喜欢您迄今为止提供的建议，我会记住它们以供将来参考！

我的第一个建议是攻击你自己的员工。我并不是说你应该拿着斧头到处跑，“这是约翰尼！” 风格，向人们大喊正确的安全实践，而是进行网络攻击并判断他们的反应，然后向他们解释他们做对/错了。人们通过经验学习比通过阅读电子邮件学习要好得多。

尝试的最简单和最有效的方法之一是包含登录屏幕和公司徽标的外部网站。从外部帐户向员工发送电子邮件，声称自己是系统管理员，说您有一个新的员工门户。每次用户登录时，将其直接转到一个页面，该页面解释了他们刚刚喜欢什么以及他们将来如何识别它。包括您的电话号码和电子邮件地址，以防用户想了解更多信息。每次用户打电话询问它是否安全或将其报告为安全问题时，请告诉他们他们做了正确的事情并确保他们的直线经理知道他们的成功。

下一个要尝试的是更直接的。发送一封电子邮件（再次，从外部邮箱），说数据库有问题，您必须重新输入每个人的密码。要求他们将密码发送到“安全密码更新邮箱”，然后等待。每次有人发送密码时，请向他们解释他们只是陷入了网络钓鱼攻击。这种攻击的缺点是您必须重置很多人的密码！

只提一句建议：在开始项目之前获得授权！;)

在我目前工作的公司，他们通过多种途径投资于用户教育。有带奖品的在线游戏（想想 iPad）、必须每六个月服用一次的必修教育材料，以及有关安全的定期电子邮件（包括来自新闻机构的违规故事）。

所有这些都倾向于让员工接受良好的教育。最重要的关键是 IT 部门的友好性。最终用户永远不会被告知“安全漏洞将意味着你的工作！”，而是“如果发生任何事情，请让我们知道，以便我们能够快速处理这种情况”

这种心态使最终用户不必害怕报告安全漏洞。由于这不是一个可怕的话题，他们更愿意与同行讨论安全问题，并在他们发现他们认为可能存在安全漏洞时通知 IT。虽然大多数这些都不是实际的违规行为，但值得挖掘它们以找到可能是灾难性的一两个。

在安全意识和培训方面，大多数 IT 部门以及许多安全团队都存在重大的品牌和营销问题。

重要的是你如何说某事，就像它做你所说的一样重要。

还要记住，正如其他响应者所暗示的那样，意识与培训不同，我们应该永远记住它们是齐头并进的。

我认为重要的是首先要从一个战略开始，考虑您计划如何与目标受众建立联系，目标受众是谁，以及他们可能接受或不接受的信息类型。

从那里开始，我认为重要的是，当您创建或进行安全意识和培训时，您必须首先考虑一些核心价值观或支柱。这很重要，因为您总是希望与您的信息保持一致。当您偏离或传播您在互联网上发现的随机想法时，会导致错误信息，从而导致混淆，从而导致您的信息与对您的受众真正重要的内容不一致。

对我来说，这些支柱是：

1. 警惕性——通过使用一致且反复出现的主题来强调这一点，提醒最终用户在使用互联网、电子邮件等时始终在脑海中存有一点怀疑。

2. 报告速度——在我看来，这可能是最重要的支柱。我总是强调，在我发送的所有内容和我创建的内容中，最终用户提醒 IT/安全/等人员注意任何可疑的电子邮件、他们可能访问过的网站、办公室中的行为是非常重要的。任何看起来、听起来或看起来可能是邪恶或可疑的东西，请立即报告。

3. 点击时要小心- 这是您在整个行业中听到的常识支柱。在点击之前请三思，等等。虽然俗气或陈词滥调，但这是可靠的建议。鼓励和加强最终用户花几秒钟的时间分析围绕该电子邮件或该链接或该附件或任何情况的上下文。另一个很好的术语可能是态势感知。断章取意，电子邮件中用于重置您的电子邮件密码的链接可能看起来是良性的。直到你意识到它是从 .

当我创建内容、与最终用户讨论安全性、执行评估或测试时，我总是首先考虑我的消息传递如何传达这三件事。

最后，我认为考虑安全意识很重要，就像品牌或媒体公司的眼中一样。时事通讯和电子邮件爆炸变得无聊。重要的是要考虑，就像我上面所说的，你是如何沟通的，就像你在说什么一样。