为何Gartner再一次将安全行为与文化计划(SBCP)列为2025年顶级趋势？

扩展安全行为与文化计划(SBCP)的价值

面对日新月异的技术发展和日益复杂的网络攻击，安全团队如何应对不断变化的威胁环境、如何应对日趋严格的监管压力、如何交付业务价值与保障业务连续性、如何应对不断加大的人才缺口与团队倦怠，以及如何构建具有安全弹性和适应性的组织文化等等，这些都是永恒的课题和挑战。

继2024年Gartner将安全行为与文化计划(SBCP)列为顶级趋势之后，2025年Gartner继续建议组织推行更加成熟的SBCP计划，到2026年，在安全行为与文化计划(SBCP)中将GenAI与基于平台的集成架构相结合的企业，将减少40%的因员工人为因素引发的网络安全事件。

对于大多数组织来说，安全行为与文化计划(SBCP)已经达到了一个拐点。卓越的安全与风险管理领导者越发认识到SBCP计划在改善组织整体网络安全态势方面所带来的价值。因此，开展以行为和文化为重点的安全措施、倡议和活动，已成为在员工层面提升网络安全风险认知和增强安全责任心的重要方法，这反映了将安全嵌入组织文化的战略转变和必然趋势。

为何Gartner对SBCP计划情有独钟？

由于越来越多的人认识到员工行为，无论是好的还是坏的，都是网络安全的关键组成部分，这一趋势正在获得关注。根据威瑞森《2024年数据泄露调查报告》显示，68%的数据泄漏主要是由人为错误(员工的风险行为)造成的，这一统计数据强调了在组织内打造安全文化的重要性和迫切性。实际上，Verizon DBIR报告连续第17年，一直非常强调网络安全中的“人为因素”。安全领导者通过持续投资SBCP计划，合理运用非传统的社会技术策略，如行为心理学、助推理论和用户体验等，可以有效提升他们影响整个组织迈向安全文化变革的能力。

当下，这一文化变革的最大推动力之一就是生成式人工智能(GenAI)。GenAI使得整个组织的员工更容易开展技术工作和与技术互动。这把双刃剑可以通过实现安全意识宣贯与培训内容的超个性化来增强SBCP计划，但也为组织的安全运营引入了新的威胁向量。

此外，一些走在前沿的组织开始超越传统的安全意识与培训计划，将新的理念实践应用到不断演变和正式化的SBCP计划中。除了通过网络钓鱼演练降低员工的风险行为，还有什么新招数？SBCP计划正在扩展到更广泛的安全行为，例如安全编码实践、系统错误配置和未经授权的软件安装等。这种演变是由这样一种认识推动的，即全面的安全行为改善可以有效应对更广泛的安全威胁和漏洞。想了解哪些最新理念可以在SBCP计划中应用，请查阅超安全公众号历史文章：

越来越多的监管与合规要求也在这一趋势中发挥了重要作用。《通用数据保护条例》(GDPR)、《数字运营弹性法案》(DORA)、《网络和信息安全指令》(NIS2)等全球法律法规要求采取严格的数据和隐私保护措施，包括开展员工安全意识与培训、钓鱼模拟演练等。组织正在认识到，投资于SBCP计划不仅可以帮助组织提升法律合规遵从性，还可以建立一个更具弹性和适应性的组织安全文化。关于安全意识培训与钓鱼演练相关的国际法规、标准及框架，请查阅历史文章：，

实施SBCP计划的意义与挑战

实施SBCP计划的意义

增强组织安全态势：通过将安全文化有机植入/融入组织现有的企业文化中，员工在识别和减轻潜在威胁方面将会变得更加警惕和有积极性；
缩短事件响应时间：接受过网络安全最佳实践培训的员工可以更快地识别和报告潜在隐患和安全事件，减少事件响应和有效遏制数据泄漏的时间；
促进跨部门协作：SBCP计划可以促进IT部门、业务部门、人力资源、市场营销与传播和其他职能部门之间的理解与协作，从而形成更有凝聚力的“安全统一战线”；
提升员工参与度：设计良好的SBCP计划可以提高员工的整体参与度和满意度，因为员工会更多地参与到组织的安全文化建设工作中。这给了他们更多的选择权、发言权和主动权，让他们知道如何根据自己的特定环境设计需要使用的安全控制措施，从而有助于减少摩擦，并提升安全控制措施的采用率。

实施SBCP计划的挑战

缺少预算：据Cybsafe《2025安全意识预测报告》显示，仅4%的受访者计划在2025年投入100万美元以上，致力于实施大规模的员工行为改变计划。近三分之二的受访者(62.6%)表示预算在10万美元以内，其中5万美元以内占40.4%，5万-10万美金占22.2%。近三分之一的受访者(31.3%)预算在10-50万美元，其中10-25万美元占17.2%，25-50万美元占14.1%。有多少钱办多少事儿，在缺少足够预算和资源的情况下，安全团队很可能无法实现预期的文化变革目标；
缺专人管理：据SANS多年的研究显示，组织的安全意识与文化成熟度，与专职人员的投入成正比。超过六成的外国公司设立了由1-3人组成的小型安全意识与文化团队/人为因素风险管理团队，3-10人的团队占近二成。而国内公司目前阶段很少设置安全文化专职岗位，更多的是指定安全团队的某个成员将一部分精力和时间用于安全意识宣贯与培训。特别是中小型组织，不能简单地寄希望于通过购买一套安全意识平台或安全意识服务，就能确保降低人为因素风险并实现组织安全文化变革；
缺乏有效度量：据调查显示，仅有15%的组织安全文化成熟度达到了度量阶段(拥有强有力的度量指标框架)，如何量化SBCP计划对安全结果的有效性是一项持续挑战。只有成熟的安全事件管理流程才能有效衡量真正的影响，该流程可帮助组识别源于员工行为的、基于数据驱动的事件模式。

总结

从安全意识宣贯与培训计划转向安全行为与文化计划，是组织安全策略升级的必然趋势。安全领导者需要建立一个与组织业务目标相融合的SBCP战略计划，向管理层清晰展示SBCP计划的必要性和并设定合理预期。在预算和资源受限的条件下，安全领导者可以将SBCP计划的工作重点放在风险最高的事件类型和员工行为上，并将结果驱动型指标的改善纳入到向高管和董事会的汇报中。