企业网络安全文化建设：安全学习曲线 (SLC)

安全意识的困局

安全意识市场是一门大生意！据Cybersecurity Ventures预测，到2027年，安全意识市场规模将增长至100亿美元。安全意识市场方兴未艾，市场潜力巨大且尚待进一步激活，甚至那些以安全技术产品、平台和服务为核心业务的大安全厂商，近年来也越来越多地涉足这一领域，通过收购安全意识厂商整合到现有业务中。欧美国家几乎每家组织都会以某种形式开展安全意识宣贯或培训活动，而且大多是从外部供应商购买服务。

但另一个令人担忧的事实是，想通过传统的安全意识宣贯与培训手段来改变员工的风险行为，最终降低人为因素安全风险，却几乎没有效果。通过反复宣贯与培训，对于提升员工对网络威胁和风险的认知，以及遵守安全合规要求有一定帮助。事实上，大多数员工缺少的不是安全意识知识，他们清楚自己应该做什么和不应该做什么，但在实际工作中因种种原因却往往不遵守最佳安全实践。有可能是规定的安全行为不具备可操作性或可能会降低员工的工作效率，以至于有些员工不得不“变通行事”或故意绕开安全管控，从而实质上构成了“非恶意的违规行为”。很多安全团队对此心照不宣，对员工不遵守强制性规定的行为视而不见，因为他们也找不到既能保障组织安全，又能保证工作效率的折中办法，员工也会产生一种不遵守安全规定也没啥关系的印象。

作者曾为某家大型金融机构做安全文化建设咨询时，也发现类似现象。例如，邮件发外策略总是不加区分地一律拦截图片，但某些岗位因工作需要确实需要外发图片，虽然并不包含任何敏感信息，依然被拦截，给员工造成了不小困扰和不便。后来，员工摸索出一套“变通”的方法，把图片拷贝到Word文件里再申请邮件发外，或通过寻找“影子IT”解决方案试图绕过邮件外发管控。逐渐地，一些不安全的做法在不同部门之间形成了一种不成文的规矩，只可意会，不可言传。另外，对于绝大部分非安全岗位员工而言，在安全问题上，员工一直是被置于“被动服从”的位置，员工的参与度和主动性很有限。而且，安全对于一般员工而言属于辅助性或次要任务。在次要任务(包括安全意识培训、安全工具使用等)上花费的任何时间都会被认为以牺牲生产力为代价。强制要求忙碌的员工花时间和精力去完成安全培训，或每天执行安全扫描动作，且完成后并没有任何形式的激励和认可，哪怕是弹出一个“你做得很好”的积极提示。而做不到就会面临通报、处罚或扣分，员工又无法看到实际受益，唯一驱动员工参与安全的，就是担心被处罚。久而久之，员工难免会对安全及安全培训产生无奈、抵触或厌倦感。

了解安全学习曲线(SLC)

当前的安全意识宣贯与培训方法很多只是在单方向地向员工“灌输”和“推送”信息，认为只要员工掌握了足够多的安全知识并知道如何防范风险，员工的行为就会随之改变。但是，从唤醒安全意识，到形成安全行为并养成常规习惯，并没有那么简单。我们首先了解一下“意识成熟度曲线(AMC)”。意识成熟度曲线的概念和模型最初由惠普公司提出，但是偏理论性的，而非实操性。大多数组织在为员工提供安全信息和知识、告知员工什么是风险行为方面提供了一定资源，然后就停止了努力，想当然地认为接下来员工的安全行为会自然发生，员工会按所培训的内容做到预期行为，但“安全意识仅仅是第一步”。

德国波鸿大学教授Hielscher等专家在意识成熟度曲线的基础上，于2021年提出了“安全学习曲线（Security Learning Curve）”模型，该模型融合了有关个人学习和组织学习的最新科学进展，为组织提供了促使员工养成安全行为习惯所需的“缺失环节”。

