摘要
全球网络犯罪造成的经济损失仍在不断增加(仅在2024年,美国统计的损失就高达160亿美元),“人为错误(Human Error)”依然是导致数据泄露的主要原因,但也是最大的改进机会。组织需要持续投资于建立“以人为中心(Human-Centered)”的网络安全文化。安全领导者可以灵活运用Gregory Neidert提出的核心动机模型(Core Motives Model)和Robert Cialdini提出的影响力原则,遵循“三步走”策略来实现这一目标:(1)通过培养信任和融洽关系来建立连接;(2)通过以身作则和朋辈榜样减少不确定性;(3)通过助推、公开承诺和激励措施来激发行动。本文作者强调,仅仅意识到这一点是不够的,安全领导者必须促进真正的行为改变发生。在良好的安全文化熏陶和影响下,安全将成为一种全员共同自觉遵守的行为规范,而不是一项强加给员工的合规任务。
打造网络安全文化的三大挑战
仅在美国,2024年网络犯罪造成的损失就增长了33%,达到160亿美元。这些网络攻击与数据泄漏事件绝大多数是人为错误造成的,比如系统和设备的配置错误、敏感信息或存储设备的处理不当,以及恶意行为者的操纵等等。但是,如果说“人为因素”是网络安全中最薄弱的一环,那么它也是通过合适的解决方案能够产生最大积极影响的领域。“以人为中心”的安全策略为组织内实现可持续的网络安全提供了巨大潜力。例如,它可以鼓励每位员工关注密码安全,对可疑的电子邮件威胁保持适度怀疑和警惕,确保离开座位时不将电脑处于未锁屏状态,并在公开场合下谨慎谈论涉及企业机密的敏感话题。
想要实现这种以“人”为驱动的网络安全文化,组织必须解决几个挑战。首先,仅有安全意识本身并不会自动导致期望的安全行为发生。虽然建立安全意识基线是重要的一步,但组织还需要衡量实际的安全行为变化,引导正确的行为习惯,并努力使集体的安全行为成为企业文化的一部分。其次,虽然高管在塑造安全行为方面发挥着至关重要的作用,但我们采访的首席信息安全官表示,说服其他高管认可网络安全投入和各种安全计划的价值存在一定困难。第三,有效的网络安全文化需要一个持续改进和重新评估的过程。没有获得组织内部从上至下的广泛支持,要想实现这一点困难重重。
好消息是,有一些经过充分研究和论证的行为策略可以影响员工在工作环境中以更谨慎、更负责任的方式行事。多年来,我们一直专注于研究个体行为、组织文化和心理因素如何影响网络安全实践和决策。在本文中,我们应用Neidert的核心动机模型(本文的一位作者提出)来指导安全领导者通过人际影响过程,积极影响组织中的网络安全行为。这是一个心理学框架,它将Cialdini的影响力原则(本文的另一位作者提出)与心理动机联系起来,并深入探讨了这些原则为何能有效驱动人们的行为。
利用影响力打造更安全的企业文化
引导人们朝着期望的方向前进(以合乎道德且有效的方式实现),关键在于建立信任,并说服他人相信自己的请求是有价值的。这通常意味着要克服三个常见的障碍:说服他们倾听你的建议是值得的,接受你的请求比不作为(或采纳别人的建议)更有利,以及他们应该立即采取行动而非拖延。
乍一看,通过使用基于心理学和行为学的策略让员工顺从可能显得具有操纵性。但道德影响和操纵之间有一个重要区别:领导力在于通过人们的自主意愿,而非强制或胁迫,引导他们实现共同的目标和愿景。这一模式的核心是让人们按照自己的意愿行动。
Neidert核心动机模型包含三个阶段,以激励人们达到预期目标:
建立连接
减少不确定性
激发行动
运用该模型可以帮助安全领导者克服说服和影响他人的障碍,让他们相信你是值得倾听的,遵循你提出的请求对他们是有利的,并且现在就采取行动是很重要的。该模型已经在军事领域和执法机构中成功应用超过十年,用于打击网络犯罪和恐怖主义。其逻辑与在网络安全领域观察到的员工行为高度契合,揭示了更多尚未被开发的潜力。
