网络安全专家/CISSP/CDOP/诸子云百家智库安全专家/CSA云安全联盟专家/TTSP智库安全专家/网安加社区特聘安全专家。12年网络安全从业经验，曾就职于汽车制造、互联网、科技等类型企业，曾担任安全负责人、资深安全工程师、高级安全架构师等职位，在网络安全与隐私保护方面具有丰富的管理与实践经验。

“如果你看到的只有光明，那是因为有人为你遮挡住了黑暗”，网络安全从业者便是一群“负重前行、遮挡黑暗”之人。网络安全工作可谓是压力巨大，承受的压力不仅来源于严峻的外部攻击形势、严格的监管要求，还有很大一部分来源于企业内部，体现在被质疑、被抱怨，安全要求无法落地推广等各方面。

安全从业者日常需要频繁应对与他人协作中遇到的各种阻碍。业务部门的不理解，认为安全团队不是找开发人员修漏洞，就是找业务人员堵风险，还经常打着“监管要求”的口号“大搞整改风”。安全成了“找麻烦”、“阻碍业务”的代名词，安全工作难以落地，安全与业务协作举步维艰。

如何打开安全与业务协作中的锁？如何在一对一、一对多的场景中，让对方更好地配合安全团队的工作？大家不妨与我一起在《影响力密码：打开协作中的锁》（王明伟著/北京日报出版社）这本书中找找答案。

什么是影响力？影响力就是让别人接受我们的观点，让他们以我们希望的方式去思考，做出合乎我们意愿的选择，达成我们希望的结果。

我们的日常工作可以分为独立型和协作型两类。独立型工作就是不需要其他人配合自己就可以完成的工作，独立型工作做得好只能让我们在职场中生存下来，而协作型工作做得好才能让我们加速往高处发展。

协作型工作又可以分为两类：依靠职权完成的工作和无法依靠职权完成的工作。前者顾名思义，是指企业赋予我们一定的职权，可以利用这些职权强制要求别人配合我们的工作。我相信网络安全团队在企业内部或多或少都已经具备了一定的“执法权、话语权”，但是，我坚信行使安全话语权的前提是获得对方的尊重和认可，如果没有尊重和认可，日常所有的安全工作都要依靠职权来完成，结果一定会很惨，安全团队会遭受各种投诉。

所以，更多时候我们需要具备“在不借助职权的前提下，以间接或无形的方式产生效果”的能力，这就是本文所指的影响力。只有通过提升自己的影响力，才能出色地完成网络安全中的协作工作，才能更好地体现网络安全团队的价值所在。

在发挥个人影响力之前，我们需要先考虑三个问题，分别是：需要发挥影响力的场景是什么？针对该场景有哪些有效的影响力工具？如何将工具整合成系统性的运用思路？基于这三个问题，我总结出影响力的三大密码。

图：影响力的三大密码

场景决定了影响力方法，面对的场景不同，需要的影响力方法和思路也不同。根据需要影响人数的多少，可以把场景分为两大类：“一对一”和“一对多”。在影响他人之前，我们需要先搞清楚面对的场景是哪一种，然后再看用什么样的影响力方法。

本文后面两章节也将分别介绍在“一对一”“一对多”两种不同场景下如何发挥影响力。

我们需要准备各种各样的影响力工具，组成自己的影响力工具箱，根据面临的场景不同而灵活使用。面对简单的场景，单一影响力工具就能搞定；面对复杂场景，就要组合使用多种影响力工具。很多学科的理论方法都可以成为我们的影响力工具，比如：心理学（沉没成本偏见、锚定效应、从众心理）、脑科学、游戏理论，甚至是环境设计理论。

系统化是指针对不同场景，我们需要用系统化的思路把多种影响力工具有机地整合起来使用，巧妙地按照一定顺序，先用哪些工具，再用哪些工具，才能达到最好的效果。

在一对一的协作场景中，我们可以借助沟通型影响力，掌握轻松说服对方的能力。沟通型影响力模型主要包括四个步骤：平时积累、事前准备、沟通影响、事后巩固。

通过平时积累，让我们的影响力在无形中不断扩大，善于利用平时的机会积累以下三大影响力资源。

1、人际资源

在人际网络中，我们拥有的连接节点越多，影响力就越大。一方面要与更多的人建立联系，另一方面要与更有影响力的人建立联系。安全BP机制是与研发团队、业务部门建立良好人际网络的有效方式，认识或者关系不错，安全工作自然比较好推动。