“安全学习曲线”模型由人们养成新的安全行为所经历的9个阶段组成。

安全卫生(Security Hygiene)：安全卫生或网络卫生在国外安全圈儿是一个常见的词汇，但国内比较少见，也没有太匹配的权威翻译。安全卫生可以理解为安全控制措施的最小集合，是安全工作的基础之基础。绝大多数网络攻击或违规行为，都是由于组织未能遵循最基本的安全卫生实践（如补丁管理、密码管理、错误配置等）而导致的。微软曾有报告强调：组织通过践行最基本的安全卫生，可以预防99%的网络攻击。

提供信息(Information)：组织为员工提供的安全意识培训、安全制度宣导、安全资讯传播等等，这是大部分企业都在做的常态化动作。培训的内容有可能外部采购，也可能由安全团队自行开发材料并实施培训。一旦员工提高了对风险的认知，组织就需要明确员工为避免风险必须遵循的安全行为规范。

提升敏感度(Sensitising)：使员工提升对安全威胁，及安全威胁对组织和个人带来潜在后果的敏感度。在提供信息阶段，组织会向员工解释特定的网络攻击，但大多数员工对安全风险缺乏足够的警惕性或对潜在后果并不敏感。向不同员工群体突出相关风险和后果，而不是向所有员工一刀切式地告知安全风险，更有助于员工认知到自己的具体责任，并激励他们着手改变根深蒂固的不良安全习惯。

促进理解(Understanding/Knowledge)：如果员工只是被动参与或走过场式完成安全意识培训，那么培训内容很可能在一个月之内就遗忘殆尽了。或是参加了培训，但过于书面化或理论化，缺乏实际操作或练习，每个人的理解程度有限，也就很难在回到工作岗位后做到安全。另外，有些安全制度过于专业或晦涩难懂，员工无法完全理解和消化，就会导致违规事件时常发生。在促进理解、使员工掌握知识和技能这个层面，依然有很多组织做得并不到位。游戏化、场景化、沉浸式与个性化是应用比较多的安全学习技术。

激发认同感：建立共识(Agree:Concordance): 传统上，IT安全使员工处于被动地位。公司制定安全政策并强制推行，员工要么服从照做，要么接受处罚，也就是要做到“合规”。“合规”并不需要员工同意与否，但需要持续的监督、执行和纠正。在军队环境下，绝对服从和遵规是可能的，但在企业环境下，并不一定能让人心甘情愿地做到。员工的时间被诸多事务占据，强制规定的事物员工可能会有各种理由拖延或不去尝试。即使是在医疗领域，戒烟或减肥是对个人（且不说对整个家庭）是有绝对好处的，但让当事人改变不良习惯依然是一个难题。只有当事人发自内心的认同，对目标做出承诺，并对实现目标所需的可行步骤达成共识时，行为改变的可能性才可能更大。与其一味强制要求员工遵规，不如采取建设性的方式与员工建立共识。让员工参与安全制度的设计或提供反馈建议，而不是由安全专家单方面地埋头设计制度，更有助于获得员工的认同感和责任感，并自愿遵守。

激发信念：增强自我效能感(Believe: Self-Efficacy)：自我效能感这一概念最早由班杜拉(Bandura)等专家提出，人们相信自己有能力成功完成某事的信念与行为改变的实施呈正相关。相反，如果对自己能够成功实施新行为缺乏信心，人们从一开始就不大可能尝试。因此，员工除了要认同自己想要改变行为之外，还需要对自己成功改变行为的能力充满信心。新行为的练习以及由此带来的积极体验，应当成为安全培训的重要组成部分。例如：尾随(社会工程学攻击的一种)在许多职场依然存在，员工接受过培训，应向试图尾随自己通过门禁的人提出质疑，但因为担心自己无法妥善处理这种情况，或可能“误伤”同事而引发不愉快的冲突，所以选择回避不予干预，任由他人尾随通过闸机。组织可以通过角色扮演练习来帮助员工获得直接经验，向员工展示如何以非对抗性的方式提出质疑，并提升反馈和指导，增强员工对自身能力的信心。在一下次实际遇到尾随威胁时，他们可以回想类似的情景以及自己当时的应对方式。或通过间接经验，观看他人如何成功阻止尾随的视频，帮助员工建立自我效能感。员工在日常工作环境中应用新的安全行为时应给予积极反馈，增强自我效能感，而遇到困难时及时提供支持、安慰和辅导。

