打造网络安全文化，奖励有效还是惩罚更有效？

一、时代趋势呼唤：网络安全文化

2023年勒索软件攻击达到新的高度，数据泄漏平均成本也突破新高，AI拉低了网络犯罪的技术门槛，AI加持的个性化、自动化网络钓鱼逐渐成为主流攻击手段。据市场研究机构Cybersecurity Ventures估算，2023年网络犯罪给全球造成的经济损失高达8万亿美金，2023年平均每天损失219亿美元，每小时损失9.13亿美元，每分钟损失为1520万美元，每一秒损失为25.5万美金。

当前，在国内企业安全建设投入比例相对不足的大背景下，在企业安全建设重技防轻人防的惯性思维下，在安全技术投入与人为因素风险管理投入严重不平衡的现状下，大多数企业的网络安全文化建设是远远跟不上网络安全威胁的风云变幻，总是落后于网络攻击一步甚至几步。也就是，经济地展突飞猛进，但精神文明落后倒退，同样会造成很多社会矛盾。从表面上看，网络安全是与黑客攻击及内部威胁进行攻防对抗，是一个技术层面的问题。从本质上看，网络安全是人与人的对抗和较量，是解决人的问题。这里引用北京邮电大学杨义先教授《黑客心理学》书中的一段内容：“所有信息安全问题，都可以归罪于人！具体地说，归罪于三类人：破坏者（黑客）、保卫者（红客）和使用者（用户）”。而人出了问题，归根结底是文化出了问题。不论是小到一个家庭，一个公司，大到一个民族，一个国家，表面冲突的背后都可以追溯到底层的文化问题。

最近2-3年，Gartner发布的网络安全趋势与预测报告中，越来越多地强调 “人的因素”、“以人为中心”、“安全行为与文化”等最新理念与发展动向，例如Gartner在《2022-2023年八大网络安全趋势预测》报告中提出：到2025年，70%的企业CEO将要求建立更具弹性的安全文化。在《2024年网络安全九大趋势》之趋势六中提出：网络安全行为与安全文化计划 (SBCP)”日益受到关注，以减少人为因素安全风险。

不同的企业有着不同的企业文化，在不同的企业文化氛围熏陶下，不同企业员工的价值观、责任心、自主性、一言一行也不尽相同。企业文化是全体员工所共有的价值体系，影响着员工的看法以及对环境的反应模式。网络安全文化根植于企业文化，是全体员工对于网络安全所持有的知识、信念、认知、态度、假设、规范和价值观的总和，以及对待网络安全所展现出的行为方式。在不同的网络安全文化影响下，员工在面对合规问题、应对网络攻击、进行敏感数据处理时，她/他的责任心、危机意识、响应能力、审慎程度都是有差异的。

作者近几年曾在某超大型集团甲方负责安全意识与文化工作，内外勤员工超150万，面临着巨大的挑战，也积累了宝贵的一手实战经验。到乙方创业公司后曾服务了很多不同行业的客户，更深层次地理解了不同行业客户的需求和痛点，将最新的理念与最匹配的服务带给客户。很欣喜地看到的一个趋势是：在IT基础设施及基础安全技术投入达到一定阶段后，越来越多的大中型企业开始在企业网络安全文化领域发力，发力补齐“人”这块短板，而越来越多的中小企业也逐渐开展常态化安全意识宣贯与培训、钓鱼模拟演练及网络安全日|周宣传活动。

二、胡萝卜与大棒，哪个作用更强？

据作者在工作实践中及与企业安全团队交流过程中发现，很多企业在员工安全意教育及人为因素风险管理活动中，还是采取“以惩罚为主”的方式，尤其是在金融、制造、汽车、医疗等行业。例如，如果员工未完成培训或在钓鱼模拟演练中中招，企业常常采取反复催促、责怪、通报、考核等惩罚模式。如果员工在真实钓鱼攻击中不幸上钩，她/他的邮件收发权限将被管控。如果外包员工有意或无意触发了数据安全风险，她/他的系统访问权限将被没收或降级。如果员工出现终端安全违规事件，她/他的电脑将被锁定(时长有的甚至一个月)等等。。。。。

