亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

遵循“三步走”策略:打造重視網絡安全的企業文化

責編:gltian |2025-08-25 14:21:58

摘要

全球網絡犯罪造成的經濟損失仍在不斷增加(僅在2024年,美國統計的損失就高達160億美元),“人為錯誤(Human Error)”依然是導致數據泄露的主要原因,但也是最大的改進機會。組織需要持續投資于建立“以人為中心(Human-Centered)”的網絡安全文化。安全領導者可以靈活運用Gregory Neidert提出的核心動機模型(Core Motives Model)和Robert Cialdini提出的影響力原則,遵循“三步走”策略來實現這一目標:(1)通過培養信任和融洽關系來建立連接;(2)通過以身作則和朋輩榜樣減少不確定性;(3)通過助推、公開承諾和激勵措施來激發行動。本文作者強調,僅僅意識到這一點是不夠的,安全領導者必須促進真正的行為改變發生。在良好的安全文化熏陶和影響下,安全將成為一種全員共同自覺遵守的行為規范,而不是一項強加給員工的合規任務。

打造網絡安全文化的三大挑戰

僅在美國,2024年網絡犯罪造成的損失就增長了33%,達到160億美元。這些網絡攻擊與數據泄漏事件絕大多數是人為錯誤造成的,比如系統和設備的配置錯誤、敏感信息或存儲設備的處理不當,以及惡意行為者的操縱等等。但是,如果說“人為因素”是網絡安全中最薄弱的一環,那么它也是通過合適的解決方案能夠產生最大積極影響的領域?!耙匀藶橹行摹钡陌踩呗詾榻M織內實現可持續的網絡安全提供了巨大潛力。例如,它可以鼓勵每位員工關注密碼安全,對可疑的電子郵件威脅保持適度懷疑和警惕,確保離開座位時不將電腦處于未鎖屏狀態,并在公開場合下謹慎談論涉及企業機密的敏感話題。

想要實現這種以“人”為驅動的網絡安全文化,組織必須解決幾個挑戰。首先,僅有安全意識本身并不會自動導致期望的安全行為發生。雖然建立安全意識基線是重要的一步,但組織還需要衡量實際的安全行為變化,引導正確的行為習慣,并努力使集體的安全行為成為企業文化的一部分。其次,雖然高管在塑造安全行為方面發揮著至關重要的作用,但我們采訪的首席信息安全官表示,說服其他高管認可網絡安全投入和各種安全計劃的價值存在一定困難。第三,有效的網絡安全文化需要一個持續改進和重新評估的過程。沒有獲得組織內部從上至下的廣泛支持,要想實現這一點困難重重。

好消息是,有一些經過充分研究和論證的行為策略可以影響員工在工作環境中以更謹慎、更負責任的方式行事。多年來,我們一直專注于研究個體行為、組織文化和心理因素如何影響網絡安全實踐和決策。在本文中,我們應用Neidert的核心動機模型(本文的一位作者提出)來指導安全領導者通過人際影響過程,積極影響組織中的網絡安全行為。這是一個心理學框架,它將Cialdini的影響力原則(本文的另一位作者提出)與心理動機聯系起來,并深入探討了這些原則為何能有效驅動人們的行為。

利用影響力打造更安全的企業文化

引導人們朝著期望的方向前進(以合乎道德且有效的方式實現),關鍵在于建立信任,并說服他人相信自己的請求是有價值的。這通常意味著要克服三個常見的障礙:說服他們傾聽你的建議是值得的,接受你的請求比不作為(或采納別人的建議)更有利,以及他們應該立即采取行動而非拖延。

乍一看,通過使用基于心理學和行為學的策略讓員工順從可能顯得具有操縱性。但道德影響和操縱之間有一個重要區別:領導力在于通過人們的自主意愿,而非強制或脅迫,引導他們實現共同的目標和愿景。這一模式的核心是讓人們按照自己的意愿行動。

Neidert核心動機模型包含三個階段,以激勵人們達到預期目標:

  • 建立連接
  • 減少不確定性
  • 激發行動

運用該模型可以幫助安全領導者克服說服和影響他人的障礙,讓他們相信你是值得傾聽的,遵循你提出的請求對他們是有利的,并且現在就采取行動是很重要的。該模型已經在軍事領域和執法機構中成功應用超過十年,用于打擊網絡犯罪和恐怖主義。其邏輯與在網絡安全領域觀察到的員工行為高度契合,揭示了更多尚未被開發的潛力。

