打造网络安全文化的5C原则

您是否也有计划在组织内打造出一种强大的网络安全文化-一套有助于保护组织信息系统、网络和数据的一致价值观、态度、信念和行为? 在这种文化的影响下，网络安全并非由某个特定部门管理和推动的一系列技术、工具和任务，而是每个人共同承担的自觉责任，安全行为已经自然融入到日常工作和运营之中。

从字面上看相当简单，但打造并维持网络安全文化是一项长期的艰巨任务，这需要在管理层承诺、持续沟通和保持一致性方面下功夫，还需要有创意、有趣味，推行安全文化大使计划，影响和激发更多员工的内在驱动力和潜能。基于超安全以往为客户提供网络安全文化建设咨询的实战经验，下文介绍打造安全文化不可或缺的5C原则：

原则1:承诺(Commitment)~从高层奠定基调

所有拥有强大网络安全文化优的组织都有一个共同点~高层力挺安全。在顶层设计上，将网络安全融入到公司使命与愿景中，将安全基因注入现有企业文化，清晰地释放“安全是不可妥协的”强硬基调。在这样的组织里，最高管理层通常能够以身作则，在对待安全的态度、信念、技能与最佳实践等方面均起着模范带头作用。他们能够深刻理解安全，将网络安全目标与业务目标联系起来，并向全公司传达鲜明的立场，网络安全与网络弹性是支撑业务增长、保持企业竞争力和赢得客户信任的战略性商业问题。高管们还是“首席安全文化大使”，可能树立榜样，展示拥有安全思维意味着什么，以及如何在日常运营中将安全行为常态化。当员工看到高管对网络安全与网络弹性展现出坚定的承诺，并言行一致时，从中层干部到一线员工很可能会受到感染和影响。

原则3:沟通(Communicaiton)~解释清楚“为什么”

在安全文化沟通与传播中植入安全价值观的最佳方式是使用简单、清晰的信息，唤起员工的情感共鸣。只是简单地告诉员工应该持有什么的“安全理念”才能适应本企业的工作环境，往往足以让员工至少在口头上或文字上认同安全价值。

向员工解释清楚安全规章制度、安全管控措施以及安全教育培训背后的“Why”，以及网络安全对于公司的业务成功及对于个人的密切影响意味着什么，这一点至关重要。不清楚“为什么”，员工就很难在内心深处认同和接受，而是被动地执行制度、被动地接受管控和被动地参与培训，这时，所有的安全制度、管控和培训都会打折扣。事实上，据Gartner调查显示，93%的员工在知情的情况下，依旧采取了增加组织安全风险的行为。74%的员工会出于实现业务目标而违反安全政策。

安全文化沟通需要考虑多样性、针对性、双向性、持续性和战略性。根据行为科学家~Paul Dolan教授的MIND SPACE理论，Messenger(信使)-即沟通主体是谁很关键，沟通主体可以是高层领导、安全部门负责人和/或安全意识与文化团队。通常，沟通发起者的影响力越大、组织地位越高，沟通与传播的效果就越好。对于重大的安全策略、制度和活动，由CEO或信息安全委员会来解读或发布，远比由安全部门或安全部门负责人的解读更有权威性和更具影响力，全体员工接受安全信息的动力和自觉性也就越高。

原则3:创造力(Creativity)~融入创意与趣味性

安全是一项严肃的工作，但在安全文化建设过程中合理运用创意和幽默的力量，有助于让安全学习和行为改变更加“深入人心”。一些研究表明，在大多数情况下，视觉型学习者可能占据相对较大的比例，大约在60%-70%之间，学习者擅长通过视觉刺激来学习和分析。例如：更具创意性、更具视觉冲击力的图像、海报、信息长图，能成功吸引员工的注意力；加入趣味性与幽默元素的安全培训课程，可以使信息传递更具吸引力和令人难忘；安全日/周/月活动中设定有创意的活动主题，以故事化引发情感共鸣、以体验化提升感官享受、以游戏化点燃安全激情等，可以促使员工产生强烈的安全使命感、好奇心和探索欲，让内在动机引领，而不是被动地应付式参与。让安全学习和活动变得有趣可以增强员工的学习粘性，激励员工自觉遵守安全制度和培养安全行为习惯，还可以显著降低培训成本与沟通成本。