2、能力资源

网络安全团队需具备“专业、自信、能战斗”的特质。对方在心里认可我们的专业能力，就不会对我们提出的风险、下达的安全要求有太多质疑；对方信任我们，自然会配合我们，出色的专业能力是我们获得对方信任的关键。

所有的职权类工作最容易遭受广大群众的质疑和挑战，安全工作自然不会例外。当你拿着风险去找责任人沟通的时候，是否曾被问到过以下问题，如“到底有什么风险”“漏洞有什么影响”“漏洞是否可以被真实利用”“漏洞利用可能性”“合规要求的依据是什么，哪个发文的哪一条”等，当你要求责任人整改时，对方是否会说“这个风险因为某某技术原因或因为某某业务原因无法整改”。专业性不足会让我们无法自信、铿锵有力地应对这些问题，所以持续打造网络安全团队的“专业性”至关重要。

专业性不仅包括技术方面，也包括综合能力方面。技术方面要求我们具备深厚的安全技能功底，他人如果质疑漏洞利用的可能性，那就利用给他看；他人如果说因为技术客观原因整改不了，那就自信地告诉他能改以及怎么改。开发、运维等IT相关的技术以及企业的业务运营场景，都需要安全人员具备专业能力。

在综合能力方面，要具备良好的综合素养、项目管理、为人处世能力以及较高工作标准的能力。“会议迟到、语言表达不清晰、安全要求不合理、任务安排不具体、自己做事拖拖沓沓”等，即使很小的负面印象都会拉低他人对整个团队专业性的判断。我们需要从各个方面，持续打造安全团队、安全人员的专业性，给他人留下专业、靠谱、能做事的印象。

3、好感资源

我们要注重在企业内、外部打造个人品牌，把事情做好，做出成果。出色的工作成果是建立我们个人品牌的基础，有扎实的工作成果作为背书，同事们才更容易信服我们。主动分享，有了扎实的工作成果之后，通过主动分享，让更多的同事了解和认识我们，也是打造个人品牌的关键一步。除此之外，还可以经常参加企业外部的安全会议、安全沙龙，利用诸子云提供的会议、诸子笔会等机会，以演讲、文章等方式分享个人观点，这些都是非常好的打造个人品牌的方式。

图：事前准备的STAR模型

1、Solution灵活的方案

在与他人沟通前一定要提前考虑对方可能提出的问题，事先要准备多套方案，在沟通的过程中根据对方的实际情况进行灵活选择。当首选、备选方案都不可行时，在坚守安全底线的前提下，既不要强迫对方接受我们的想法，也不要放弃努力，而是要和对方一起讨论共创第三选择。安全工作不就是在寻找那个大家都能接受的平衡点吗？

2、Target明确的目的

事前明确这次沟通的目的是什么，并提醒自己不要在沟通中偏离目的。当我们与别人争执时，所说的话、表达的观点往往已经是“对人不对事”的，目的可能变成了我一定要“吵赢你、打败你”，也可能会陷入一个争执的细节，忘记了这次沟通的目的到底是什么。

在工作中，与他人沟通的目的可以从对事和对人这两个角度来分析。对事要以解决问题为主要目的；对人要以和对方保持良好关系为主要目的，达成“两全其美”是最好的。在和对方沟通之前，我们需要给自己提个醒，不管在沟通中遇到什么状况，始终要坚持既解决问题又维护关系的积极目的，不能偏离。

3、Attitude共赢的心态

我们不能只为自己考虑，要做好心理准备在沟通中倾听对方的实际情况以及诉求，真诚共赢的心态更容易让对方接受。一方面在和对方沟通之前，提醒自己在沟通过程中要倾听了解对方的实际情况和诉求；另一方面让对方通过此次合作也能获益，把责任说清楚，让对方认识到这个风险就是他的责任，再把影响说清楚，让对方认识到不解决风险对他可能造成的后果，帮助他避免后果也是帮助他获益。

