昨天分享和主管的對話，列出員工資安意識教育的優點，其實並非每間公司企業都有經費與人力成立資安團隊或CERT/CISRT Team，可能靠本身MIS部門應付各種事件，如果提升內部員工資安意識，一來減少資安事故發生，二來藉由員工本身在同部門互相宣導，遠比MIS緊迫盯人來得迅速有效。身為分析師Analyst，藉由比對培訓簽到表和MIS 紀錄，我發現幾輪員工資安教育後，勤於參與員工資安教育的部門達到以下效果：

1. 資安事故通報量提升。以往大家收到釣魚郵件乃至點擊後都默不吭聲，螢幕上出現奇怪畫面也漠視不理，現在都會主動通報MIS，詢問該怎麼做？並且態度非常配合，只要能臨時借一台筆電繼續工作，並不介意我們將電腦收回處置，損失電腦桌面上的臨時資料也頗接受。
2. 員工主動協助傳達訊息。收到釣魚郵件後，會詢問鄰近同事是否同樣收到，和我們回報：某某部門總共幾人收到可疑郵件，幾人點擊，幾人開啟附件，螢幕出現訊息已截圖一張等等。當我們回覆該如何處理，也會主動告知同部門同事，完全不需要我們一個一個打電話告知確認，節省我們MIS部門很多時間。
   
   *示意圖來自網路截圖

也因為這個「讓大家一起打造安全使用環境」的策略成效良好，主管希望能擴大到全公司所有部門，開會討論後定下幾個執行目標：

1. 每位新進員工都須接受基本資安意識教育
2. 個別員工曾有發生資安事故者，需針對該事件進行加強培訓。例如曾經點擊開啟釣魚郵件者，要重新接受關於釣魚郵件的培訓。
3. 希望能量化成效，從各部門參與人數，到接受培訓後是否真的有效都要做出報告。

鑒於這些目標無法光靠培訓簽到表與EXCEL就可以達成，我決定尋找一套合適的數位學習管理平台 (Learning Management System)。因為是數位學習平台(LMS)，手機電腦和平板都能開啟，以前總有些人抱怨沒時間參與員工資安教育，現在無論何時何地都可以開始，或從之前暫停的部分繼續，而且每段課程只有5-10分鐘，內容生動活潑，簡單趣味，有影片、有互動、有測驗，還有遊戲；LMS 可以記錄完成進度，輕鬆地叫出報表掌握什麼部門那幾位員工尚未完成，甚至測驗分數，我們把它做成類似「部門對抗賽」的活動，每次在公司內網列出「最快完成的部門」、「分數最好的部門」等等，鼓勵大家多重看內容重做幾次測驗提高分數(當然測驗題目每次都不一樣)。

我用的LMS名字和袋熊有關，還有Phishing Simulator功能，向公司員工發送測試的釣魚郵件，從報表上掌握誰點擊郵件、誰開啟附件，並自動發送訊息幫該名員工加一堂關於電子郵件安全的課程。如此將員工資安教育數位化、自動化、趣味化，我就可以將時間安排在下一個專案計畫上啦~

*截圖來自網路

「這雖然是遊戲，但可不是鬧著玩的。」--茅場晶彥《刀劍神域》

你有使用LMS的經驗嗎？有測試過什麼平台呢？你們公司有用LMS進行資安(或其他領域)的培訓嗎？歡迎留言分享。