在任何企业,安全培训是一个需要贯穿整个开发生命线的一个活动,而且这个活动是持续性的活动,而且是没有终点,只有创新的过程。
网络安全在绝大多数企业老板是一个阻碍企业业务高速发展的一个拦路虎,同时也是开发人员增加工作量的一个绊脚石,所以从人性的角度来看,安全培训这个活动是非常不容易做出成绩和效果的一项活动,我简单的梳理了下安全培训的相关过程,如果从以下几方面着手可能会取得比较好的效果。
一、缩小范围。基本开发也是分不同的团队,按照不同的团队的业务范畴进行针对性的培训。第一个原因是召集全所有人在同一时间培训不太现实,另外一个是每个团队的关注点都不一样,这样会浪费大家的时间。划分范围的形式可以多样,比如:需求和设计、开发、测试、运维,当然也有按照开发的模块来划分,比如PC一波、app一波、小程序一波等,反正按照自己公司的小组织进行划分就好了。
二、设计考题。培训效果总是要用考试来呈现,考题的设计就至关重要了,不要从网上下载cissp、cisp或者各类ctf相关的考题,题目尽可能从各类技术规范里面出具,并且能够百分百在各类规范中找得到,不要有任何歧义,这部分题目的比例建议80%,然后再从网上摘抄一些安全相关的题目补充剩下的20%,题目应该设计一个题库,可以先是固定考题,后来慢慢变成随机考题的方式循序渐进,考试的目的是让大家学习知识,而不是考倒大家。
三、平台支撑。培训的效果需要用考试来支撑,这时候就需要借助在线平台了,这个平台最好有基本的在线学习和考试功能,而且能够进行考试和试题的统计分析,这样才能。同时能够增加一些额外的小功能比如打错了直接跳转到对应的相关章节进行学习就更好了。
四、绩效考核。没有绩效考核的培训是没有任何效果的,如果能扯上HR在年度绩效里面扯上点关系最佳,最差也要在IT部门内部搞一个考核的流程也行。不然这项工作基本上是只有投入,没有产出的工作了。IT内部都做不到的话如果公司外包比较多的起码可以考虑下用绩效限制外包人员的准入门槛,提高外包安全门槛。
五、持续更新。培训基本上上完课或者看完书就会忘的差不多,必须要有不断传销式洗脑才能让大家记忆脑海中,印在骨髓里。内容可以多搞点创新,预留点资金搞点小活动比如宣传周、月度答题竞赛等活动的奖品啥的,总要有激励措施才会有人热衷去参与。
培训、培训,陪的不好就要挨训,任何一场培训都需要提前搞清楚几个问题:
本次培训的目的是什么?
希望达成的效果是什么?
参加培训的人群有哪些?
培训时长是多长?
提前发日程和大纲了嘛?
这些人的关注点是什么?
培训给这些人带来什么具体价值是什么?
别人可能会提什么样的问题有没有想过?
如果人员不足有没有plan B?
培训反馈意见的问题设计好了吗?
………
培训没有一劳永逸的,需要不断的从上一场培训总结出优点和缺点,为下一场培训作准备。下周讲讲个人在需求分析上面的个人总结吧。