如何改变员工的风险行为是安全意识与文化专业人士要面对和解决的一大难题。传统的安全意识宣贯与培训活动,对于提升员工对网络安全风险的认知有帮助,但却无法使员工在日常工作中养成期望的安全行为与习惯。也就是说,从“知”到“行”,仍然存在一个巨大的鸿沟。在“知”的层面年复一年的低水平重复,投入再多预算,做再多宣贯与培训也无法带来预期的结果(实质性降低人为因素风险)。
心理学与行为学的合理应用,可以为安全意识与文化专业人士打开一扇新的大门。本文将介绍一套关于行为改变的理论:“行为改变轮(Behavior Change Wheel)”。该理论由伦敦大学学院行为改变中心主任~ Susan Michie教授于2011年首先提出,多年来在社会、经济、健康、教育等多个领域得到广泛应用,可以最大限度地促进群体及个体的行为改变。
行为改变轮(BCW)的构成
行为改变轮(BCW)理论综合了19种行为改变相关的框架发展而来,旨在帮助行为干预设计者全面干预目标个体与群体的行为,最大限度地促进预期行为发生。行为改变轮(BCW)轮理论由内到外共分为三层,内层核心是行为系统,也是行为来源(三个基本条件,即:动机、机会与能力);围绕着行为系统的是九大干预功能(即:教育、说服、激励、强制、培训、赋能、树立榜样、重塑环境、设置限制),旨在解决三个基本条件中一个或多个不足而实施的干预措施;最外层代表着能够使这些干预措施得以实施的七大政策类别(即:环境与社会规划、沟通与营销、立法/法律、服务提供、监督监管、财政措施、指南/方针)。BCW轮三层相互关联,最内层帮助识别干预目标的行为来源,是行为的决定因素;中间层是行为改变可选的干预手段;最外层是用于辅助干预功能实施的政策措施。
举个例子:安全团队想要提升员工的钓鱼邮件上报率,首先需要从最内层开始,分析上报率低的原因。原因有可能是员工无法准确识别出钓鱼邮件(能力不足问题)、有可能是员工不知道如何上报或上报渠道不通畅(机会不足问题)、也有可能是觉得麻烦浪费时间或工作忙碌无暇操作(动机不足问题)。如果想提升员工的上报动机,可以选择中间层的某一种或多种干预措施组合:如“激励”。最外层可选“财政措施”作为实现激励的手段,具体方案可能是物质激励或荣誉激励。如果实施激励计划后仍未提升上报率,则可能说明激励方式或力度不够,需要进一步优化,可能还要结合“树立榜样”+“说服”来进一步提升动机。或是只提升动机还不够,还需要提供更多深度培训(能力)和提供便捷的一键上报功能(机会)。
拆解:COM-B行为系统
行为改变轮(BCW)理论的核心是COM-B行为系统(能力、机会、动机与行为四个组件),强调行为B的发生,是由能力C、机会O和动机M的交互作用驱动的。与刑法领域类似,要想证明某嫌疑犯是否犯有某种罪行,必须证明三个要素:犯罪嫌疑人有没有能力实施犯罪、是否有机会和条件作案,以及是否有足够的作案动机?能力、机会与动机相互作用,从而产生行为,而这种行为反过来又会影响这些因素。若一个或多个组件被特定的干预措施改变,其它组件也会随之改变。
在COM-B模型中,能力被定义为个体从事相关活动的心理能力和生理能力,包括具备必要的知识和技能。心理能力是指进行必要思维过程的能力,如理解、推理等;机会被定义为所有位于个体之外、使行为可能或促使其发生的所有因素,包括物理机会和社会机会,后者决定了人们看待事物的方式;动机被定义为所有激发和引导行为的大脑活动过程,包括反思型动机(涉及评估和计划)和自发型动机(涉及情绪和直觉),而不仅仅是目标和有意识的决策。如图所示,单向箭头和双向箭头代表系统中各组件之间可能存在的相互影响。例如,机会可以影响动机,能力也可以影响动机;实施某种行为可以改变能力、动机和机会。
特定的干预措施可能会改变行为系统中的一个或多个组件。COM-B行为系统内的因果联系可能会削弱或增强特定干预措施的效果。虽然这是一个行为模型,它也为旨在改变行为的干预措施设计提供了基础。将其应用于干预措施的设计,任务就是考虑行为目标是什么,以及需要改变行为系统中的哪个或哪些组件才能实现这一目标。该系统对于个人、群体或环境视角,不区分优先级。内在心理因素和外部因素在控制行为方面具有同等地位。
COM-B模型与斯坦福大学行为设计实验室创始人~ BJ Fogg教授提出的福格行为模型(B=MAP)异曲同工,即行为的发生,需要动机、能力和提示三大要素共同作用。关于福格模型,详见公众号历史文章:无法改变行为的安全意识教育,都是在做无用功!
