一旦你的公司做出决定要进行熟悉安全的培训,下一个重大决策就是在公司内部进行培训还是把培训工作外包给专业的培训公司。 这个决策首先是由你的业务需求、培训的范围和规模决定的,并且是由你公司目前可用的资源和培训的成本决定的。
一旦你的公司做出决定要进行熟悉安全的培训,下一个重大决策就是在公司内部进行培训还是把培训工作外包给专业的培训公司。这个决策首先是由你的业务需求、培训的范围和规模决定的,并且是由你公司目前可用的资源和培训的成本决定的。
人与目的
首先,确定你的培训目标和参加培训的人员。这个培训能满足Sarbanes-Oxley法案等遵守法规的标准吗,或者因为你认为由于最近的安全事件应该严格要求吗?这个培训是为了纠正你的员工中不安的行为吗,或者纠正不良的信息安全卫生习惯吗?或者这个培训的努力是为了避免安全突破产生的负面公开影响吗?
还要考虑你的参加培训的人员。参加培训的人员是公司官员、中级经理人还是低级雇员?这将决定培训类型,无论是在公司内部还是外包出去都是如此。每一个参加培训的人都有不同的需求。企业官员培训的内容是他们为什么应该向信息安全投入资金,信息安全投资对企业盈亏底线有什么影响,如何把信息安全作为公司的功能进行推销。所有级别的经理人,无论是中级的还是其它级别的,都有同样关心的问题。此外,各级经理人的培训应集中在有关安全的商务实例以及信息安全实践方面的一些技巧方面,因为他们与日常的客户更接近。
另一方面,你的员工是非常不同的,需求和兴趣的范围也不尽相同。你的大多数非技术员工将需要进行有关安全处理数据的最佳做法的基本培训,例如保守敏感的客户信息的秘密、恰当地处理包含这种数据的文件并且保护好口令和笔记本电脑等个人数据和设备。
秘书和技术支持人员需要接受有关社交工程的培训,因为他们是入侵者突破企业驻地窃取企业机密或者客户信息的主要目标。技术人员需要更多的实际材料,如实地培训安全编码实践和网络设置。
采用PowerPoint幻灯片培训行吗?
下一个因素是打算参加培训人员的规模。如果你的目标群是整个公司(也许是因为遵守法规的强制规定),你需要对数千雇员进行培训,采取外包的做法也许更方便一些。许多大型公司都有负责与外部培训机构进行谈判的公司培训部。根据厂商材料的许可证和版权规则,有时候他们可以培训你的员工教他们的材料,从而节省你的旅行成本并且省去了为他们的教员提供住宿。
除了遵守法规的需求之外,一些公司需要把完成年度安全熟悉培训作为评估全部雇员工作业绩的一部分。对大型企业进行全面培训的另一种方法是采用基于网络的培训。这能够以合理的价格外包出去,不需要现场教员并且经常有价格合理的培训计划。这还可以消除你的培训人员必须制作自己的教材的烦恼。
另一方面,拥有人员配备良好的信息安全部门的大型企业和小的或者专业的目标听众能够低成本地使用现有的材料管理公司内部的培训。他们能够把有关恶意社会工程、安全处理客户数据、口令最佳做法、避开间谍软件和公司信息安全政策等PowerPoint演示文件编辑在一起提供给广大的非技术人员。
这里有一个区分在公司内部培训还是走出去的一个大致的拇指定律。假设一个样本课程的时间长度是一天,目标听众是是200名雇员,每个班级为25名雇员。三个公司内部的教员在大约一个星期的时间里能够满足所有班级上课的授课需求。对于听众多于这个数量的情况,可以选择到公司外面进行培训,特别是如果培训课程的技术性不强而商业性更强的时候。
熟悉安全培训的策略
下面是把你的熟悉安全培训外包出去的一些选择和需要当心的一些事情:
对于那些为你的技术人员提供的有关安全编码实践和安全网络设置等有针对性的课程,赛门铁克、微软和思科系统公司经常提供量身订做的课程或者两天的演示。这些公司不做广告宣传这些服务。但是,如果你们接触这些公司并且提供正确的参数,这些公司能够把一些材料汇编在一起。开发扫描Web应用程序的软件的SPI Dynamics公司也做现场培训。
除了他们的演示内容本身的成本之外,你要当心许可证费和其它隐性成本。检查一下一个培训计划是否能够一次性购买并且可以让你的工作人员反复使用和教学。有时候,他们需要他们自己的教员使用他们的教材进行全部教学,由你们公司支付飞机票的费用。这些课程的费用是有区别的,特别是因为它们是量身定做的课程、不是为这些公司提供的现成的标准产品和服务。
对于更广泛的安全熟悉培训来说,可以选择外包。安全熟悉公司(Interpact Inc.)提供现场的和基于网络的培训,包括角色扮演和模拟游戏、包括一个模仿电视节目《幸存者》的模型。另一家名为Easy i的公司提供各种格式的培训,包括基于视频和网络的培训以及现场教员等。这家公司的培训费完全是根据客户定制的,只有在对一家公司需求进行全面的分析之后才制作量身定做的课程。这家公司还提供26种语言的现成产品。
另一家培训公司Native Intelligence提供能够使用公司自己的标识进行客户化的基于网络的培训。这些教材定期更新,对于每年需要对员工进行一次全面教育并且根据遵守法规的要求对这些课程实施认证的大型企业来说是很理想的。
还有许多小型的,不太知名的厂商。同任何其它产品或者服务一样,在做出任何承诺之前,你要确保得到演示和样本材料。
通常的规则是,对于参加培训的人员比较多和培训需求更广泛的培训工作,明智的方法是采用外包。但是,培训人员较少和更专业的培训工作应该在公司内部进行培训,如果你有这种资源的话。
网友评论