在超安全服务过的一些企业中，仅仅是分享基于钓鱼模拟演练结果的个人和团队排名，就能营造出良性的、不甘落后的竞争氛围，从而提高安全绩效。还有一些企业不断创新激励机制，调动员工的积极性、激发员工的安全潜能。例如，向优秀员工颁发“杰出反钓鱼卫士奖”，颁发“防勒索小达人”证书。除了及时奖励，每月集齐一枚电子勋章，到年终还能换大奖等等。

原则4:一致性(Consistency)~以正向强化驱动安全行为

鼓励积极的价值观、态度和行为，塑造安全文化应以“正向强化”措施为主线。惩罚性措施似乎是纠正员工不安全行为的一种流行策略，尤其是在合规文化强的金融行业，因为一方面很容易实施，另一方面结果似乎立竿见影，人们预期会对威胁和恐惧做出回避反应。然而，与我们的直觉相反，很多行为科学研究表明：惩罚性措施往往没有充分考虑到影响个人行为的复杂因素。想要让员工做出明智的安全决策和保持安全行为，他们需要的是被赋能和激励，而不是被指责和处罚。正向强化（也称积极强化）是一种经过验证的行为科学技术，在安全文化建设中应用大有裨益。

突出正面影响和正面榜样，对于改变员工的安全文化态度大有裨益，它利用了人们都有寻求机会和追求回报的天性。在安全文化宣传中，增加一些员工在工作岗位上良好安全实践的真实案例，树立一些正面榜样也是对其他人的一种“积极暗示”，影响更多的员工向榜样学习、向优秀看齐。员工良好的安全行为需要被表扬和肯定，才有可能固化为良好的安全习惯，否则员工更多的是感受到被安全管控、被要求学习、被扣分处罚、被动参加安全活动，而感受不到安全带来的直观收益。

但这并不意味着在真正需要的时候避免“大棒”手段。员工需要意识到，如果他们故意犯错且情节严重、蓄意破坏信息系统或内外勾结贩卖机密数据，将面临严厉处罚措施，甚至被开除，如触犯相关法律，还将面临牢狱之灾。这些后果需要从非恐惧的角度，以不会导致无所适从和恐惧的方式向员工传达。

原则5:队伍(Corps)~打造一支安全文化大使队伍

那些在安全培训、钓鱼演练、应急响应以及安全日/周/月活动中一贯表现出色或有显著进步的员工，可以选拔成为其所在团队和/或地区的安全文化大使。很多网络安全文化成熟度较高的组织都会在某个阶段推行“网络安全大使计划”，尤其是在员工人数超过1万，甚至10万以上的大型组织。例如SAP、亚马逊、微软等都有相关的安全大使计划，可能叫法有差异（安全英雄、安全标兵、安全卫士、安全倡导者等等）。其背后的原理就是运用社会动力与系统能力，借助大使的影响力来影响和激励周围更多员工。这些大使来自不同的区域/业务线/部门，他们是安全团队和其它团队的一座桥梁，他们不仅具备良好的安全知识，还对安全充满热情，可以帮助周边同事解决和反馈日常工作中遇到的安全问题，提醒员工将安全放在优先位置，推广最佳安全实践到组织每一个角落，使全员的安全意识得以提升，安全行为得以及时激励和固化，组织整体的安全能力得以规模化，最终推动组织打造更具弹性和适应性的网络安全文化。

总结

组织网络安全文化建设是一项长期的系统性工程。通过合理运用以上5C原则，可以帮助组织激发全员共同的安全责任感，从而增强组织的长期防御能力。每年的4.15“全民国家安全教育日”是一个重要的时间节点，是一次在组织内掀起网络安全文化热潮的良好契机。国家层面，做好国家安全工作必须紧紧依靠人民。企业层面，做好企业安全工作必须紧紧依靠员工。“兵民是胜利之本”，打赢网络安全“持久战”，离不开国家安全文化及企业安全文化建设。不同组织可根据现有组织文化、安全预算、员工风险特点等因素量身定制合适的安全日宣传与教育活动，并借助安全日的势头，激励员工将良好的安全思维与行为方式带入下一个月。

打造强大的网络安全文化需要从顶层精心设计和规划，需要科学的方法论和实战经验指导。超安全为组织精准把脉、对症开方、出谋划策、赋能成长、深度陪跑！让组织网络安全文化建设少走弯路!