4、Reason充分的理由

充分的理由是让他们配合我们工作的基础，理由充分才能说明此次协作的重要性，如果我们没有充分的理由打动对方，本身就说明这项工作没有足够的价值和意义。在向对方阐述理由时，可以从于公、于私、于情、于理四个方面考虑。

图：四个方面的理由

  图：沟通影响的四个步骤

1、安全开场

在开启沟通的时候营造安全、共赢的沟通氛围。我们传递出来的信息有55%是通过面部表情表达的，38%是音调表达的，而只有7%是文字传达的。面对面沟通能够让对方更好地感受到我们的诚意，也能让我们通过观察更清楚地了解对方的真实意图。表达诚意，说明这个事情的事由，提出自己希望的方案，然后需要询问对方有什么想法。

2、专注倾听

在沟通的过程中，我们需要注意倾听对方对于此次协作的看法，尤其是无法协作的原因。过程中，注意控制自身情绪，提醒自己先别太快下结论，听听对方怎么说，提醒自己这次沟通的真正目的是什么。专注倾听对方的真实原因，判断对方不愿意协作的原因是意愿类（想不想）还是能力类（能不能）。

3、全面影响

根据对方不同的原因，需要运用不同的影响力方法进行沟通，才有可能获得对方同意协作的承诺。

“意愿类原因”往往让我们束手无策，毕竟对方不愿意，我们又能有什么办法呢？心理学家发现：人们在选择做哪些事情，不做哪些事情时，会思考自己的选择在未来会带来什么样的结果。如果想让人们愿意去做某件事，就要让他们知道这样做相比其他选择会带来更好的结果，这种方法称为“帮助对方看清楚他的选择对相关方的影响”。

“相关方”和“影响”是这个方法中的两个关键词。相关方是指因他的选择而受影响的对象，一般包括三类：对方自身，其他和此事有关的人（他的同事、上司、家人等），有关的组织（所属团队、部门以及公司）。大多数人在做选择时，视野会比较狭窄，最容易想到的就是对自己的影响，这样考虑并不周全，做出的选择不一定是最佳选择。所以，我们要帮助对方看到他所做的选择对主要相关方（他自身、其他人以及组织）的影响，才更容易用全面的结果来影响他。

针对“能力类原因”的影响方法，可以从“降低对方的协作难度”着手，具体有两种思路：一是减轻负担，减少需要对方协作的事情，不让对方把所有事情都做了，而是只做关键的部分；二是提供支持，提供一些支持来弥补他在能力或资源上的不足。

当然，对于那些长期拒不配合安全工作，持续与安全对着干的负面典型，安全团队也应瞄准时机，敢于亮剑，善于运用安全红线、安全规范、安全奖惩给予强力回击，罚到痛点。对处罚案例进行大力宣传，确保对所有人起到警示作用。

针对对方提出的各种原因，我们已经一一化解，对方没有其他理由拒绝我们了，这时是获得初步承诺的最佳时机，一定要趁热打铁先获得对方愿意协作的初步承诺。“承诺与一致原理”指出，人人都有言行一致的倾向，一旦人们做出某种承诺，就会因为内心和外部的压力，促使他们按照承诺去做；或者说人们对自己做出的承诺有认同感，也会保持行为的一致性。

4、共识收尾

首先，确定方案，这个环节非常关键，如果找不到让双方都能接受的具体协作方案，这次沟通还是会以失败告终。

其次，明确分工，找出让双方都能接受的协作方案之后，接下来就是执行。在执行过程中，一定要避免出现分工不清的情况，这会导致大家责任不明确，协作效率下降，甚至相互推诿，破坏双方的合作关系。所以需要进行明确的分工，保证大家都能清晰地去执行。

最后，表示感谢。明确了分工和跟进方式之后，对方就要开始去推进协作了，对方会花很多时间在和你协作的这件事情上，所以请真诚地感谢他的配合。

1、兑现承诺

和对方沟通之后，双方都要按照分工开始推进协作，作为协作的发起方，我们一定要兑现承诺，先做到答应对方的事情。这么做有几个好处，比如提高效率，不耽误时间。我们先兑现承诺也是对协作进行实质性的推进，让对方更加重视。如果我们自己都行动迟缓，对方很有可能会想：“你自己的事情都拖拖拉拉，凭什么我们要重视？”兑现承诺的行动本身就是一种影响力。

