正向强化的力量：重塑组织网络安全文化

负面惩罚和责备有用吗？

想象一下这种情况，某公司一名员工无意中或试探性地点击了钓鱼邮件中的恶意链接。由于担心可能遭受处罚，该员工刻意删除了邮件，试图当作什么事儿也没有发生，且闭口不言没有告诉任何人。两周后，该公司发现黑客侵入了内部信息系统并导致了敏感信息泄露。这时候，公司再想要减轻损失就显得有些迟了。现在，再想象另一幅画面，某员工犯了同样的人为错误，但在潜移默化的组织安全文化的影响下，第一时间选择向安全团队报告，而不必担心被追责。安全团队迅速开展调查处置，采取相应补救措施，避免了事件进一步恶化。毫无疑问，很多安全团队都宁愿处于第二种情况，但还有很多安全团队仍然习惯性地倾向于选择基于“恐惧驱动”的惩罚性措施。

惩罚性措施似乎是纠正员工不安全行为的一种流行策略，因为一方面很容易实施，另一方面结果显得立竿见影，人们预期会对威胁和恐惧做出回避反应。然而，与我们的直觉相反，很多行为科学研究表明：惩罚性措施往往没有充分考虑到影响个人行为的复杂因素。想要让员工做出明智的安全决策和保持安全行为，他们需要的是被赋能和激励，而不是被指责和处罚。正向强化（也称为积极强化）是一种经过验证的行为科学技术，在安全文化建设中应用大有裨益。

正面反馈与激励的奇迹

再来看另外一个医疗行业的真实例子。在医疗环境中，保持卫生对抑制疾病传播和保护病人的健康极为重要。医务人员反复被告诫要重视个人卫生习惯，到处贴满了警示标语要洗手，然而员工的依从性却低得离谱（按规定洗手的为38.7%，且仅有5%的人能正确洗手）。针对这一问题，该采取什么措施呢？医院一开始的办法是安装监控摄像头，并派专人通过实况录像监督医务人员的行为。然而令人震惊的是，尽管明明知道摄像头记录着自己的行为，仍然只有10%的员工遵守了正确洗手的规定，这意味着监管要求和技术措施并不足以解决问题。

医院接下来的做法几乎是立竿见影。他们在每个科室安装了电子屏，能够及时对员工的行为做出反馈。每当医生、护士或其他工作人员洗了手，大屏上的数字就会增加，同时还伴随着正面的个性评价，比如说：“你做得真棒！”。令人惊讶的是，这次卫生依从率上升到了90%。安装电子屏的高明之处就在于，没有采取通常的威胁、责备与处罚手段，而是选择了正向激励的策略。

很多人认为疾病传播、感染他人以及违规处罚的风险足以促使人们采取行动（试图以恐惧改变他人的行为），但即时的正面反馈与激励远比未来的警告和威胁更管用。如果目标是想改变别人的行为或促使他人采取行动，承诺提供奖励比威胁惩罚更有效。因为人类有趋利避害的天性，奖赏会让人联想到快乐，而惩罚则使人联想到痛苦。值得注意的是，如果目标是阻止他人采取不良行动－例如：禁止将账户密码与他人共享，告诫对方该行为的不良后果，可能比承诺提供奖赏更有效。

人为错误谬论与习得性无助

长期以来，员工一直被视为组织网络安全链条中“最薄弱的环节”，实际上，这种论断是不公平的，它将内疚和恐惧的负担放在了员工的肩上。虽然很明显员工需要为自己的人为错误或不安全行为负责，但现实是，我们可能会陷入“人为错误谬论”，把所有的错误都归咎于员工。

据ISACA给出的定义：“人为错误谬误”是一种忽视人类与技术之间复杂互动关系的认知偏见。当错误发生时，人们立即受到指责，而不考虑促成其决策与行为的其他外部影响因素，例如：不完善的安全制度/系统设计/安全工具、不充分的安全宣贯与培训或不健康的组织安全文化等。

对员工的一味指责与处罚是一种错误的归因，不仅与复杂的外部因素相去甚远，而且会对员工的心理及行为产生负面影响。其中一个后果是，员工被推入一种“习得性无助”的状态，在这种状态下，他们感到被剥夺了保护自己和组织的能力。

“习得性无助”是一种心理状态，当一个人反复面对具有挑战性的情况，最终认为自己是环境的受害者，无法控制这种情况。这使他们采取、沮丧和恐惧的态度，无法参与解决最初的问题。这种习得性无助对于网络安全文化建设而言非常不利，会让员工感到孤立无援，缺乏做出正确决策所需的支持或知识，或者害怕在承认错误后遭到报复（被通报、批评、指责、处罚等）。这种恐惧导致在员工眼里，安全管理人员好比是“猫”，员工好比是“老鼠”，安全检查/管控以及钓鱼演练就是“猫捉老鼠”，而不是赋能和提供帮助。

应用“正向强化”

