（本文关键词：企业 安全文化 八大要素）

在数字化时代，安全文化正成为任何一家企业的必要元素。但是，建立一种文化又谈何容易？很多企业的负责人正在为安全文化的不完善和难以推进而殚精竭虑。这时如果考虑以下八个方面，也许会对您在建立企业安全文化方便有所帮助。

图片来源于韩国安全新闻网站

网络安全是每个人的责任，也是每个人的工作。但是，这个简单的道理很少在那些整日埋头忙于做他们主要业务工作的人的心目中找到一席之地。事实上，对于那些每天忙于赶在截止日期前完成工作、加班到很晚、连朋友都无暇顾及的“大忙人”来说，连安全都照顾不到也是理所当然的事情。这方面的冲突将会持续发生，直到安全最终成为一种文化。

但即便如此，我们也不能放弃建立安全文化。这是因为我们对数字技术的依赖程度与日俱增。值得庆幸的是，一种文化的建立不是一蹴而就的事情。因此，你可以尝试很多不同的方法。在众多的选择中，有8件事应该是永远存在的。

一、解释为什么安全如此重要

每个人都对指示和命令感到反感。坦白地说，此前确实有很多与安全相关的内容都是以指示和命令的形式下达的。当然，在安全的背景下，应该受到保护的东西必须得到遵守，并且必须传达。在这种情况下，要想将排斥感降到最低，就必须要解释清楚为什么要遵守。当人们知道原因时，他们的记忆力会更好，并且更有动力。因此，人们做出更好决定的概率也会随之增加。

安全公司Defendify的联合创始人罗伯·西莫普洛斯（Rob Simopoulos）强调：“必须经常强调‘为什么’。如果出现不配合安全部门工作的情况，最好解释一下实际发生了什么，以及这时组织层面可能会发生什么事情。”

二、为每天的工作提供安全的方法

正如开头提到的，人们忽视安全规则的最大原因就是他们埋头忙于工作。安全公司NCC Group的高级顾问蒂姆·罗林斯（Tim Rawlins）解释说：“我们需要为普通用户提供一种既安全又可以顺利完成他们工作的方法。如果我告诉你因为要保证安全，所以会给你的工作造成不便，谁会听呢。在用户传输文件时，使用搜索引擎时，或者打开一个附件时，你应该告诉他们安全操作的方法。”

“我们绝不能忘记，我们正在与已经被自己的工作忙得焦头烂额的人打交道。 物理上没有记忆的空间，也没有心理上的余力。在这种饱和的状态下，灌输与安全相关的信息，无论对说话者来说还是对倾听者来说都是一种挑战。你应该经常让他们喘口气，这样他们才能接受安全。”

三、尽可能地消除IT和安全之间的冲突

没有任何一家企业或组织可以在不断的冲突和摩擦中保持健康发展。然而，完全消除冲突和摩擦是不可能的。任何企业或组织都是在摩擦和冲突的状态下经营业务，并加强安全。也就是说，最终能够将冲突和摩擦最小化是最佳对策。

对此，美国云安全公司Zscaler副总裁卡维塔·玛丽亚潘（Kavitha Mariappan）表示：“出乎意料的是，有观点认为安全和IT之间的摩擦是一种‘健康关系’。这两者的合作产品变得健康、完整时，不是两者发生冲突的时候，而是它们和谐相处的时候。当两者分开时创造的产品就是我们所说的‘遗留’产品，是安全性能较差的遗留产品。当IT和安全实现和谐共存时，安全文化就开始慢慢建立。摩擦永远不会是健康的。”

四、不要威胁，要鼓励

虽然难免会有不得已的情况，但将安全与“违反时处罚”捆绑在一起强制执行的做法往往会带来消极后果。虽然确实需要一些强制力，但如果过度使用，员工们就会变得善于隐瞒违反安全的事项。从组织的角度来看，这样做可能会延迟对潜在的安全相关事故苗头的发现识别，并可能因此导致事故造成的损害不必要地扩大。

