善用自我驱动,打造安全文化
在网络安全文化建设中,全体员工潜在的“自我驱动力”是一种无形的强大力量,它无需外界的激励或压力推动,而是源自员工内心深处的安全信念、渴望和对成功的追求。本文将探讨“自我”为何会影响员工的安全决策、“自我”如何影响网络安全,以及企业如何运用行为科学将员工的内在动机与安全目标结合起来,通过“自我驱动”策略改进安全行为与文化计划(SBCP)。
Gartner在最新发布的2025年顶级网络安全趋势中,再一次强调安全行为和文化计划(SBCP)的价值正在持续延伸。卓越的安全与风险领导者越发深刻认识到SBCP计划对于改善组织网络安全态势的重要价值,反映了整个行业正在努力将安全融入企业文化的战略转变。这背后的逻辑是:技术漏洞在一段时间内可以利用,但最终会被修复,而“人的漏洞”却内生存在,可以长期利用。即使企业拥有强大的安全技术防御,网络攻击者依然会想方设法钻“人性漏洞”的空子(例如利用顺从权威、过度自信、社会认同等心理需求),通过诱导员工犯错从而突破安全防线。员工的行为,不论是安全行为还是风险行为,是影响企业安全的关键。而塑造这些行为背后的一个关键因素是“自我”。如果安全团队了解“自我”如何影响决策,帮助员工在日常工作中做出更安全的决策,就可以更有效地降低人为因素安全风险。
为什么“自我”在网络安全中很重要?
在心理学中,“自我”是大脑中平衡个人欲望、理性思考和社会期望的心理部分。“自我”影响一个人如何看待自己、如何评估自己的能力以及对认可的需求。它塑造了人们的信心、学习的意愿和对反馈的反应。在工作中,“自我”驱动着竞争、寻求认可和感觉被重视的欲望。这些特征影响着员工对网络安全措施的反应和做出决策的方式。在网络安全文化建设中,理解自我可以帮助组织塑造安全行为,并打造一种员工“自我驱动型”的安全文化。
“自我”通过若干方式影响安全行为:
过度自信—员工可能会抗拒安全培训,自认为他们已经很了解网络安全了,尤其是一些入职已久的老员工、IT团队与安全团队员工。行为经济学家Kahneman & Tversky曾在对决策和风险认知的研究中引入了“过度自信偏差”的概念,即个体往往高估自己的能力。这种认知偏差导致员工容易忽视网络安全风险,认为他们不会受到网络攻击,或高估自己识别和抵御风险的能力,从而在虚假的安全感中不知不觉中放松了警惕。
知名安全意识厂商Knowbe4最新发布的一项研究报告显示,几乎所有(86%)的受访者都认为他们可以自信地识别出网络钓鱼邮件。然而,超过一半(53%)的人沦为了某种形式的社会工程学骗局的受害者,24%的人遭到了网络钓鱼攻击,17%的人遭到了社交媒体骗钓鱼欺诈,12%的人遭到了深度伪造欺诈。这种感知能力和表现出的弱点之间的脱节,即“信心差距”,给组织带来了巨大的风险。过度自信会形成一个危险的盲点-员工认为自己精通如何防范网络钓鱼,而实际上,网络罪犯可以利用30多种易感因素对目标对象进行操控。
害怕判断—员工可能会因为担心出丑、尴尬或惩罚而避免报告安全错误。害怕被负面看待或贴上负面标签,是阻碍人们在工作场所畅所欲言的重要原因。英国曼彻斯特大学心理学家James Reason关于“人为错误”和组织文化的研究,强调了“基于指责”的文化环境会阻碍个人承认错误。在网络安全领域,这将导致员工在中招钓鱼邮件后选择瞒报或是发生数据泄漏行为而不敢告知安全团队。
James Reason在其著名的心理学专著《人为错误(Human Error)》中将人为错误分为两大类:失误(Slips)和错误(Mistakes)。人为错误总是存在的,“正常”的人为错误率从0.01%到90%不等。在许多情况下,人为错误实际上是人为或环境因素的结果,例如决策偏见、工作压力和特殊环境等。如果安全团队没有在组织内营造出一种支持性的心理安全感,员工在报告潜在安全威胁或薄弱环节时就会顾虑重重,也不敢公开表达自己的安全见解和看法。
能力激励—当员工有成就感和掌控感时,他们更有可能采取安全的行为。知名心理学家Ryan & Deci提出的自我决定理论(Self-Determination Theory, SDT)探讨了个体行为背后的内在动机。SDT理论的核心观点是,人们具有内在的动机和自主性,追求自我决定和自我实现,该理论将人类的动机分为三种类型:内在动机、外在动机和无动机。人们天生受到自主性、胜任力和社会归属感的激励。这里特别提一下自主性,即个体对自己行为的掌控感,人类大脑是极度渴望掌控感的。但在网络安全领域,员工的感受往往是被高度管控的,被动的接受安全培训,被动的参与钓鱼演练,而没有多少自主性和掌控感。久而久之,即使面临安全威胁,“不作为”或“无力感”也就成为了员工的常态。在安全学习中员工自主决定学习内容、进度和路径,安全周活动中加入以激励而非惩罚为目的的钓鱼演练,加入动手实操的互动演示环节等等,可以增强员工的掌控感和胜任能力感。