在网络安全背景下,目标是建立全组织范围内的集体安全行为文化。这意味着,为了实现卓越的安全行为合规性,安全领导者需要能够与广大员工建立持久的融洽关系,在引领安全文化建设过程中消除员工的焦虑,并建立心理安全感和自信心。
1. 建立连接
在能够令人信服地引领组织朝着既定的安全文化建设目标迈进之前,安全领导者必须与员工必须建立连接。通常情况下,一旦人们感受到你是喜欢他们的、关心他们的(而不是一想到安全,就是处罚、强制、管控),他们就更有可能积极响应你的请求。
定下基调
当别人喜欢你并且相信你也喜欢他们时,他们会说“好的”。当你表现出开放和亲和力时,他们往往也会做出相应的回应。例如,研究人员发现,当销售部门的经理们讨人喜欢,并致力于建立融洽关系时,他们的团队表现得更好,且更有可能实现销售目标。在网络安全领域,通过与各个部门的员工建立友好关系和共同理解,对于促进相互合作并有效推动组织范围内的安全倡议至关重要。
这里分享一个与客户合作的经历。我们与两位经理合作,他们分别负责不同的部门,都试图推动一项特定的网络安全项目。其中一位经理非常热情,面带微笑,当该项目首次提出时,他还特意留出时间给团队成员提问。另一个位则态度冷淡,将该计划的实施视为一种强制性的既定事实,部门成员没得选择,就像他们无法控制自己的命运一样。结果是,在第一位经理所在的部门推行该安全项目比第二位经理的部门要顺利得多。
鼓励团结
人们更愿意为那些他们认为是自己团队中一员的人付出更多努力-网络安全行为也是如此。当然,打造网络安全文化是一项全员共同的努力。但是否能营造出一种团结一致的氛围,取决于各级管理人员。
我们曾合作过的一个客户花了一天的时间将网络安全教育以游戏化的方式呈现给团队(例如:桌面演练和密室逃脱游戏)。他们通过这种互动式、趣味化学习,既传递了安全知识,又增进了员工之间的凝聚力。该团队在当天不仅对如何建立更强大的安全文化有了更多理解,而且还建立了更紧密的团队默契。
建立互惠
普遍存在的一种社会规范是互惠,即如果有人给我们提供了什么好处,我们就会觉得有义务回馈对方。这种互惠原则有助于建立人与人之间的信任和联系。关于信任,一个被公认的定义是愿意在对方面前暴露自己脆弱的一面。如果礼物具有特定意义、出乎意料、专为收礼者量身定制的,且与未来有求于对方的事项无关,这时互惠原则尤为有效。
除了人情之外,互惠原则也适用于让人产生亏欠感的让步。这意味着,降低最初请求的严苛程度,也可以使人们更倾向于朝着预期的方向进行回报。首先要求员工实现一个难以企及的极端目标,然后再让步,随后设定一个更小、更容易实现的目标。例如,最初要求员工100%准确识别钓鱼邮件(零中招率),然后做出让步,允许每个周期内存在可接受的较低中招率,这可能会比一开始要求达成一个相对容易实现的目标产生更好的效果。
2. 减少不确定性
牢固的人际关系会说服很多人,但并非所有人。有些人会犹豫,因为他们对所要求的行为感到不确定,这些人通常会寻求请求是否合理的保障。在某些情况下,这意味着要向那些具有可信权威的人寻求思考与行动的指引。在另一些情况下,这意味着向他们周围的同辈学习。安全领导者可以采取两个步骤来帮助减少这种不确定性:利用自身令人信赖的权威,并让他们看到其他人也在这样做。
运用权威效应
你可能不是网络安全领域的专家,但你可以通过展示并强化自己的权威性来影响他人。当你作为一个领导者亲自指导你的员工遵守公司网络安全规定,或亲自参与其中,做出表率,将更有可能实现预期的结果。例如,董事会主席积极参与网络安全危机模拟演练,展现网络安全问题的紧迫性和严重性。他的出席可以促使员工在模拟演练过程中表现出更专注的行为,并在演练结束之后持续保持这种良好的安全行为。
运用从众效应