拆解:九大干预功能
干预功能是行为改变可选的干预手段,可根据干预功能的具体含义设计干预方案。干预功能/措施分为以下九种:
教育(Education):使人们增长知识与理解力
说服(Persuasion):利用沟通来引发积极或消极情感或激发行动
激励(Incentivisation):制造奖励预期
强制(Coercion):制造处罚或付出代价的预期
培训(Training):使人们增长技能 (教育与培训有区别)
赋能(Enablement):创造机会、改进方法或减少提升能力或机会的障碍
树立榜样(Modeling):为人们提供榜样的力量(方向和动力)或树立学习效仿的范例
重塑环境(Environment Restructuring ):改变人们做事的物理环境或社会环境
设置限制(Restrictions):设置禁止性或限制性规则来减少人们参与特定行为的机会
任何特定的干预措施原则上可能发挥不止一种行为改变功能。干预措施的选择与所要改变的组件存在特定联系。通过教育、培训和赋能的干预措施组合,可以使个体正确掌握改变特定行为需具备的心理能力;通过设置限制、重塑环境、树立榜样和赋能的干预措施组合,可以为个体创造特定行为改变的社会机会;通过教育、说服、激励、强制和赋能的干预措施组合,可以为个体改变以往对特定行为的错误认知,形成正确的反思型动机。
在九大干预功能/措施中,强制、设置限制、重塑环境和树立榜样这四种干预更侧重于外部影响,而教育、说服、激励、培训和赋能这五种干预更关注于个人能动性。制定干预方案时,需要遵循APEASE原则,充分考虑可负担性(Affordability)~是否在预算可接受的范围内、实用性(Practicability)~执行人员操作难度、有效性(Effectiveness)~有限成本下能否取得最大效益、可接受性(Acceptability)~能否被公众/专家/法律所承认、安全性(Safety)~是否会产生副作用,以及公平性(Equity)~是否对某些群体构成歧视。如果干预措施是针对个体层面的,可能更重要的是可行性、性价比、安全性;如果针对群体层面,更重要的常常是可接受性、公平性。
拆解:七大政策类别
政策手段用于辅助干预功能实施及干预方案发挥何种作用。政策手段可分为以下七类,按强硬程度依次为:
沟通/营销(Communication/Marketing):利用书、邮件、电话、广播或网络等媒体实施大众宣传与传播
服务提供(Service Provision):在工作场所提供的支持性服务/工具
指南/方针(Guidelines):制定相关推荐性或强制性实践操作文件
环境与社会规划(Environmental/ Social Planning):通过规划来设计和/或控制物理环境或社会环境
财政措施(Fiscal Measures):利用财务/税收政策来降低或提高财务成本
监督监管(Regulation):建立行为或实践的规则或原则
立法/法律(Legislation):设立新法或修改现有法律
政策手段的选择与干预功能/措施的选择存在特定联系。例如,沟通/营销、指南、监督监管、立法/法律、服务提供可以辅助教育功能的实现;激励功能可借助沟通/营销、指南、财政措施、监督监管及服务提供得以实现。
总结
行为改变轮(BCW)理论提供了一套系统的方法论,它基于19种行为改变相关框架,且简单实用,可以帮我们在设计行为干预方案时做到有理有据。使用它的前提是,明确地知道目标人群的特征,并且知道哪些行为有助于我们实现目标。
在分析人们的网络安全行为并设计干预措施时,COM-B模型也很有帮助。为了以一种可持续的、量身定制的、有针对性的方式改变行为,我们首先需要彻底了解行为,需要改变什么才能实现期望的行为。在网络安全文化领域,我们要了解为什么员工会将敏感信息下载到个人文件中?为什么员工在远程工作时不使用VPN ?为什么员工会应付式地参加安全培训?回答这些问题需要理解是什么驱动了风险行为的发生。
能力是一个人完成某种行为的心理和生理能力。在网络安全领域,我们通常将其称为意识(例如了解网络安全风险),但缺乏能力也可能与一个人的安全技能(例如创建强密码与识别钓鱼邮件技能)、记忆力、注意力以及缺乏自我调节(无法完成目标或意图)有关。机会既是物理的,也是社会的。物理机会包括计算机资源、安全策略和物理限制等环境因素。社会机会包括对行为的社会环境和文化影响,例如来自同事和工作场所管理的社会压力,以及围绕网络安全的组织文化。动机是任何能激励和指导行为的事物。尽管人们喜欢认为他们总是做出理性的决定,但大多数情况下,是“心”驱动着我们的决定,使我们的行为变得非理性。人们固有的认知偏差有数百种,它们有助于加快我们每天处理大量信息的速度,但它们也可能导致不良行为(比如打开明知不该打开的附件,或者本能地点击链接)。
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
