在數(shù)字化時(shí)代，安全文化正成為任何一家企業(yè)的必要元素。但是，建立一種文化又談何容易？很多企業(yè)的負(fù)責(zé)人正在為安全文化的不完善和難以推進(jìn)而殫精竭慮。這時(shí)如果考慮以下八個(gè)方面，也許會(huì)對(duì)您在建立企業(yè)安全文化方面有所幫助。

　　網(wǎng)絡(luò)安全是每個(gè)人的責(zé)任，也是每個(gè)人的工作。但是，這個(gè)簡(jiǎn)單的道理很少在那些整日埋頭忙于做他們主要業(yè)務(wù)工作的人的心目中找到一席之地。事實(shí)上，對(duì)于那些每天忙于趕在截止日期前完成工作、加班到很晚、連朋友都無(wú)暇顧及的“大忙人”來(lái)說(shuō)，連安全都照顧不到也是理所當(dāng)然的事情。這方面的沖突將會(huì)持續(xù)發(fā)生，直到安全最終成為一種文化。

　　但即便如此，我們也不能放棄建立安全文化。這是因?yàn)槲覀儗?duì)數(shù)字技術(shù)的依賴程度與日俱增。值得慶幸的是，一種文化的建立不是一蹴而就的事情。因此，你可以嘗試很多不同的方法。在眾多的選擇中，有8件事應(yīng)該是永遠(yuǎn)存在的。

　　解釋為什么安全如此重要

　　每個(gè)人都對(duì)指示和命令感到反感。坦白地說(shuō)，此前確實(shí)有很多與安全相關(guān)的內(nèi)容都是以指示和命令的形式下達(dá)的。當(dāng)然，在安全的背景下，應(yīng)該受到保護(hù)的東西必須得到遵守，并且必須傳達(dá)。在這種情況下，要想將排斥感降到最低，就必須要解釋清楚為什么要遵守。當(dāng)人們知道原因時(shí)，他們的記憶力會(huì)更好，并且更有動(dòng)力。因此，人們做出更好決定的概率也會(huì)隨之增加。

　　對(duì)此，安全公司Defendify的聯(lián)合創(chuàng)始人羅伯·西莫普洛斯（Rob Simopoulos）強(qiáng)調(diào)：“必須經(jīng)常強(qiáng)調(diào)‘為什么’。如果出現(xiàn)不配合安全部門(mén)工作的情況，最好解釋一下實(shí)際發(fā)生了什么，以及這時(shí)組織層面可能會(huì)發(fā)生什么事情?！?/p>

　　為每天的工作提供安全的方法

　　正如開(kāi)頭提到的，人們忽視安全規(guī)則的最大原因就是他們埋頭忙于工作。安全公司NCC Group的高級(jí)顧問(wèn)蒂姆·羅林斯（Tim Rawlins）解釋說(shuō)：“我們需要為普通用戶提供一種既安全又可以順利完成他們工作的方法。如果我告訴你因?yàn)橐ＷC安全，所以會(huì)給你的工作造成不便，誰(shuí)會(huì)聽(tīng)呢。在用戶傳輸文件時(shí)，使用搜索引擎時(shí)，或者打開(kāi)一個(gè)附件時(shí)，你應(yīng)該告訴他們安全操作的方法?！?/p>

　　“我們絕不能忘記，我們正在與已經(jīng)被自己的工作忙得焦頭爛額的人打交道。物理上沒(méi)有記憶的空間，也沒(méi)有心理上的余力。在這種飽和的狀態(tài)下，灌輸與安全相關(guān)的信息，無(wú)論對(duì)說(shuō)話者來(lái)說(shuō)還是對(duì)傾聽(tīng)者來(lái)說(shuō)都是一種挑戰(zhàn)。你應(yīng)該經(jīng)常讓他們喘口氣，這樣他們才能接受安全?！?/p>

　　盡可能地消除IT和安全之間的沖突

　　沒(méi)有任何一家企業(yè)或組織可以在不斷的沖突和摩擦中保持健康發(fā)展。然而，完全消除沖突和摩擦是不可能的。任何企業(yè)或組織都是在摩擦和沖突的狀態(tài)下經(jīng)營(yíng)業(yè)務(wù)，并加強(qiáng)安全。也就是說(shuō)，最終能夠?qū)_突和摩擦最小化是最佳對(duì)策。

