评估网络安全培训有效性

攻防
2年前

beidaqingniao.jpg

  老话说:50%的广告都浪费了,但你不知道是哪50%。这句话同样适用于网络安全培训计划,而且情况甚至可能更糟。想要知道培训计划的哪些部分有效及其起效的原因很难,但也不是完全没办法做到。评估网络安全培训有效性的好处是显而易见的。 

  在网络安全领域,威胁和对抗威胁的解决方案都在不断发展变化,安全运营中心的员工需要保持对网络威胁和解决方案的敏锐度。但是,在培训计划上花费时间和预算可能是件很难令人接受的事,尤其是在如今网络罪犯似乎无处不在的情况下。 

  于是,证明培训计划的有效性就非常重要了。各部门经理需要确保他们的投资能够获得回报,以便向高级管理层报告并证明培训预算要求的合理性。他们想要能够评估安全进展,证明这笔钱花得物有所值。

  学员也希望看到这种评估,因为人们希望跟踪记录自身进展,想要感受到自己把有限的时间花在了有意义的事情上。他们希望能够确保所花费的时间精力能够让自己的工作和业绩有所提升。如此之多的员工培训倾向于采取强制照单划勾的方式,并没有真正意义上的进展评估。这样我们往往会忘记培训成果,或者就不像有实际进展跟踪那样认真对待培训。

如何评估安全培训? 

  安全培训计划有效性的评估存在多种方式。例如,柯式评估模型(Kirkpatrick Evaluation Model)就是广泛使用的流行框架之一:

  · 反应评估:最基础的一个层级,可以通过调查或问答环节衡量学员对培训计划的反应。你可以询问的问题例如:培训内容是否相关?感受如何?存在哪些优缺点?在这一层级,评估更多的是了解学员对培训的感受,而不是培训是否达到了行为改变的最终目标。要通过在过程早期获得一些反馈并考虑学员的反应来赢取其认可,从而真正开发培训课程。这样一来,学员就不会觉得这是被上级强压下来不得不接受的强制培训。

  · 进展评估 :培训计划全面展开后,可以开始评估实际学习情况,并在评估中引入关键绩效指标(KPI)。这些评估标准可以反映个人提升情况:答对了多少题,或者培训结束时有没有掌握新技能?可以依据获得的认证或LinkedIn徽章,或者通过实际培训结束时的测试来衡量。只要能够通过获得认证或徽章来证明熟练程度,就可以表明已经学习了。

  · 行为改变评估:这是开始衡量知识转化的一个阶段,当员工开始按你希望的方式履行特定职能时,会获得更好的效果。落实到安全培训上,你可以观察员工是如何响应威胁和执行其他任务的。他们是否能独立解决更多问题,而无需向团队中更高级别的成员征求意见?如果接受了针对特定安全解决方案的培训,他们是否能以正确的方式使用这一解决方案?他们是否能充分发挥解决方案的效能,能否以之更加深入了解自己该干什么? 

  这一阶段真正触及了更高的学习水平,是大多数安全培训的目标,因而也更难以衡量,需要在小组讨论和一对一讨论中进行自我反思。此时你甚至可以进行自我评估,询问学员是否注意到他们在工作方式或业绩表现上的变化。

  · 结果评估:在这个阶段,你将开始看到自己希望向公司高管展现出的那些业务效果。安全运营中心中,你能切实注意到一些自己正在评估的指标:SOC是否能够缩短发现或识别威胁的耗时?与培训前相比,他们是否提高了检测率?培训对缩短威胁驻留时间有没有任何影响?他们能够更快速发现危险并执行修复?

  甚至一些更高层次上的影响也可以衡量,比如士气和员工保留率。我们往往会关注硬指标,例如发现危险或缩短驻留时间的天数,但我们常会忘了关于人员的指标。你有没有提供合适的培训让安全员工工作更加轻松,工作效率更高,压力更小?除了改善公司的安全态势,培训计划还有什么影响呢? 

评估之后该做什么?  

  得到各个评估结果并收集整理后,问题就变成了如何应用这一知识。专家常警告称,培训不是一劳永逸的事,所以这些数据的最佳利用方式就是为下一次培训做准备,找到改善并引导员工走上正确学习道路的方法。利用一个培训计划的评估结果为下一次培训提供参考。你的SOC可能在某一特定领域需要更多培训,或者公司需要调整其目标和评估方式:我们的培训目标有效吗?我们找对评估对象了吗?这些都是培训计划走向成熟的过程中值得一问的好问题。

  培训计划审查就是找出流程漏洞的过程。随着员工不断学习新事物并表现出在某些方面的成长,一些老旧流程就变得不合时宜了。这时候你可以改变公司的行事方式,升级流程,在还存在培训不足的领域再行深入,或者调整工作方式来磨砺流程,从而利用培训中学到的新技能。

  很多调查都表明,在职培训是开发和提高技能最有效的方式。在网络安全领域,评估结果可以确定学员所掌握的技能何时达到了足以指导甚至培训他人的程度。这种共同进步的能力,应该是成功的关键衡量标准。职业发展是个很好的衡量方法,因为如果你有效培训员工,他们会在职业生涯中与你一起成长,而这可能会提高留任率。 

  原先的培训有效性评估方法是一刀切式的:培训前和培训后各测试一次,或者依赖培训前调查和培训后调查。但随着员工越来越重视培训,期望将其作为工作中职业发展的一部分,培训成果评估就不那么简单了。 


参考阅读

安全意识培训存在问题,人员风险管理救场

英国内阁办公厅网络安全培训开支一年暴涨500%

[调查]65%的企业开始评估自身“网络成熟度”