电子邮件服务公司TheXYZ的创始人佩里·托内(Perry Toone)说，对员工实施网络钓鱼测试导致类似的灾难性结果并不罕见，甚至很多企业因此放弃了这一方法。

他说：“我们创建了一个虚假的钓鱼网站，并诱惑员工单击电子邮件中的链接。事实证明，这不是一个好主意。许多员工吓坏了，以为自己真被黑客入侵了。”

那么网络安全意识培训有没有更好的，让员工“印象深刻”同时又有参与积极性的方法呢?以下是多位网络安全专家给出的八大建议：

游戏化

Auth0安全与合规高级总监Duncan Godfrey表示，人们喜欢边做边学，安全部门需要创造既促进教育又激发兴奋的挑战。

例如，内部漏洞搜寻不仅鼓励员工安全发现并报告漏洞，而且还可以识别公司基础架构中的威胁和严重错误。

Godfrey说：“这一挑战促进了员工之间的健康竞争，并在我们的日常工作中引入了令人兴奋但又富有成效的使命。发现严重漏洞的任何员工都会获得公司内部的名人堂荣誉以及Auth0赃物奖。”

第二个挑战是网上诱骗：要求员工“像黑客一样思考”，并尝试诈骗Auth0的网络安全文化经理。

Godfrey说：“这项以受控和安全的方式进行的挑战为我们的员工带来了一项有趣的任务，使他们能够更好地了解安全人员日常防御的各种攻击类型。”

将安全意识培训整合到入职流程

S3 Consulting的首席执行官兼创始人Johanna Baum说，在新员工入职的过程中，他们就应该接受一些意识培训。

她说：“在S3中，一旦通过入职颁发证书即可接受安全意识培训，包括每个客户都必须参加。如果没有成功完成，他们将无法完成入职流程或某些资产的分配。”

鼓励员工提交错误报告

电子邮件安全公司Tessian的首席执行官兼联合创始人Tim Sadler说，每个人都会犯错，“但是人们控制的敏感数据比以往任何时候都要多，例如客户，财务和员工信息。这意味着即使是最小的错误，如意外将电子邮件发给错误的收件人，都可能会严重损害公司的声誉。”

Sadler提倡通过鼓励员工提交错误报告来使安全意识更加普及。

他说：“公司需要建立一种安全文化，以鼓励员工向IT部门报告错误。否则，这些错误将继续发生，而且无法了解它们的发生方式或原因。”

基于角色和年龄的针对性安全意识培训

网络安全培训公司Cybrary内容运营主管Will Carlson说，为了使安全意识尽可能成功，安全领导者需要确保意识培训项目对于最终用户而言是可行的和有针对性的。

他建议根据最终用户在公司中的角色，提供定期的 “有的放矢的意识培训”。