　　對(duì)此，美國(guó)云安全公司Zscaler副總裁卡維塔·瑪麗亞潘（Kavitha Mariappan）表示：“出乎意料的是，有觀點(diǎn)認(rèn)為安全和IT之間的摩擦是一種‘健康關(guān)系’。這兩者的合作產(chǎn)品變得健康、完整時(shí)，不是兩者發(fā)生沖突的時(shí)候，而是它們和諧相處的時(shí)候。當(dāng)兩者分開(kāi)時(shí)創(chuàng)造的產(chǎn)品就是我們所說(shuō)的‘遺留’產(chǎn)品，是安全性能較差的遺留產(chǎn)品。當(dāng)IT和安全實(shí)現(xiàn)和諧共存時(shí)，安全文化就開(kāi)始慢慢建立。摩擦永遠(yuǎn)不會(huì)是健康的?！?/p>

　　不要威脅，要鼓勵(lì)

　　雖然難免會(huì)有不得已的情況，但將安全與“違反時(shí)處罰”捆綁在一起強(qiáng)制執(zhí)行的做法往往會(huì)帶來(lái)消極后果。雖然確實(shí)需要一些強(qiáng)制力，但如果過(guò)度使用，員工們就會(huì)變得善于隱瞞違反安全的事項(xiàng)。從組織的角度來(lái)看，這樣做可能會(huì)延遲對(duì)潛在的安全相關(guān)事故苗頭的發(fā)現(xiàn)識(shí)別，并可能因此導(dǎo)致事故造成的損害不必要地?cái)U(kuò)大。

　　對(duì)此，安全公司AwareGO的聯(lián)合創(chuàng)始人拉格納·西格羅森（Ragnar Sigurosson）解釋說(shuō)：“我們絕不能將安全視為一個(gè)新概念或新常態(tài)，而應(yīng)該將其視為與我們息息相關(guān)的事物。發(fā)生侵害事故時(shí)，整個(gè)企業(yè)或組織的每個(gè)人都需要了解可能造成的損害。關(guān)鍵是要傳達(dá)這樣一個(gè)信息——即我們必須齊心協(xié)力避免這種損害。”

　　個(gè)性化的安全培訓(xùn)和教育

　　雖然像在學(xué)校上課那樣進(jìn)行安全教育和訓(xùn)練并非沒(méi)有意義和效果，但如果堅(jiān)持這種教育和訓(xùn)練方式，效果可能不會(huì)特別理想。這對(duì)我們已經(jīng)在學(xué)校呆了很長(zhǎng)時(shí)間的人來(lái)說(shuō)是最好的證明。坐在課堂上聽(tīng)解釋是否會(huì)極大地改變我們的行為和思維方式呢？雖然這種概率不會(huì)是0，但確實(shí)不會(huì)很高。因此，我們必須根據(jù)企業(yè)和學(xué)員的特點(diǎn)，靈活地制定教育計(jì)劃。

　　對(duì)此，安全公司埃森哲的Neha Joshi解釋說(shuō)：“學(xué)校教學(xué)式的培訓(xùn)模式的缺點(diǎn)是難以實(shí)現(xiàn)‘個(gè)人化’。課堂上所教授的內(nèi)容雖然說(shuō)得很對(duì)，也很有幫助，但大部分人都會(huì)覺(jué)得與我無(wú)關(guān)。因此，無(wú)論是多么微不足道的事情，都應(yīng)該讓學(xué)生們覺(jué)得‘從現(xiàn)在開(kāi)始值得付諸實(shí)踐’。分析人員和組織成員的行為特征和傾向至關(guān)重要。如果你進(jìn)行了一次授課，你需要分析學(xué)生們的行為在你授課前后是如何變化的。也就是說(shuō)，在授課前后都有工作要做?！?/p>

　　應(yīng)將網(wǎng)絡(luò)安全“游戲化”

