以及旨在诱骗用户做一些可能对组织造成严重破坏的事情的其他威胁。接受过良好安全问题培训的用户在打开电子邮件、点击社交媒体链接或访问网页时会更加谨慎，而不会先检查其有效性的线索。

本白皮书回顾了 Osterman Research 在 2019 年 5 月和 6 月对组织进行的深入调查的结果。本文讨论了部署强大的安全意识培训计划的财务理由，并展示了可以产生的可观投资回报 (ROI)。

另请参阅： 规划 Office 365 差距

奥斯特曼研究的主要见解

安全决策者关注一系列问题

研究发现，决策者和影响者担心各种安全问题，最主要的是网络钓鱼攻击、恶意软件（包括勒索软件）以及敏感或机密数据泄露。大型组织往往比小型企业更担心这些问题。
安全预算正在增加

绝大多数组织的安全预算一直在增加。有趣的是，尽管网络钓鱼被视为首要关注点，但许多组织在反网络钓鱼技术上花费的总安全预算中相对较小的一部分。

但安全意识培训预算增长得更快

按每位员工和每位电子邮件用户计算，安全意识预算的增长速度远高于整体安全预算。这些预算的增长与用户接受的安全意识培训的每月时间大幅增加相吻合，从 2018 年年中的平均 17.6 分钟增加到 2020 年年中的 26.0 分钟。

决策者仍然认为基于技术的解决方案更优越

我们发现，对于网络钓鱼和商业电子邮件入侵 (BEC) 攻击，决策者通常认为培训是应对这些威胁的更好方法。然而，对于其他类型的安全威胁，基于技术的解决方案通常被认为优于安全意识培训。

大多数用户没有得到足够的培训

近三分之一的用户每年接受一次甚至更少的培训。另有 29% 的用户每年仅接受两到三次安全意识培训。只有 39% 的用户每季度或更频繁地接受培训。

培训极大地提高了用户识别威胁的能力

在进行安全意识培训之前，IT 和安全团队对用户识别各种威胁的能力信心不足。然而，在用户接受培训后，他们对自己的知识和能力的信心水平大幅提升，在某些情况下甚至提升了三倍。

下载由 Mimecast 赞助并由 Osterman Research 进行研究的白皮书。了解有关安全意识培训以及企业如何应对安全威胁的更多信息。