另外,钓鱼演练的惯常做法是不提前通知,搞突击演练。但与我们的直觉相反,确保员工对于钓鱼演练的知情权和获得掌控感,员工以最舒服的方式和最愉悦的状态迎接钓鱼演练,实际上更有助于提升演练实际参与率和有效性,得到更真实的演练数据。
运用自我驱动策略改善安全行为
通过以积极的方式吸引“自我”,将安全文化与员工对认可、专业性和不甘落后的渴望相结合,安全行为将变得更具吸引力,带来更多成就感,并自然地融入日常工作。以下是驱动“自我”的一些实用策略和示例:
奖励安全行为(正向强化)
策略:认可和奖励安全行为,增强员工的成就感。
示例:通过公司即时通讯工具、内网公告或邮件通知,公开表扬表现突出的员工,比如“非常感谢XXX部门员工张三成功阻止了一次鱼叉式网络钓鱼攻击,大家为他点赞!”。让安全成为一种身份象征,使员工感受到自己的贡献是被认可的,其它同事更有可能被鼓励,从而提升安全警惕性和积极上报风险。
使用基于信心的信息传递(框架效应)
策略:将安全行为视为职业技能和专业精神的表现,而不是基于恐惧的警告。
示例:与其说“不要陷入网络钓鱼的圈套!”,不如说“成功识破钓鱼邮件彰显了您的数字安全专业素养!”。与其说“不要泄漏敏感信息!”,不如说“作为敏感信息处理者,您在防止数据泄漏方面扮演着至关重要的角色”
鼓励社会影响(社会认同)
策略:当员工看到他们的同事都在遵守安全规范时,他们更有可能保持一致。
示例:提升员工学习完成率不必一遍遍地催,可以发一条通知如“您部门90%的员工已完成安全培训!”,其它尚未完成的同事很可能会为避免拖后腿或与大家保持同步,尽快完成培训。
增加竞争和乐趣(游戏化和排行榜)
策略:利用良性竞争、趣味性和激励认可来激发安全行为。
示例:为钓鱼模拟演练或安全培训创建一个排行榜,标题为“月度十大反钓鱼卫士/安全学习达人”,并提供奖励证书、徽章或小奖品等,让安全成为一种乐趣,而不是一种强制任务。
个性化安全信息
策略:根据员工的角色和职责定制安全信息,使其更具针对性。
示例:鼓励销售团队:“作为客户敏感数据的保护者,你的安全行为可以增强客户对我们的信任”。以自我为导向的激励使得安全行为更有吸引力,从而提高员工对保护公司数据的自信心和责任感。
衡量自我驱动的安全策略
为确保自我驱动的安全策略能够改善员工安全行为,组织必须衡量效果并持续改进。如果无法证实安全行为与文化计划的价值,没有看到切实的收益,管理层也就不愿意投入资源。资源投入水平低 (预算低、支持少、未设立专职安全意识与文化岗等), 就无法系统性、结构化地全面开展SBCP计划。结果就是收效甚微,员工参与度不高,而缺少全员的参与就谈不上降低人为因素风险,更谈不上安全文化建设。由此,便形成了一个恶性循环。有了度量指标就可以做出数据驱动的决策,安全团队以此为依据便可以更好地获得领导支持。关于度量指标的合理设定,请参见公众号历史文章:彻底搞懂安全意识度量指标,看这篇就够了!
以下是衡量SBCP计划的三个简易步骤:
1.定义度量指标
意识层:学习覆盖率、完成率、考试通过率等
行为层:跟踪钓鱼上报率、违规事件数量、安全行为表现等
文化层:员工对待安全的认知、态度、动机、满意度、自我效能感等
2.收集指标数据
学习数据:通过学习管理平台(LMS) 收集员工安全培训相关数据
行为数据:通过SIEM/DLP/UEBA等安全平台收集员工行为相关数据
演练数据:通过钓鱼演练平台收集钓鱼中招率、上报率等数据
3. 分析和汇报
定期分析数据,跟踪趋势变化,并将行为变化与干预措施联系起来,持续完善安全控制措施。定期向管理层分享和沟通SBCP计划的阶段性进展、成果和阻力,为管理层决策提供数据依据和精准洞察。需要注意的是,安全团队需要将SBCP计划指标转化为业务语言,因为管理层更关心的这些指标数字背后对业务、品牌和运营成本的影响,如降低的人为风险、节省的预期损失成本、更少的响应时间、更好的网络弹性、更高的工作效率等方面的持续改善。
总结
“自我”是一股强大的力量,如果策略运用得当,它可以激励员工自动自发地采取安全行为,是成功打造安全文化的秘密武器。通过应用心理学与行为学原理,组织可以将员工的内在动机与安全行为与文化计划(SBCP)更好地结合起来。当人们越感受到被认可、被欣赏和被赋能时,安全行为就越有可能成为第二天性,从而在组织内形成一支积极抵御网络威胁的强大“人防”队伍。
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