当人们伸出手指责一个人的时候，一根手指向对方，三根手指是返回指向自己的。指责别人总是轻而易举，反省自己，却困难重重。 安全团队也需要扪心自问一下：我们真得关心员工、理解员工、尊重员工了吗？钓鱼邮件成功达到员工的邮箱，我们的技术防御手段和安全策略到底发挥了多大作用？安全意识培训、合规宣贯与模拟演练，真得做到位了吗，还是只是走了走形式，应付了事？我们在网络安全阻击战中是在单打独斗，还是与广大员工真得形成了联防联控的“钢铁长城”？我们的领导、中层及员工真得关心安全吗，真得重视安全吗，真得落实安全了吗，我们如何改变现状？

2.1 安全意识教育：奖励or惩罚

企业安全意识教育的目的，不是传播知识，而是影响结果，也就是使每一位员工的风险行为能够发生改变，使低级的“人为错误”不再发生。通过自主自愿、自动自发地参与安全意识教育，员工在工作与生活中不断应用所学和刻意练习，在应对各种安全威胁时形成条件反射与肌肉记忆，从而将安全意识内化为自己的“第二天性”与行为习惯。但行为习惯的养成，不是一蹴而就的。通过适当的运用奖励和惩罚策略，可以鼓励员工重复保持正确的、期待的安全行为，或预防、阻止、及时纠正员工的重复犯错。奖惩背后的脑科学/神经科学理论基础是：人类本能地倾向于“追求快乐，逃避痛苦”、“追求认同，逃避排斥”、“追求希望，逃避恐惧”。

奖励是让人有创造性的动机，让员工主动想要安全，去做安全的行为或结果，员工会积极、主动、也在做的过程中更有创造性，便于形成良性循环。以正向且及时的反馈作为给员工保持安全行为的奖赏，会让员工感到舒服和认同。员工一旦有了这样的心理预期，自然就会做出平时不经常做的事，不久就会养成安全的行为习惯。一旦形成习惯后，即便没有正面反馈，员工通常也能长时间保持这一行为。原因很简单-安全习惯已经根深蒂固地成为了一种固化的行为模式。

惩罚是约束人的动机，警示或让人不得不怎样，如果不做就会面临惩罚的后果，员工是消极的、被动的、应付的态度。与我们的直觉相反的是，试图以惩罚、制造恐惧改变员工的行为，往往会适得其反。而正向强化远比警告、威胁、震慑更管用。因为人类大脑天生就能将“采取行动”而获得奖赏，而非“避免损害”联系到一起。奖赏会让人联想到快乐，惩罚则使人联想到痛苦，而痛苦、恐惧和焦虑会让人们退缩，甚至反抗，或是不作为，而非采取预期的行动。

例如：对于钓鱼模拟演练中中招员工的“处罚”，建议安全团队在一定限度内应容忍或容许员工在演习中犯错，尤其是新员工，还没有来得及接受系统化安全意识培训的群体。尽量避免当众批评，全员邮件通报，让员工丢脸没面子，这种方式会造成员工心理上的恐惧、逆反、逃避。惩罚可能一时有效，会立竿见影，但不可持续，不利用风险上报机制、联防联控、互信合作的安全文化形成。员工因担心处罚或担责而选择隐瞒或瞒报，则可能造成更大的安全隐患。

2.2 如何实施奖励更有效？

我们意识到安全意识教育中奖励比惩罚效果好，如何奖励呢？行为科学家告诉我们，以人为本，在理解人性的基础上，可以更好的设置奖励和激励机制。 对于奖励单次行为，可以放大奖励感知，让员工觉得这个奖励很值，例如年度信息安全日/周/月活动中的线下活动奖励费用总共10000元，不建议平均给每位参与的员工相对较少的奖励/纪念品（如价值50元，共200个名额），而是举行一次抽奖，即答题对了有抽大奖资格，纪念品价值1000元，中奖的十名员工瓜分奖金。人们会倾向于乐观地高估小概率喜事~中大奖~发生在自己身上的可能性，这样员工参与活动的积极性会更高。

对于多次重复行为的奖励，比如说每天登录学习平台/App进行打卡学习，坚持跑步锻炼达到减肥等，对于这类重复执行的行为，上面的单次奖励策略会大打折扣。因为没有那么快会有效果，而人的大脑是欢及时反馈、及时奖励的。单纯凭一时兴趣或凭意志力坚持，等到学完了或瘦下来才给自己一个大奖励，是不可能长久的。所以我们看到，很多人学不下去，减肥失败了，戒烟失败了。对于重复行为的奖励，应该用阶段化的奖励。例如，员工每天学10分钟，坚持1周给一个小奖励。坚持1个月给一份较大的奖励。

