长期以来,安全意识工作的重点是让员工意识到网络安全风险,并做出正确的安全决策,但这并没能有效阻止员工违规行为或风险行为的发生。安全和风险管理(SRM)领导者应善于运用组织安全文化的力量,优化沟通策略,以此改变员工的风险行为。

关键发现

  • 一个令企业安全人员沮丧的现象是:员工往往对于网络安全违规事件或数据泄露造成的后果无动于衷,因此有必要找到直接惩罚措施之外的方法,让他们觉得网络安全风险与切身利益足够相关,从而采取适当行动避免风险,并利用文化杠杆(如:同伴压力等)来强化安全行为。

  • 在没有适当的安全文化框架或人为因素风险管理机制的情况下,对员工风险行为造成的个人后果或负面反馈缺失,员工就缺少把安全放在更高优先级地位的动机和对反馈做出积极反应。

“Loose Lips Sink Ships”俚语的启示

“Loose lips sink ships(口风不紧船舰沉)”这句俚语源于二战期间的一个故事,后来被引申为由于嘴不严泄露秘密,它道出了全球军方和情报部门领导人一直以来都知道的一个现实:试图控制军方人员泄露有价值的情报数据简直是痴人说梦(是徒劳的)。他们永远不可能设计出一套真正完美的控制措施,有太多的信件要读,每一封都要审查。事实上,再也没有比将战争流言定性为不爱国行为更有效的控制措施了。也就是说,要超越个人行为,提升到文化层面,利用行为规范、组织期望和群体认同的力量。

事实上,这种做法是双向的。在前线,战士们自己接受教育,他们和战友的生命首先取决于每个人是否能守口如瓶。在后方,向平民百姓大规模宣传这一概念时,采用了一种“文化控制”策略,将战时的流言蜚语视为不爱国,甚至将向当局举报此类行为视为爱国义务。这一策略之所以有效,是因为它把行动和后果联系在一起,而这些后果对许多家庭来说事关切身利益:他们的家人(水手或海军战士)可能就在作战船上。

这与很多企业的组织安全文化形成鲜明对比。据Gartner的一项调查显示,93%的员工在知情的情况下依旧采取了增加组织安全风险的行为。此外,74%的员工会为了实现业务目标而违反组织的网络安全政策。受访者之所以这样做的三大原因之一是 “行为与后果之间缺乏关联性和可见性”。与军事管理策略类似,企业的安全与风险管理领导者必须让违反安全政策的行为像“不爱国”行为一样,让员工清楚知道安全事件对于个人的不良后果和负面影响。企业如果想要改变员工的风险行为,必须改变与员工的安全沟通策略。

强调网络安全风险个人后果五种沟通策略

在安全文化沟通与传播中植入安全价值观的最佳方式是使用简单、清晰的信息,唤起员工的情感共鸣。安全与风险管理领导者需要思考的是:具有强烈视觉冲击力的图像和具有强烈感染力的口号。

沟通与传播通常是嵌入价值观的最佳方式。简单地告诉员工应该持有什么的“安全理念”才能适应本企业的工作环境,往往足以让员工至少在口头上或文字上认同安全价值。不要低估这种做法的价值,即使只是形式上的,它也能强化员工的安全文化信念,鼓励员工更真切地感知安全价值。

策略1:将行为与影响紧密联系起来

人类有寻求机会、避免危险的天性。因此,安全团队的首要任务之一是将员工网络安全决策的影响清晰化和个人化。在这里使用“影响”而不是“后果”,是因为它可以为“正向沟通”提供可能性。例如:“信任是我们业务的基础,当客户知道他们的数据可以放心地由我们处理而不必担心安全问题时,我们就会赢得更多客户”。突出正面影响和正面榜样,对于改变员工的安全文化态度大有裨益,它利用了人们都有寻求机会和追求回报的天性。在安全文化宣传中,增加一些员工在工作岗位上良好安全实践的真实案例,树立一些正面榜样也是对其他人的一种“指示”,鼓励更多的员工向榜样学习。再举一个个人化的例子:“当你使用一个简单的弱密码时,对于你来说是更方便了,而对于攻击者而言同样是更容易破解了。”这句话清晰地将行为和结果联系了起来,强化了设置强密码行为的重要性。

策略2:以现有的企业文化价值观为跳板

当把一种新的信念与人们已经深信不疑的理念联系在一起时,培养或改变一种信念就会变得更加容易。在能源、公用事业、自然资源开发等领域,“安全生产”往往是企业的核心价值观,就像银行和保险业的“操作风险”或制造业的“质量”一样。安全团队可以根据企业所属行业,将安全生产、操作风险和质量等价值观与网络安全紧密联系起来,并在现有的安全文化的土壤之上孕育和扩大网络安全文化的影响力。即使一家企业唯一明显的价值观就是赚钱,安全团队也可以想办法利用这一价值观融入安全观点。例如,在企业内广泛传播:“将网络安全融入业务流程,就是我们快速、稳定和安全发展的方式”。

策略3:利用感知到的社会压力放大后果

人们对他人的风险容忍度往往低于对自己的风险容忍度。当风险由他人承担时,人们在做出选择时往往会更加保守。考虑到这一点,在传播安全文化时,可以考虑这样宣传:“个人信息泄露可能会毁掉他人的一生”。这句宣传语之所以有效,是因为它利用了人们固有的不给他人造成伤害的社会压力。在网络攻击的重灾区如金融行业,或是在物理安全文化已经成为常态的环境中(医疗业、制造业、采矿业等),类似口号或宣传语很是奏效。在潜在安全风险较小的行业或环境中,员工的安全意识可能相应比较薄弱。

策略4:使安全文化传播与沟通个人化

当人们能够想象后果发生在自己或自己关心的人身上时,围绕风险的价值观和信念就会发生改变。通过将安全事件与真实人物联系起来,使其更加个人化,更能使员工感同身受。例如:“由于个人身份信息被他人盗用,王小强感到很无助和无奈,花了很长时间才找回自己的合法网络身份”。这句话的成功之处在于它反应了身份信息被盗对所有构成的真实威胁,引发同理心在安全文化传播中也很有帮助。安全团队在向不同团队沟通时,也可以向不同的群体有针对性地传达个性化的信息。

策略5:寓教于乐

幽默本身就令人难忘。虽然以幽默的方式将风险结果联系起来可能具有挑战性,但如果做得好,就能给人留下深刻印象。一种策略是利用现有的幽默和易记的谚语作为跳板。

鉴于员工安全意识的树立到安全行为的养成之间的差距,据Gartner相关预测,到2027年,50%的组织将在其安全行为与文化计划(SBCP)中通过聚焦“群体行为规范”取代“个人安全意识”。最有效的、最有影响力的安全信息沟通会将行为与影响联系起来,从现有的信念和价值观出发,通过社会压力将后果放大,具有个人相关性引发情感共鸣,最好内容还很有趣味性。如果安全团队能在安全文化沟通与传播中合理运用以上策略,安全文化在组织内落地生根就指日可待了。

注:本文编译自Gartner report~ ID G00816545

声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。