2、跟踪进展

在“共识收尾”部分，我们讲到了在双方沟通的最后阶段要明确分工，并且定下来后期跟进的方式（例行跟进、里程碑跟进和突发事件跟进），这样可以及时解决大家的问题，也能增强大家的责任心，及时推动协作的成果。

3、巩固积累

把每一次的沟通和协作都变成我们积累的影响力资源，才是高效的明智之举。在平时积累中我们讲到影响力资源分为三类：人际资源、能力资源和好感资源。通过这次协作，建立起双方良好的人际关系，就是在积累人际资源；通过对这次协作进行复盘总结，进一步提升专业能力，就是在积累能力资源；通过这次协作，帮助我们扩大个人品牌，就是在积累好感资源。

日常的安全工作中，经常需要推动多人配合我们的工作，这时需要通过策略型影响力施加影响，具体包括以下四个步骤。

图：策略型影响力模型

在影响很多人或很多部门一起来完成一件事时，制定一个有价值、有意义的目标是必需的，因为大家会因为认同其中的价值和意义而积极行动起来！我们在制定目标时要符合四条原则。

原则1：要聚焦，设定一个共同目标；

原则2：要具体，有明确的量化要求；

原则3：有期限，明确完成的截止时间；

原则4：有意义，能激发大家积极参与进来。

在影响和推动很多人或部门的过程中，我们需要做的工作一定千头万绪，切忌胡子眉毛一把抓，一定要抓住关键点——关键环节、关键人和关键行动的方法，这样就能更有效率地扩大自己的影响力。

1、关键环节

  什么样的环节可以算是关键环节——能够帮助我们扩大影响力范围的环节。比如有很多重要的被影响者参与的会议往往就是关键环节，借助这个关键环节可以帮助我们高效率地扩大影响范围。善于利用或组织企业领导们参加的会议，在此类会议上可以提出安全的要求或启动即将开展的重要安全项目，企业领导在会上通常都会明确表态支持，通过在关键环节获得领导的支持，便是以后的“尚方宝剑”。

2、关键人

借助关键人的力量才能真正把影响力扩大，我们尤其要重点识别出以下四类关键人。

决策拍板者。我们在公司内部需要影响很多人去推动某件事情时，“事出有因、名正言顺”是非常重要的，如果这件事情不是对方职责范围内必须要做的，推动起来确实会有难度。决策拍板者就是帮助我们获得“名正言顺”授权的关键人，他们往往是公司的中高层。如果决策拍板者支持我们，并且通过正式的信息渠道来公布支持我们的消息，我们下一步再去影响各个部门就会更加顺畅。

正面示范者。虽然我们得到了决策拍板者的支持，但是如果我们要推动的是一件大家之前没做过的事情，大家还是会心存疑惑：“这件事靠谱吗？能做成吗？”这时最好的方式并不是拍着胸脯告诉大家这件事肯定能搞定，让大家放心大胆地去做，而是先树立一个正面示范者，通过他的亲身实践证明这件事能做成，才能真正打消大家的顾虑。

比如SDL或者DevSecOps此类研发安全体系的建设工作，需要所有的研发团队和研发人员全面参与，人人都要承担安全职责，人人都要为安全结果负责。项目前期肯定会面临很大的质疑，不妨选择个别试点研发团队，重点投入资源确保体系在试点的研发团队成功落地，打造正面典型，向其他所有人证明这件事能做成，以及做成后的价值。

反抗领导者。我们要推动大家完成某件事情，尤其是安全工作需要让大家改变现状时，一定会出现不愿意配合的人，而且可能还不在少数。更有意思的是，在这些反对者中，经过一段时间后，就会涌现出一些领袖型人物，我们把这类人称为“反抗领导者”。“擒贼先擒王”，找到这个人非常关键。如果我们能先影响反抗领导者，扭转他的态度，他就能帮助我们影响其他反对者。

广泛搭桥者。当需要推动多个部门协作时，我们不太可能和所有相关部门都熟悉。这时，如果能找到一个对各个部门都了解的人来帮助我们搭桥，快速和这些部门建立良好的人际关系，推动起来会更加容易。

