如何修正功能失调的安全文化

文化是组织所做的一切以及其完成任务的方式的基础。虽然文化通常是指整个组织，但组织内部也存在与商业实践（如安全）相关的文化（或亚文化）。在公司，将安全文化定义为影响其安全的群体的思想、习俗和社会行为。

安全文化的标志

文化会随着时间而改变。积极的安全文化将从基本的合规性发展成为可持续的、高度整合的文化，推动安全行为并防止违规行为。但文化也可能变得有害或功能失调，与组织所期望的价值观和目标背道而驰。

从安全角度来看，功能失调的文化可能表现出以下迹象：

• 未能遵守组织与数据管理相关的政策和程序；

• 未能妥善保护敏感的客户、员工或公司数据；

• 缺乏员工安全意识培训；

• 未能充分防止违规行为——或在发生违规行为时未能适当报告。

还可以观察到更广泛的迹象和信号：例如高流动率、员工不满、生产率低或缺乏参与度。

功能失调的安全文化缺乏必要的重点、计划、指标、整合和可持续性，无法对员工的安全观念产生积极影响。其结果不仅会损害组织的系统和数据，还会损害组织的声誉和品牌。

对于公司来说，重要的是要时刻保持警惕，时刻警惕不良企业文化的迹象；始终采取积极主动的措施来避免冷漠，并朝着让员工感受到支持和重视的参与方向发展。

修正失调的文化

组织可以采取措施来修复功能失调的公司文化和功能失调的安全文化。

• 首先关注“大问题”。整体文化信号（如人员流动和不满）通常会提供对公司其他领域或方面（如安全）的潜在影响的早期预警信号。重要的是，在这些信号变得更具侵略性之前，持续监控和应对这些信号。

• 识别并记录这些迹象。贵公司安全文化的哪些方面最让您担忧？员工态度？缺乏对政策和流程的遵守？违规？使用评估、调查和诊断工具来帮助识别和量化问题。这将为您提供衡量您前进过程中进展的基准。

• 评估领导团队的影响。领导团队为组织内每个人的行动和行为奠定了基础。如果他们无视安全政策、不参与或支持培训工作，或者对违反安全规则的员工视而不见，那么不良的文化就会扎根（或已经开始发挥作用）。

• 不要试图煮沸大海。选择一两种你想要改变的行为，因为这些行为会产生影响，然后集中精力去纠正它们。

• 明确愿景。强大的文化是什么样的？有哪些迹象表明存在可持续的、积极的安全文化？然后将该愿景放在员工的最前线，以便他们确切地知道成功应该是什么样的。

• 设计一个广泛影响行为的计划。使用项目管理原则并获得可以充当倡导者的个人的支持。

• 调动员工积极性。虽然强大的安全文化是自上而下形成的，但维持这种文化需要整个组织的共同努力。征求员工的意见，让他们参与确定必要的保护措施，收集实施想法，并获得有关培训计划有效性的反馈。分享反馈和进展；提供持续的信息和教育，帮助支持您的安全文化愿景。

• 认可和奖励。也许是奖励那些主动报告可疑网络钓鱼和其他安全事件的人。也许是成功完成安全培训模块的员工人数。也许是电子邮件网络钓鱼模拟的结果有所改善。也许是员工对安全文化支持评估分数有所提高。当实现收益时，与员工分享结果并庆祝。

修复功能失调的安全文化是一个渐进的过程，并非一朝一夕就能实现，但肯定是可以实现的。这是一个非线性的过程，一路上会有收获，也会有挫折。但有意识的专注会随着时间的推移而带来回报——可以做出改进并衡量改进，对重要系统和数据的保护产生积极影响。通过持续的努力，可以实现积极的安全文化，最终摆脱功能失调，实现积极的员工参与、建立关系和降低风险。

往期回顾