另外，如果让一件事做起来很有趣，甚至可以不需要激励措施。在安全意识教育中合理的运用游戏化，让员工寓教于乐，让学习变成了一种享受，学1个小时甚至更长时间也不会感到无趣，玩游戏本身就成为了一种产生心流的奖励。有趣，是建立在一定的随机性和不可预知性上的。反过来讲，可以预知的有趣就是无趣。奖励也需要随机多变，半年或一年内不变的、可预知的奖励就失去了吸引力。

2.3 物质奖励or精神奖励

有些企业对员工安全意识与行为进行正向强化的激励，往往侧重于物质方面的奖励。物质上的奖励虽是一般员工最喜欢的，可也有它的劣势，例如：小奖品，起不到刺激员工的作用；大奖品往往又超出了预算。另外，过分强调物质奖励，会弱化物质激励的作用，甚至适得其反。本来对安全有热情的员工，本来是不求回报也可以获得内心的满足感与成就感，将安全物质化后，反而会降低这一群体参与的动机和热情。而只冲着物质激励而来的员工，一旦奖品不如去年的好，可能会扭头就走，毫无参与热情。

下面介绍三种在安全意识教育工作中的精神激励：

• 让领导成为安全意识与行为的楷模。对员工最好的激励是领导以身作则，领导的影响力也是一种激励方式，领导正确的行为会积极影响下属的安全行为。

• 让安全意识强的员工当安全标杆。要树立各分支机构、各部门、各岗位、各层级的标杆，把谁树为安全标杆，对他本人和该部门员工都是一种激励。除了发荣誉证书外，还可以授予“安全文化大使”头衔等。

• 让安全表现好的员工当“老师”。让他/她去分享、传播和影响周围的同事，当老师也是最容易让员工有自我价值被实现的感觉。

另外，设置激励机制时应注意的一个陷阱：人们倾向于钻机制的空子。如刷学习积分、刷学习时长、刷荣誉榜等等，应尽量避免奖励容易作假的事情。例如，某家企业在企业安全文化建设方面曾推行了一个失败的激励机制。鼓励员工上报安全风险，公司根据风险的影响级别给予不同的奖励，发现一个奖励50元等值礼品，最高达1000元，最后没有能推行下去。因为有员工故意人为制造安全风险或虚假报告安全事件，然后进行报告，再去拿奖励。鼓励员工上报风险是好事，奖品只是一种激励方式，从引导员工发现风险、上报风险，再到如何去做改善，最终形成更安全的文化氛围。需要对奖励计划的过程进行监测，一旦发现不好的苗头，就要及时调整策略，不能任其发展。想要员工有什么行为和结果，就鼓励什么，将精神激励与物质奖励结合的方式控制在一个合理的度。

最后，任何一项安全意识教育的成功，都离不开管理层的支持（包括用于员工激励的预算费用），与公司现有企业文化的调性保持一致，与公司所处的发展阶段相适应。安全意识教育不是要羞辱员工的不良习惯，正向强化比负向强化更能激励员工形成和保持安全行为，最终塑造出更具弹性的企业安全文化。

结束语

所有的企业都绕不开一个永恒的安全漏洞：人。员工既可以是最薄弱的一环，也可以是最强大的防线。员工即可以是问题本身，也可以是问题的解决方案。怎么看待员工在网络安全中的身份定位，仅是安全团队一念之间，不同观念带来不同的行动措施（管控，还是赋能），不同行动措施带来不同的结果（最终与员工形成对立关系，还是与员工形成统一战线）。如何把看似“虚头巴脑”的网络安全文化建设做实，搞得有声有色，如何转变技术管控思维为赋能利他思维，是值得每一个企业安全团队认真思考的！

尊重规律，顺势而为，打造企业网络安全文化，是一件既重要又紧急的事儿。企业着力打造“以人为中心(Human-Centric)”的网络安全文化，合理地运用奖惩措施，建立一支全员武装的、更具安全意识与网络弹性的员工队伍，是应对当前及未来网络安全威胁不确定性的上上策!

注：以上所有图片均来源网络，版权归原作者所有。

关于作者

HardyXie：一名终身网络安全意识“布道者”|“讲师”|“实践者”

超安全文化研究院创始人，人为因素安全风险管理专家，世界500强前30企业原集团安全意识与文化负责人

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。