在企业中做安全防御，我们需要并只不是工具或者技术，我们更需要的是一个具有安全意识的大脑。从《欺骗的艺术》、《反欺骗的艺术》、《社会工程--安全体系中的人性漏洞》这些社会工程类的书中，我们就已经看出。

所以，企业运营的一个不显眼，但如果疏忽就可能会带来毁灭性的问题是：如何将安全意识带入企业。

本文试图将作者在这方面的思考记录下来，希望能引起更多人在这方面的思考。

（图片下载自豆瓣）

如何看这个问题

我们将“如何将安全意识带入企业”这个问题扩大：如何将一种意识植入企业员工？

这让我想起：世界上两件事最难：一是把自己的思想装进别人的脑袋，二是把别人的钱装进自己的口袋。我们很多人都知道前半句说的是老师，虽然并不是每位老师都能做到。但是毋庸置疑，老师就是专门干这事的。而成功的企业家也很擅长干这事。

所以，半个教师专业的我推论“如何将安全意识带入企业”这个问题的本质也就是教育心理学要解决的问题。

然而，安全意识教育这一领域，我们不知道到底能从更宽泛教育学中获得多少意义。

那是不是意味着我们应该停下将教育学、心理学等相关学科中的“如何将一种意识植入企业员工”相关的知识吃透；还将安全意识本身研究透才开始我们的“植入”？才开始将安全意识带入企业。

这样看来是闭门造车。而我更倾向于持续学习+持续实践。

如何解决这个问题

对于解决一个问题，我们可以是被动的，也可以主动去解决。

被动地解决

中国有一句古话：吃一堑长一智。的确当企业中员工犯了安全上的错误后，他今生都不会忘记。但是不论员工本身是否“长一智”，企业的损失已经发生了。这明显不是我们想看到的。

主动地解决

其实，我们很容易想到企业培训是“将安全意识植入企业员工”的这种路。其实，正由于我们“很容易”想到（思维定式），让我们认为只有这一种方式能达到我们的目的。

但是，有一点，我们应该意识到的是企业培训很多时候只是告诉员工企业的期望是什么，并不意味他们就一定按照企业的期望来行事。企业培训，江湖戏称：洗脑。

（图片来源）

将安全意识植入企业培训中

认识安全意识

这里有个思维陷阱，我从文章开头到现在都没有提：安全意识是什么。 事实上，理解这个问题比起如何培训更重要。因为安全意识是问题的本质，而如何培训只是解决问题的其中一种手段。

所以，“如何将安全意识带入企业”的第一步是真正理解什么安全意识。怎样理解问题本身决定你是如何解决这个问题。

如何培训

关于“如何培训”，我们必须考虑的点有培训的时机、培训的地点（相对不那么重要）、讲师、培训的形式、培训内容等。

培训的时机：做企业培训的人都知道，通常情况下相对于培训在其它企业工作了几年的人，应届毕业生的培训效果更好。所以，我们应该将这个应届毕业的培训中加入安全意识培训。对于ThoughtWorks，则应该在TWU的课程中加入。

讲师：讲师必须具备两点：他必须本身就很懂安全意识是什么、他必须懂得如何将安全意识植入学员的脑袋。

培训的形式：我们可以有授课、实战、外聘专家授课等。

培训内容：我们需要从两方面入手：人性的漏洞、技术上的漏洞。

如何评价安全意识培训的效果

没有反馈就不知道如何改进。所以，我们在设计安全意识培训时，还必须同时考虑如何评价。这里所说的评价和KPI半毛钱关系都没有，请不要脑补。

成本？

对企业来说，不考虑成本是不实际的。为了能让安全意识在每一位员工身上，我们需要投入多少钱？如何量化这个投入过程？

除了培训

除了培训，企业还可以每隔一时间聘请业内的安全审计工程对公司技术和人进行安全审计；在企业进行黑客大赛（要考虑公司的具体情况）等等。

我们的思维方式中，不应该认为只有依靠培训来达到“植入”目标。

总结

本文只是思路，很多本质上的问题没有回答，而且可能存在思维漏洞，有些观点必须在实践过程中才会被证明。所以，希望大家多多给意见。

本文还有一点没谈的就是这些事情如何在企业推广？因为这个问题是另一个话题，不在本文讨论。

道高一尺魔高一丈。大家且行且珍惜。

（图片来源）