3、关键行动

关键行动是指被影响者需要做的那些，能够帮助我们达成结果的少数且重要的行动。第一步，找出具有代表性的标杆。这是非常重要的前提条件，在筛选标杆的过程中，我们需要剔除那些不具有代表性的“假标杆”。第二步，研究标杆，找出关键行动。找出标杆是通过哪些关键行动实现优秀表现的，我们需要贴近这些标杆，近距离观察并仔细研究，才能发现关键行动。第三步，把关键行动复制给我们希望影响的更多人。通过简单明了的方式帮助更多人掌握这些关键行动，就能达成我们想要的结果。

如果我们想影响大家去做更复杂的事情，遇到的阻力肯定不会少。这时就需要建立一个通用的阻力分析框架，即便需要推动大家去做不同的事情，也能高效而全面地分析出阻力有哪些。

首先，从意愿和能力两个维度入手。在我们试图影响他人而受阻时，有些人是主观上不愿意帮助我们，这方面的阻力可称为意愿类阻力；有些人则是因为能力不够无法帮助我们，这方面的阻力可称为能力类阻力；当然也有些人是既不愿意也没能力帮我们。

其次，深入分析他人的意愿和能力会受到哪些因素的影响。美国知名的行为心理学家托马斯·吉尔伯特毕生都在研究人们在工作中的表现主要受哪些因素的影响，他提出了著名的“行为工程模型”，指出人们的工作表现主要受两个方面的影响：人们自身及他们所处的环境。基于吉尔伯特的研究，我将其细分出四种影响因素。

自身因素：每个人的行为会受自身的某些原因影响；

人际因素：在工作环境中人们会和他人不断互动，会受到同事等相关人的影响；

组织因素：受雇于公司，人们会受到公司制定的制度、流程和企业文化等因素的影响；

物理因素：人们会受到工作所处的物理空间（温度、湿度、声音、光线、距离等）的影响。

人们的意愿和能力会受到这四类因素的影响，因此，我们把阻力分为以下八个方面。

图：八个方面的阻力

安全工作的常见阻力包括：

阻力1：自身意愿方面的阻力，指的是当事人自己不愿意去做。如果对方认为协助我们的事情没有意义和价值，不符合他的价值观、信仰或原则，或者对他提出了新的要求，增加了额外负担，就会产生这方面的阻力。

阻力2：自身能力方面的阻力，指当事人自己不具备这方面的实力。安全工作需要具备一定的专业能力，如果超出了他的能力范围，对方即使想做也做不到。

阻力3：人际因素对当事人意愿造成的阻力。周围的人不鼓励，甚至反对对方去做我们希望他做的事情，因此导致对方的意愿或积极性下降。

阻力4：人际因素对当事人能力造成的阻力。需要他在别人的帮助下才能完成，但是别人并没有及时提供能力上的协助。

阻力5：组织因素对当事人意愿造成的阻力。这方面的阻力是和公司的奖惩制度相关的。当推动大家做某一件事时，我们没有建立激励制度，或者现有的激励制度和我们希望的方向不一致，都会导致当事人的意愿或积极性下降。

阻力6：组织因素对当事人能力造成的阻力。这方面的阻力和公司的流程、资源以及工具相关，比如我们希望对方做的事情有一定难度，需要公司提供清晰的流程、一定的资源或好用的工具等才能做到，但是目前公司没有这方面的流程、资源或工具，或者流程复杂、资源不足以及工具难用，结果当事人在组织层面得不到能力上的支持，这就客观上形成了阻力。“工欲善其事，必先利其器”说的就是这一点。

面对协作过程中的八大阻力，没有一招克敌的制胜秘诀，想要达到好的影响效果，我们必须多管齐下，组合使用多种影响力策略。常见的施加影响的方法包括：帮助对方看清楚他的选择对相关方的影响。安全工作最重要的就是先理清责任，让对方清晰地认识到自己在这个事情中需要承担的责任，出了安全事件应该要承担的后果，这是推动安全工作最有效的方法。

安全是“管理与技术”“科学与艺术”的综合体现，管理和艺术指的是安全工作中的“对抗”“平衡”“择机而入”……安全不仅要能管住风险，也一定要能支撑业务目标的达成；不仅要抢占话语权，也一定要能在不用“职权”的前提下，让他人或众人配合我们工作，这就是本文主题“影响力”的作用。

作者：王明伟著

出版：北京日报出版社