皇帝新装：CBT与网络钓鱼演练实质上基本无效

主要观点总结

文章探讨了强制性计算机辅助培训（CBT）和网络钓鱼测试在提升安全防护方面的效果，指出其基本上无效。研究显示网络钓鱼培训未能降低点击率，现实案例中存在着员工不参与、培训内容留存率低、培训成本被低估等问题。同时，文章也指出了创新方式如“黑客哈利”系列宣传活动的有效性，并讨论了改革方向和具体建议。

关键观点总结

关键观点1: 强制性CBT和网络钓鱼测试在提升安全防护方面基本无效。

根据加州大学圣地亚哥分校和普渡大学的研究，网络钓鱼培训并未提高防护效果，点击率主要取决于网络钓鱼的难度水平。此外，现实案例显示部分员工不参与或重复参与培训，培训内容留存率低。

关键观点2: 现实案例中强制性培训的有效性受到质疑。

某企业案例中，员工为通过测试重复作答多次，而培训内容参与率不足三分之一。同时，实际培训效果与预期不符，培训内容的质量和时间投入不足。

关键观点3: 传统CBT的成本远超预期。

完整的成本计算公式包括员工成本、技术成本、许可费用、开发成本、部署成本、监控与报告成本等。某部门的CBT成本超过600万英镑，远超表面可见的费用。

关键观点4: 创新方案展现出替代路径的有效性。

与传统CBT形成鲜明对比的是，“黑客哈利”系列宣传活动通过创意方式提升员工参与乐趣，实现高参与率和低成本的网络安全教育。

关键观点5: 改革方向包括系统设计协作、激励机制与期望结果对齐以及提升参与乐趣。

研究者提出改革路径包括系统设计应协作而非对抗、建立基于积极行为的奖励体系以及将安全意识培养融入日常工作场景等。