前沿 Idea Watch

---

理念回归实践

“让课程更加
个人化，大家
更容易坚持下
去”

房利美（Fannie Mae）的首席信息安全官克里斯托弗·波特（Christopher Porter）负责监督近7500名员工以及数千名独立合同员工和顾问的安全培训。最近他接受了《哈佛商业评论》的采访，谈到了该公司是如何抵御钓鱼攻击的。以下是采访节录。

你们会进行何种防钓鱼攻击培训?

整个公司都设有广泛的强制性培训，我们还针对特定部门采取了其他措施。例如，应付账款和财务部门面临独特的攻击，需要培养特殊的防御能力。此外，每个月我们都会围绕特定主题进行一次模拟钓鱼攻击演习。员工点击一个测试邮件，会立即得到反馈——一个简短的视频会告诉他们为什么这条信息是钓鱼攻击。如果员工在一年内有两项或以上的测试不合格，就要参加额外的小组培训来进行补习。最后，我们每周都会进行一次安全意识宣传活动：每周五发布一篇博客，讨论如何识别网络攻击的一些问题，以及在发现网络攻击时应该如何处理——让大家主动报告攻击邮件至关重要。我们在不断地强调员工需要采取什么行动。

你们每月演习的重点是什么?

有三个主题。第一个是损失：攻击者威胁说，如果有人不回应，就会夺走他的某些东西。第二个是承诺：员工被告知点击某个链接就会得到一些东西。第三点与情感有关——试图利用诸如好奇心之类的东西。重要的是要知道员工最容易上哪一种的当，这样才能有针对性地进行培训。我们还会观察在某个特定时段流行什么样的攻击。比如最近，与新冠疫情相关的钓鱼邮件很容易令人上当。

研究发现，简单的思维练习可以增强员工对钓鱼的抵抗力。你们用过这种方法吗?

我们尝试让员工使用“停下，思考，行动”的流程。例如，鼓励他们在看到标记为外部信息的邮件时停下来，在继续阅读或采取任何行动之前问问自己是否在等这封邮件、是否认识发件人、是否有什么事情感觉不对劲。这种做法慢慢提高了我们的抵抗力。

如何防止员工完成了培训却没有真正理解吸收?

首先，试着让培训变得好玩。我们用专业人士制作的动画视频来进行安全培训，有时视频的配音是明星——喜剧演员乔恩·洛维特（Jon Lovett）就配过一次。其次，我们会参考研究成果：如果你教会员工在家里保护自己的信息，他们会把这种经验带到办公室，并应用到公司的信息上。为此，我们向员工展示了如何设置多重因素认证来保护个人财务信息安全。在报税季节，我们会提醒员工注意自称来自美国国税局的诈骗信息。我们做了很多事情来帮助员工保护自己的家人，比如请一位女性来公司讲小时候被网络猎手绑架的经历，以及父母如何保护孩子免受网络犯罪侵害。研究与我们的发现表明，个人化的培训课程更容易让人坚持下去。