在網絡安全背景下,目標是建立全組織范圍內的集體安全行為文化。這意味著,為了實現卓越的安全行為合規性,安全領導者需要能夠與廣大員工建立持久的融洽關系,在引領安全文化建設過程中消除員工的焦慮,并建立心理安全感和自信心。

1. 建立連接

在能夠令人信服地引領組織朝著既定的安全文化建設目標邁進之前,安全領導者必須與員工必須建立連接。通常情況下,一旦人們感受到你是喜歡他們的、關心他們的(而不是一想到安全,就是處罰、強制、管控),他們就更有可能積極響應你的請求。

定下基調

當別人喜歡你并且相信你也喜歡他們時,他們會說“好的”。當你表現出開放和親和力時,他們往往也會做出相應的回應。例如,研究人員發現,當銷售部門的經理們討人喜歡,并致力于建立融洽關系時,他們的團隊表現得更好,且更有可能實現銷售目標。在網絡安全領域,通過與各個部門的員工建立友好關系和共同理解,對于促進相互合作并有效推動組織范圍內的安全倡議至關重要。

這里分享一個與客戶合作的經歷。我們與兩位經理合作,他們分別負責不同的部門,都試圖推動一項特定的網絡安全項目。其中一位經理非常熱情,面帶微笑,當該項目首次提出時,他還特意留出時間給團隊成員提問。另一個位則態度冷淡,將該計劃的實施視為一種強制性的既定事實,部門成員沒得選擇,就像他們無法控制自己的命運一樣。結果是,在第一位經理所在的部門推行該安全項目比第二位經理的部門要順利得多。

鼓勵團結

人們更愿意為那些他們認為是自己團隊中一員的人付出更多努力-網絡安全行為也是如此。當然,打造網絡安全文化是一項全員共同的努力。但是否能營造出一種團結一致的氛圍,取決于各級管理人員。

我們曾合作過的一個客戶花了一天的時間將網絡安全教育以游戲化的方式呈現給團隊(例如:桌面演練和密室逃脫游戲)。他們通過這種互動式、趣味化學習,既傳遞了安全知識,又增進了員工之間的凝聚力。該團隊在當天不僅對如何建立更強大的安全文化有了更多理解,而且還建立了更緊密的團隊默契。

建立互惠

普遍存在的一種社會規范是互惠,即如果有人給我們提供了什么好處,我們就會覺得有義務回饋對方。這種互惠原則有助于建立人與人之間的信任和聯系。關于信任,一個被公認的定義是愿意在對方面前暴露自己脆弱的一面。如果禮物具有特定意義、出乎意料、專為收禮者量身定制的,且與未來有求于對方的事項無關,這時互惠原則尤為有效。

除了人情之外,互惠原則也適用于讓人產生虧欠感的讓步。這意味著,降低最初請求的嚴苛程度,也可以使人們更傾向于朝著預期的方向進行回報。首先要求員工實現一個難以企及的極端目標,然后再讓步,隨后設定一個更小、更容易實現的目標。例如,最初要求員工100%準確識別釣魚郵件(零中招率),然后做出讓步,允許每個周期內存在可接受的較低中招率,這可能會比一開始要求達成一個相對容易實現的目標產生更好的效果。

2. 減少不確定性

牢固的人際關系會說服很多人,但并非所有人。有些人會猶豫,因為他們對所要求的行為感到不確定,這些人通常會尋求請求是否合理的保障。在某些情況下,這意味著要向那些具有可信權威的人尋求思考與行動的指引。在另一些情況下,這意味著向他們周圍的同輩學習。安全領導者可以采取兩個步驟來幫助減少這種不確定性:利用自身令人信賴的權威,并讓他們看到其他人也在這樣做。

運用權威效應

你可能不是網絡安全領域的專家,但你可以通過展示并強化自己的權威性來影響他人。當你作為一個領導者親自指導你的員工遵守公司網絡安全規定,或親自參與其中,做出表率,將更有可能實現預期的結果。例如,董事會主席積極參與網絡安全危機模擬演練,展現網絡安全問題的緊迫性和嚴重性。他的出席可以促使員工在模擬演練過程中表現出更專注的行為,并在演練結束之后持續保持這種良好的安全行為。

