我的公司正在考虑开展安全消防演习或者甚至网络战游戏来测试我们的信息安全计划，这似乎是一项浩大的工程，那么，网络战游戏是否对企业有利？

Mike O. Villegas：测试信息安全计划应该是持续进行的工作。例如，在强化设备后，设备应该由SIEM或联合身份管理工具来监控，当发生任何可能影响企业信息安全状态的改变时发出警报。此外，企业应聘请渗透测试人员来验证控制结构是否有效运行。再有就是事件响应计划，即在数据泄露或者影响安全的事件发生时，企业需要确保已经做好准备，并知道应该采取哪些步骤以恢复到正常。

而测试事件响应计划的方法之一是进行桌面事件情景演习，让所有受影响各方参加。企业还可以考虑偶尔进行社会工程测试，例如发送邮件给员工测试其检测网络钓鱼电子邮件的能力。

有些企业还会利用网络战游戏；然而，这毕竟是游戏，通过游戏来测试信息安全计划并没有太多价值。网络安全并不是游戏。企业可通过网络战游戏形式提高员工安全意识例如在企业新闻或内部网络发布基于网络安全的谜题，在午饭时段向员工提供免费网络安全视频，还有很多其他富有创新且有趣的活动可帮助提高员工安全意识。但通过网络战游戏可能会边缘化网络安全的严重性，并可能影响员工的工作效率。

如果网络战游戏的目的是测试信息安全计划，我们还有更实际更高效的方法，这包括：漏洞扫描、渗透测试、监控、缓解措施、安全代码审查、DLP扫描和阻止、FIM警报及跟进、SIEM警报及更新、系统配置认证等。网络战游戏应当被视为安全提示工具，而不是用来测试信息安全计划。