激励员工学习安全行为

对员工进行安全行为培训的方式非常重要。教育科学告诉我们，影响知识保留水平的因素主要包括学习方式、记忆技巧和复习/练习策略等。如果学习者享受学习的过程，知识保留率就会成倍增加。这一点似乎是显而易见的，但在网络安全意识与培训中并未得到足够重视和应用。传统的安全意识与培训侧重于知识传播，确保组织实现法律法规的遵从性是首要任务。这种浅层的宣贯和培训很少考虑到深层的人为因素复杂性：员工对于网络安全中自身身份定位的认知，对于网络安全的态度、动机、信念和自我效能感等。因此，如果在这些层面未能触动员工，使员工产生情感共鸣，激发内在动力，开展再多的宣贯、培训与演练也不太可能发生持久的行为变化。

改进安全学习体验的方法之一是加入游戏化元素，例如：员工通过完成安全任务或学习模块来获得安全积分、徽章或排名，并能够得到即时奖励。这不仅使学习过程更有吸引力，而且还可以激发不同部门员工的良性竞争和对安全学习成就的渴望。

方法之二是加入故事化元素，打造一个安全IP形象，让IP角色贴近员工，让安全学习遵循一条故事主线（历险、破案、寻宝、打怪升级等），而不是学习相互之间没有联系的孤立课程或视频，那么安全学习就会成为一种动态的、有趣的、有意义的学习体验。

方法之三是针对不同岗位员工的风险和需求提供个性化培训，增加安全学习的吸引力和相关性，充分考虑和尊重员工现有安全知识基础和经验背景，避免仅仅提供“一刀切式”的普适性培训，提升员工在实际工作中应用安全知识和应对安全风险的能力。

另一种方法是体验式学习或“边做边学”，根据学习金字塔理论，通过实践的方式，学习内容留存率可达到75%。体验式学习将抽象概念转化为具体的、相关的情境，让员工在一个可控的、无风险的环境中看到自己行为的直接后果。体验式学习通过原理讲解、案例演示、小组讨论、实地观察与动手实践等不同形式呈现学习内容，增强员工安全学习的参与度、互动感与积极性。

用积极反馈增强信心

改变一个人认知行为的方式包括正向强化和负向惩罚，而惩罚带来的常常是退缩或不作为，使人们不自觉地开启“防御模式”。想要增加所期望的行为，使用正向强化法是更优的选择。

当员工得到正向的积极反馈时，也就是肯定了他们的努力和成就，这不仅能强化正确的安全行为，还能极大地增强他们的信心和对安全团队的好感和信任，这也是他们愿意上报风险行为而不必担心被处罚的关键。安全团队为员工持续赋能，给予一定的容错空间（给予更多包容和理解），使员工感受到心理安全感（是指个体在团队中能够展现和发挥自我，而不必担心对自我形象、地位或职业生涯产生负面后果）。心理安全感会让员工更有安全参与感和动力，因为他们感到自己的贡献很被重视，而且可以自由地表达自己的意见和建议（匿名反馈或举报渠道），并可以放心地分享自己的错误并从中学习。特别是在像网络安全这样要求苛刻的领域，保持警惕和适应突发威胁是日常工作的一部分，员工主动识别和积极上报风险的行为应该得到奖励。

引入“公正文化”

在这里，我们借鉴一下传统安全领域的“公正文化”理念。国际民航组织和民航发达国家十分强调公正地处理组织或个人自愿报告的安全问题（不安全事件、不安全行为），划分出可接受行为与不可接受行为的明确界限，防止不加区别地一味惩罚报告当事人，从而给予报告的组织、个人应有的保护，这就是在研究安全文化时常常提及的“JustCulture(公正文化)”。公正地处理安全问题应当成为安全价值观中非常重要的方面予以肯定、强调、培植。因为一些不安全事件、行为并不是员工玩忽职守、故意违规的主观有意行为，而是源自文化、系统、工具和人的局限性等。

在“公正文化”中，除了将正面强化作为一种安全培训工具外，公司还必须首先承担责任，确保改进安全制度，并为员工提供适当的安全工具、流程和控制措施，以避免今后再发生类似事件。在“公正文化”中，赋予员工权力不仅意味着消除对即时惩罚和指责的恐惧，还意味着教育他们了解自己的行为可能在各个层面造成的后果（对公司层面、部门层面和个人层面的影响）。例如，因员工人为因素引发的网络攻击，会造成重大经济损失，使公司品牌声誉受损，进而失去客户和影响营收，这将间接影响到所有的员工（停发奖金、取消福利或削减薪资等）。

但是，引入“公正文化”并不意味着在真正需要的时候避免惩罚。员工需要意识到，如果他们故意犯错且情节严重、蓄意破坏信息系统或内外勾结贩卖机密数据，将面临严厉处罚，甚至被开除，如触犯相关法律，还将面临牢狱之灾。这些后果需要从非恐惧的角度，以不会导致无所适从和恐惧的方式向员工传达。我们需要启发员工认识到，员工是最主要的“攻击面”之一，每一名员工是维护组织网络安全的“主角儿”，是抵御网络攻击的“第一道防线”。将安全重新定义为一种集体责任，可以在组织内各个层级培养一种安全主人翁意识。