在企业信息安全领域,员工安全意识培训市场似乎从来都不受重视,很多企业都把安全意识培训当成合规途径,临时抱佛脚,走走形式。在这种市场氛围下,往往只有少数老黄牛式的安全服务公司才能在这块贫瘠而包含艰辛的市场中长期生存。
不过,近来安全意识培训市场已经步入快车道,Gartner甚至破天荒发布了安全意识培训魔力四象限图(这通常标志着某个市场领域成为分析师眼中的热点),报告中的一些亮点信息安全牛总结和点评如下:
企业信息安全将“以人为中心”,安全意识培训日益重要
今天安全威胁的一大趋势是:越来越多的网络攻击和黑客入侵开始从个人目标着手,另一方面随着云计算和移动技术的普及,企业的安全边界消失,传统安全技术失灵,企业安全越来越依赖员工个人的信息安全素养(意识),“人力防火墙”的短板在包括Target、摩根大通银行等近来一系列重大数据泄露事故中已经暴露无遗。
Gartner在报告中指出,在新的安全威胁面前,新的企业信息安全策略需要“以人为中心”(People-Centric Security)。员工意识培训在企业安全管理中的意义越来越重大,同时随着安全意识培训企业和产品越来越成熟,安全意识培训服务已经成为企业信息安全防护不可或缺的环节,而不是像过去那样仅仅是为了合规。
深入到企业文化,安全意识应当是长期工程
Gartner认为目前安全意识培训和教育市场正在成熟中,企业客户开始寻求更加高级的安全行为支持方法,例如深入到企业文化建设,这涉及到更加多样的部署模型,基于情景的培训内容和架构,以及支持企业长期投资安全意识培训教育的评估标准体系等。
Gartner指出如今的安全意识的计算机辅助培训可以适用于所有规模的企业,尤其是分支机构地域分布广泛的企业,随着安全意识培训产品的丰富,企业用户一方面需要制定明确的培训目标,另外一方面需要将安全意识培训与企业长期的安全绩效管理项目进行整合。
从魔力四象限看安全意识计算机辅助培训的趋势
安全意识培训魔力四象限_wm
Gartner给出了一个安全意识计算机辅助培训市场的魔力四象限图(上图),并对入围的主流安全意识培训公司(主要是美国企业)进行了点评。其中在战略和执行力上领先的企业包括Media Pro、Inspried eLearning、BeOne Development、Security Innovation、Wombat和Digital Defense等六家企业。
进入Gartner魔力四象限的安全意识培训企业的的计算机辅助(CBT)产品已经具备成熟度高、互动性、符合共享内容对象参考模型(SCORM)的软件模块等,其中这些软件模块即可以通过互联网在线提供,也可以在企业客户的学习管理系统(LMS)内部部署。Gartner在魔力四象限中的入围标准还包括培训服务支持多语言用户(支持英文之外至少一种语言),支持通过多终端(例如笔记本电脑、平板电脑等)交付,以及对被培训人员参与度和完成度的评估。以势头很猛的PhishLine为例,其反钓鱼培训之所以广受欢迎是因为能够对培训成果进行有效评估。
安全意识培训市场还是长尾市场
虽然只有20家安全意识培训企业入围Gartner的魔力四象限,但安全意识培训企业的数量数以千计,这对企业选择安全意识培训服务商来说是个不小的难题,由于文化、地域、政策、语言、市场等诸多因素的制约,目前安全意识培训还是个长尾市场,这意味着不同规模、产品线和定位的小型安全意识培训企业非常多,企业可以借鉴Gartner魔力四象限的评估方法,但有时候需要与多家企业合作来组成完整的安全意识培训体系方案。
安全意识培训市场将迎来兼并和收购热潮
随着安全意识培训市场的升温,不少企业信息安全巨头已经将目光投向这个领域,希望通过收购将安全意识培训与其安全产品进行深度整合,例如PhishMe和Wombat已经与一些安全公司建立合作关系。