对此，安全公司AwareGO的联合创始人拉格纳·西格罗森（Ragnar Sigurosson）解释说：“我们绝不能将安全视为一个新概念或新常态，而应该将其视为与我们息息相关的事物。发生侵害事故时，整个企业或组织的每个人都需要了解可能造成的损害。关键是要传达这样一个信息——即我们必须齐心协力避免这种损害。”

五、个性化的安全培训和教育

虽然像在学校上课那样进行安全教育和训练并非没有意义和效果，但如果坚持这种教育和训练方式，效果可能不会特别理想。这对我们已经在学校呆了很长时间的人来说是最好的证明。坐在课堂上听解释是否会极大地改变我们的行为和思维方式呢？虽然这种概率不会是0，但确实不会很高。因此，我们必须根据企业和学员的特点，灵活地制定教育计划。

对此，安全公司埃森哲的Neha Joshi解释说：“学校教学式的培训模式的缺点是难以实现‘个人化’。课堂上所教授的内容虽然说得很对，也很有帮助，但大部分人都会觉得与我无关。因此，无论是多么微不足道的事情，都应该让学生们觉得‘从现在开始值得付诸实践’。分析人员和组织成员的行为特征和倾向至关重要。如果你进行了一次授课，你需要分析学生们的行为在你授课前后是如何变化的。也就是说，在授课前后都有工作要做。”

六、应将网络安全“游戏化”

人们为什么喜欢玩游戏？这是因为游戏会让人快速感受到成就感，小规模的竞争不断发生。如果你能将这个原理应用到安全教育中，你就能取得丰硕的成果。安全公司Balbix的 CEO高拉夫·班加（Gaurav Banga）表示：“如果引入一个简单的程序，赋予小任务，记录成果并给予相应的奖励，建立安全文化的速度就会出乎意料地加快。无论是选拔本月的安全优秀员工还是本季度的最佳员工，其效果都是不容小觑的。”

但是，他同时强调，最好把奖品选得像模像样一点。“要在不给公司财政带来负担的前提下选择奖品。但如果奖品是一袋饼干或一张价值5000韩元（约合人民币26.8元）的商品券就等于没有奖品，这样做没有引起员工的反感就算庆幸了。如果给一年来表现最出色的‘安全优秀员工’颁发一张夏威夷旅行券作为奖品，相信大部分人都会遵守安全规则吧。”

七、管理层是骨干

无论在营造安全文化上付出多少努力，如果高管凌驾于规则之上，结果都将是竹篮打水一场空。要想在企业中建立某种“文化”，必须从管理人员开始抓起，安全文化也不例外。全球第3大应用软件供应商Sungard公司的主管米奇·卡瓦斯基（Mitch Kavalsky）解释说：“要想获得ISO 27001这样的证书，就必须要有管理层的参与。当高管参与时，就意味着每个人都会参与其中。”

安全公司IronNet的首席信息安全官乔治•拉蒙特（George Lamont）也表示：“经理或管理层应该先沉浸于安全文化中，相反，如果从普通职员开始强制要求安全文化，其效果并不好，而且需要很长时间。如果你想将安全文化融入到企业文化中，管理人员就必须身先士卒做出表率。并且有必要公开展示管理层正在发生的这些变化。”

八、让安全故事像闲谈一样传播开来

仅仅通过培训来改变工作方式是远远不够的。至少安全就是这样。只有真正的从内心发生了变化，“人人参与的安全”才具有真正的意义。安全公司CSI的首席信息安全官史蒂夫·桑德斯（Steve Sanders）表示：“人们对因不遵守网络安全规则而发生事故的消息并不敏感。这些消息不应该仅仅出现在进行安全教育的时候，在日常闲聊中也应该传播开来。”

史蒂夫接着说：“安全相关话题必须传播开来。对于普通员工来说，安全始终是一个偏离主业或者与我关系不大的话题，因为它是一个仅在培训课程中出现的主题。本来就在接受一个离我很远的主题的教育，如果只是听到其他公司发生事故的消息，那就只能是‘一只耳朵进，一只耳朵出’。相反，如果日常引导安全故事持续传播下去，并与训练时间综合起来，让这些事情变成小实践会更有效果。如果您所在的组织不断传出安全故事，您将不得不更加认真地对待安全实践。”

（资料来源：韩国安全新闻网站等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）