運用從眾效應

當人們在面對不確定的情況下,他們會環顧四周,尋找如何思考和行動的線索。安全領導者可以利用這種自然反應,通過自身示范良好的安全行為,以及公開展示和表揚其他員工的安全行為來引導更多人的思考和行動。例如,公司可以通過在整個組織內分享釣魚演練結果來促進更加負責任的郵件點擊行為,而不是僅向領導層匯報結果。我們建議將重點放在展示和表揚員工積極的、良好的安全行為上,以及有多少員工做到了這一點,他們是如何做到的,因為一個積極的參考點比一個消極的參考點更有效(個體在群體環境中會受外界信息暗示而模仿他人行為)。

3. 激發行動

即使建立了牢固的關系,減少了不確定性,人們仍然需要一些助推才能真正按照要求行事。為鼓勵個人走出他們的舒適區,需要不斷提醒他們,他們過去曾承諾過遵守組織網絡安全規定,保持網絡安全行為。因此,安全領導者應該利用承諾一致性原則的力量,比如讓每一位員工接受并簽署組織的網絡安全相關政策文件,以此確保未來能夠保持一致的安全行為傾向。此外,強調如果不采取行動會面臨什么風險、以及如果不及時行動可能會失去什么,這些激勵因素是非常有效的。

突出可能失去(獲得)利益

機會的價值在于其稀缺性或時間窗口有限。當個人認為自己在與他人處于競爭關系,或認為機會具有排他性時,損失厭惡心理在這個過程會進一步加強。例如,瑞士健康保險公司Helsana應用了損失框架(Loss-Framing)策略,通過終止與連續三次未能通過季度網絡釣魚模擬測試的員工合同,Helsana在五個月內將員工的釣魚演練中招率從15%降至3%。

這種極端的方法雖然有效,但可以用一種更溫和、更寬容的方法來取代。我們建議實施網絡安全大使計劃。定期對達到一定網絡安全積分的員工進行特別表彰,例如提供財務性或非物質性獎勵。那些沒有達到一定積分的人則將失去享受這些福利的機會。

引導員工作出鄭重承諾

人們通常希望保持承諾與行動一致。一旦他們采取了某種立場或承諾采取某種行動,他們就傾向于履行承諾,并在內心感到有義務按照事先承諾行事。如果他們是主動、公開且自愿地做出承諾,他們會感到行為上更受責任和義務約束。我們建議在網絡安全意識培訓結束時添加一句話,比如“我不會點擊任何可疑鏈接”或“我將持續保持警惕,不落入網絡釣魚攻擊的陷阱”。并通過在員工的辦公桌或其它辦公場所貼上相關的貼紙等方式,定期提醒員工切實履行他們對組織做出的網絡安全承諾。另一個做法是每年讓員工簽署一份行為準則,最好是在上級領導和同事面前簽署,該準則應明確說明如何保護組織信息資產的一系列行為規范。

結語

遵守網絡安全實踐對于組織及其所有員工均有益處。組織文化有一個共同點:它們提倡共同的價值觀、思維模式與行為準則,從而激發一種群體歸屬感。它們為組織及每一位員工提供了一個大家都能一致認同的意識形態方向。網絡安全文化是任何健康的組織文化的一個重要方面。一個運作良好的網絡安全文化將利用網絡安全“我們意識(我要我們都安全,而不僅僅是一個人安全)”的溢出效應,確保新員工入職時和關鍵人員離職時踐行安全文化的一致性。為實現這一目標,安全領導者可以合理運用系統化的社會影響方法,來培養符合安全規范的行為習慣,并構建一個惠及所有員工的組織網絡安全文化。

注:本文編譯自《哈佛商業評論》2025年6月份發表的專欄文章,本文由多位作者聯合發表,例如:格雷戈里·P·M·內德特(Gregory P.M. Neidert)-美國亞利桑那州立大學教授,教授說服與社會影響相關課程長達三十余年、羅伯特·B·西奧迪尼(Robert B. Cialdini)-美國亞利桑那州立大學心理學與市場營銷學名譽教授,并當選為美國國家科學院院士,他是全球暢銷書《影響力》一書的作者。

聲明:本文來自超安全,稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場,轉載目的在于傳遞更多信息。如有侵權,請聯系rhliu@skdlabs.com,我們將及時按原作者或權利人的意愿予以更正。

上一篇:數字勞動力:大模型、AI Agent助力企業全鏈條智能化升級

下一篇:國際電聯 (ITU) 160年的歷史對發展AI的啟示