实施行为：技能/能力 (Implementation: Skills/Abilities): 一旦与员工建立起共识并提升了自我效能感，下一步就是促使安全行为融入到日常工作的背景之中，培养技能和能力。实现这一目标的关键在于，如果旧的不安全行为仍然不断被触发，新的安全行为就无法嵌入。过去已经养成的行为深深刻入长期记忆中，由线索触发，并自动执行。每次这种情况发生，旧的行为就会得到强化。现有的安全意识教育会默认，一旦员工获得了有关安全行为的信息和知识，就可以激发员工改变的动力，而事实并非如此。组织必须识别并消除工具、流程和环境中触发“旧行为”的因素。并如老生常谈的若口令问题，很多时候并不是员工不知道如何设置强密码，而是账号太多，又没有合适的密码管理工具，员工只好回归旧习惯：记录在笔记本上、电脑里或使用简单的密码组合。

内化行为：刻意遗忘、间歇性重复及行为助推(Embedding: Intentional Forgetting，Repetition, Nudging )：新的安全行为必须反复多次才能内化并程序化。新的行为模式需要强化到一定程度，才能战胜旧有不良行为的侵蚀。每重复一次新的安全行为，人们就朝着下意识与本能化迈进了一步，而每次旧有不安全行为的再次出现，人们就会倒退三步。组织需要采取积极措施摒弃旧行为，消除其诱因或触发因素，并支持新的行为养成-这一技术被称为“刻意遗忘(Intentional Forgetting)”。刻意遗忘技术对于促进行为改变至关重要，其目的是减少旧习惯的影响，并阻止旧知识的使用。人类大脑的一个特点是：常规行为会根植于心。如果未能妥善淘汰旧的行为方式，而是让其继续存在，同时又未消除触发这些旧行为的因素，那么新的安全行为取代旧的风险行为的努力就会失败。间歇性重复是对抗遗忘的有力武器。当肌肉记忆没有完全消退时，及时巩固，长期重复以形成条件反射。设计巧妙的行为助推可以帮助人们以非强制性的方式改变行为模式。

安全行为 (Secure Behavior)：在这一阶段，安全行为成为员工的一种日常惯例和无意识能力。组织可以考虑对顺利完成过渡的优秀员工给予奖励和认可，而对于哪些不愿改变或屡屡发生风险行为的员工予以适当惩戒。将“安全学习曲线”嵌入组织的安全文化变革管理流程，有步骤地分阶段实施，有助于组织范围安全行为的有效落地，使安全行为成为员工的第二天性。

总结

从安全意识到安全行为的养成，不是一件轻而易举或一蹴而就的事儿，而是一个任重道远的长期过程。当前的安全意识宣贯和培训仅仅是停留在试图提升员工的安全意识，并向员工提供有关安全行为的信息层面。大多数IT安全决策者认为网络安全是一个技术活儿，网络安全文化建设交由安全专业人员管理是理所当然的，而安全专家大多是技术或管理背景出身，常见的做法是试图强制施行安全政策+简单推行安全培训+加强安全技术管控，并配套强硬的处罚措施，以期通过制造焦虑、利用权威等方式在组织中塑造良好的安全行为，他们往往低估了网络安全中人为因素的复杂性，“人的问题”需要以人性化的方式解决。从福格(Fogg)到米奇(Michie)到塞勒(Thaler)等行为学家、心理学家或行为经济学家，提供了一系列有关行为改变的科学方法，在组织网络安全文化建设中合理应用会带来事半功倍的效果。

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。