　　人們?yōu)槭裁聪矚g玩游戲？這是因?yàn)橛螒驎?huì)讓人快速感受到成就感，小規(guī)模的競(jìng)爭(zhēng)不斷發(fā)生。如果你能將這個(gè)原理應(yīng)用到安全教育中，你就能取得豐碩的成果。安全公司Balbix的 CEO高拉夫·班加（Gaurav Banga）表示：“如果引入一個(gè)簡(jiǎn)單的程序，賦予小任務(wù)，記錄成果并給予相應(yīng)的獎(jiǎng)勵(lì)，建立安全文化的速度就會(huì)出乎意料地加快。無(wú)論是選拔本月的安全優(yōu)秀員工還是本季度的最佳員工，其效果都是不容小覷的?！?/p>

　　但是，他同時(shí)強(qiáng)調(diào)，最好把獎(jiǎng)品選得像模像樣一點(diǎn)。“要在不給公司財(cái)政帶來(lái)負(fù)擔(dān)的前提下選擇獎(jiǎng)品。但如果獎(jiǎng)品是一袋餅干或一張價(jià)值5000韓元（約合人民幣26.8元）的商品券就等于沒(méi)有獎(jiǎng)品，這樣做沒(méi)有引起員工的反感就算慶幸了。如果給一年來(lái)表現(xiàn)最出色的‘安全優(yōu)秀員工’頒發(fā)一張夏威夷旅行券作為獎(jiǎng)品，相信大部分人都會(huì)遵守安全規(guī)則吧?！?/p>

　　管理層是骨干

　　無(wú)論在營(yíng)造安全文化上付出多少努力，如果高管凌駕于規(guī)則之上，結(jié)果都將是竹籃打水一場(chǎng)空。要想在企業(yè)中建立某種“文化”，必須從管理人員開(kāi)始抓起，安全文化也不例外。全球第3大應(yīng)用軟件供應(yīng)商Sungard公司的主管米奇·卡瓦斯基（Mitch Kavalsky）解釋說(shuō)：“要想獲得ISO 27001這樣的證書(shū)，就必須要有管理層的參與。當(dāng)高管參與時(shí)，就意味著每個(gè)人都會(huì)參與其中?！?/p>

　　安全公司IronNet的首席信息安全官喬治？拉蒙特（George Lamont）也表示：“經(jīng)理或管理層應(yīng)該先沉浸于安全文化中，相反，如果從普通職員開(kāi)始強(qiáng)制要求安全文化，其效果并不好，而且需要很長(zhǎng)時(shí)間。如果你想將安全文化融入到企業(yè)文化中，管理人員就必須身先士卒做出表率。并且有必要公開(kāi)展示管理層正在發(fā)生的這些變化。”

　　讓安全故事像閑談一樣傳播開(kāi)來(lái)

　　僅僅通過(guò)培訓(xùn)來(lái)改變工作方式是遠(yuǎn)遠(yuǎn)不夠的。至少安全就是這樣。只有真正的從內(nèi)心發(fā)生了變化，“人人參與的安全”才具有真正的意義。安全公司CSI的首席信息安全官史蒂夫·桑德斯（Steve Sanders）表示：“人們對(duì)因不遵守網(wǎng)絡(luò)安全規(guī)則而發(fā)生事故的消息并不敏感。這些消息不應(yīng)該僅僅出現(xiàn)在進(jìn)行安全教育的時(shí)候，在日常閑聊中也應(yīng)該傳播開(kāi)來(lái)?！?/p>

　　史蒂夫強(qiáng)調(diào)說(shuō)：“安全相關(guān)話題必須傳播開(kāi)來(lái)。對(duì)于普通員工來(lái)說(shuō)，安全始終是一個(gè)偏離主業(yè)或者與我關(guān)系不大的話題，因?yàn)樗且粋€(gè)僅在培訓(xùn)課程中出現(xiàn)的主題。本來(lái)就在接受一個(gè)離我很遠(yuǎn)的主題的教育，如果只是聽(tīng)到其他公司發(fā)生事故的消息，那就只能是‘一只耳朵進(jìn)，一只耳朵出’。相反，如果日常引導(dǎo)安全故事持續(xù)傳播下去，并與訓(xùn)練時(shí)間綜合起來(lái)，讓這些故事變成小實(shí)踐會(huì)更有效果。如果您所在的組織不斷傳出安全故事，您將不得不更加認(rèn)真地對(duì)待安全實(shí)踐。”