安全意识和培训(SA&T)市场已经停滞了很长时间,据我所知,最近一次重大破坏是大约十年前网络钓鱼模拟的引入。此后,该行业似乎出现了缓慢而稳定的发展进化从复选框到满足安全框架和法规强加的令人沮丧的安全培训要求,再到通过游戏、模拟、测验和其他“更好”培训技术来评估用户的“更好”内容和方法。

进化,在这种情况下,仅仅意味着我们在做我们一直在做的事情,只是更好更快。已经发生的进化并没有解决房间里的大象,那就是:我们为什么要做这件事?(提示:这里的“事情”是为了训练而训练。)

我不会对你撒谎:这里面并没有太多的创新Forrester Wave™:安全意识和培训解决方案,2022年第一季度.我们仍然看到供应商吹嘘功能和广泛(但有时乏味)的内容库。虽然这些新增的功能是渐进式的,但还远远谈不上具有革命性。

你说你想要革命?

披头士的著名歌曲是:

你说你想要革命
嗯,你知道
我们都想改变世界
你告诉我这是进化
嗯,你知道
我们都想改变世界

我们当然希望在科技界发生革命——供应商也是如此——但到目前为止,变化更多的是渐进的而不是革命性的。如果我们想改变世界,供应商必须创新。

进化和革命之间的困惑正在逐渐消失。让我不要低估这个市场中创新对买家和整体安全的重要性。最终,该行业长期以来对待三&t的方式除了让员工感到沮丧之外,什么都没有带来,损害了安全行业的品牌和商誉。你需要一种不同的方式来管理人力风险,而不是更好的方式来培训员工。

那么,这个新的、不同的世界是什么样子的呢?在这个世界里,你可以回答这些问题:

  • 我的投资真的得到回报了吗?
  • 除了培训了多少员工之外,我购买的这个解决方案还有什么影响?
  • 我的用户的网络安全行为真的在改变吗?
  • 我的风险更低吗?我的人类风险到底是什么?
  • 我的安全文化是什么?
  • 我需要把我的培训资源集中在哪里?
  • 我需要在哪些方面改进我的安全流程或技术,以在组织中建立更好的安全意识?

值得庆幸的是,这里将回答上述问题!现在有一些规模较小的、成熟的供应商提供(或即将提供)人力风险量化。它们帮助你根据实际用户行为计算风险,而不是测试和模拟分数。

还有一些供应商拥有特定的工具来映射和管理安全文化,这是以前虚幻的无形措施。突然间,关注点从为了训练而训练转移到了abc:意识、行为和文化。

那些正在颠覆市场的供应商正在远离诸如培训完成率、测试表现和参与度指标等项目指标,因为它们从根本上存在缺陷,忽略了如何改善行为(甚至需要改善哪些行为)、灌输文化或加强网络安全态势。相反,它们可以帮助您衡量员工的人力风险,这将有助于您的培训,并获得有关如何改进安全计划的有价值的见解。

我要感谢所有参与这项研究的供应商。参与是一项不小的努力,我们非常感谢您投入的所有时间和精力。我也很欣赏我们在这些评估中继续合作的尊重和合作方式,以及我们在市场走向方面的一些分歧。

现在是我从事这项工作的第四年,我总是对自己建立的关系感到惊讶,尽管有时我与参与的供应商分享困难的信息。