当人们在面对不确定的情况下,他们会环顾四周,寻找如何思考和行动的线索。安全领导者可以利用这种自然反应,通过自身示范良好的安全行为,以及公开展示和表扬其他员工的安全行为来引导更多人的思考和行动。例如,公司可以通过在整个组织内分享钓鱼演练结果来促进更加负责任的邮件点击行为,而不是仅向领导层汇报结果。我们建议将重点放在展示和表扬员工积极的、良好的安全行为上,以及有多少员工做到了这一点,他们是如何做到的,因为一个积极的参考点比一个消极的参考点更有效(个体在群体环境中会受外界信息暗示而模仿他人行为)。
3. 激发行动
即使建立了牢固的关系,减少了不确定性,人们仍然需要一些助推才能真正按照要求行事。为鼓励个人走出他们的舒适区,需要不断提醒他们,他们过去曾承诺过遵守组织网络安全规定,保持网络安全行为。因此,安全领导者应该利用承诺一致性原则的力量,比如让每一位员工接受并签署组织的网络安全相关政策文件,以此确保未来能够保持一致的安全行为倾向。此外,强调如果不采取行动会面临什么风险、以及如果不及时行动可能会失去什么,这些激励因素是非常有效的。
突出可能失去(或获得)的利益
机会的价值在于其稀缺性或时间窗口有限。当个人认为自己在与他人处于竞争关系,或认为机会具有排他性时,损失厌恶心理在这个过程会进一步加强。例如,瑞士健康保险公司Helsana应用了损失框架(Loss-Framing)策略,通过终止与连续三次未能通过季度网络钓鱼模拟测试的员工合同,Helsana在五个月内将员工的钓鱼演练中招率从15%降至3%。
这种极端的方法虽然有效,但可以用一种更温和、更宽容的方法来取代。我们建议实施网络安全大使计划。定期对达到一定网络安全积分的员工进行特别表彰,例如提供财务性或非物质性奖励。那些没有达到一定积分的人则将失去享受这些福利的机会。
引导员工作出郑重承诺
人们通常希望保持承诺与行动一致。一旦他们采取了某种立场或承诺采取某种行动,他们就倾向于履行承诺,并在内心感到有义务按照事先承诺行事。如果他们是主动、公开且自愿地做出承诺,他们会感到行为上更受责任和义务约束。我们建议在网络安全意识培训结束时添加一句话,比如“我不会点击任何可疑链接”或“我将持续保持警惕,不落入网络钓鱼攻击的陷阱”。并通过在员工的办公桌或其它办公场所贴上相关的贴纸等方式,定期提醒员工切实履行他们对组织做出的网络安全承诺。另一个做法是每年让员工签署一份行为准则,最好是在上级领导和同事面前签署,该准则应明确说明如何保护组织信息资产的一系列行为规范。
结语
遵守网络安全实践对于组织及其所有员工均有益处。组织文化有一个共同点:它们提倡共同的价值观、思维模式与行为准则,从而激发一种群体归属感。它们为组织及每一位员工提供了一个大家都能一致认同的意识形态方向。网络安全文化是任何健康的组织文化的一个重要方面。一个运作良好的网络安全文化将利用网络安全“我们意识(我要我们都安全,而不仅仅是一个人安全)”的溢出效应,确保新员工入职时和关键人员离职时践行安全文化的一致性。为实现这一目标,安全领导者可以合理运用系统化的社会影响方法,来培养符合安全规范的行为习惯,并构建一个惠及所有员工的组织网络安全文化。
注:本文编译自《哈佛商业评论》2025年6月份发表的专栏文章,本文由多位作者联合发表,例如:格雷戈里·P·M·内德特(Gregory P.M. Neidert)-美国亚利桑那州立大学教授,教授说服与社会影响相关课程长达三十余年、罗伯特·B·西奥迪尼(Robert B. Cialdini)-美国亚利桑那州立大学心理学与市场营销学名誉教授,并当选为美国国家科学院院士,他是全球畅销书《影响力》一书的作者。
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
