领导者如何打造网络安全的工作场所文化 - 《华尔街日报》

要打造一个网络安全的组织，领导者需要营造一种文化，让每位员工都参与其中。插图：普热梅克·科廷斯基人人都把创建网络安全韧性组织挂在嘴边，但鲜有领导者知道如何真正实现这一目标。

这绝非易事。随着恶意网络攻击者不断找到新的攻击或渗透方式，新的漏洞每天都在出现。技术可以提供帮助，但作用有限。同样重要的是建立一种文化，让所有员工都能填补漏洞——通过发现异常情况、质疑看似合法但某些方面略显可疑的事物，或阻止本可能继续进行的受损流程。

但如何让员工内化对创建网络安全组织至关重要的价值观？多年来，我们一直在研究成功做到这一点的公司，并总结出企业领导者可以采取的七项行动，以确保每位员工都参与维护组织安全。

定期强调网络安全：领导者越强调网络安全的重要性，员工就会越重视。在我们研究的组织中，我们发现当员工知道网络安全对其主管或更高层领导很重要时，他们会形成一种态度，认为这是值得花时间关注的事情。

在一家公司中，员工们经常在全员会议上听到CEO赞扬网络安全团队，并解释网络安全的重要性。这种态度不可避免地渗透到各个层级。我们接触到的员工都深信网络安全不仅仅是一个空洞的口号，并且他们找到了贡献自己力量的方式。

在我们研究的另一家公司中，一些员工被要求制作一个关于网络安全问题的短视频——比如如何保持文档私密性或如何保护凭证——并与团队成员分享。团队成员在制作视频过程中所做的研究不仅使他们自己受益，还为所有团队成员创建了一个可供学习的简短有趣的视频库。

**使用正确的语言：**在我们研究的一家公司中，领导者在沟通和培训中强调“数据保护”的重要性，而不是称之为“网络安全”。这听起来可能微不足道。但我们了解到，员工认为“网络安全”过于模糊。他们知道这很重要，但并不真正理解其含义或如何为之做出贡献。当重点转向“数据保护”时，他们的态度发生了巨大转变。因为他们每天都在处理数据，所以知道数据是什么。保护数据成为了他们能够团结起来支持的价值，他们也确实这样做了。

**让它变得有趣，或至少容易：**公司在网络安全方面制造的摩擦越少，员工就越有可能采取适当的行动。例如，在我们研究的几家公司中，安全团队在电子邮件客户端中添加了一个按钮，使员工可以轻松地将可疑邮件转发给安全部门。接下来发生的事情并不令人意外：这些公司的员工比那些没有便捷转发方式的公司的员工更有可能转发可疑邮件。

在另一家公司，网络安全文化负责人利用知名游戏、电影片段和歌曲来灌输网络安全信息。这些内容广受欢迎，员工们热切期待下一期，在娱乐过程中，他们的态度——以及网络安全行为——发生了改变。

将那些体现你希望全体员工内化价值观的人塑造成英雄：当你看到有人为提升环境安全做出贡献时，确保所有人都知晓。我们研究的一家公司向那些超越常规、践行网络安全价值观的员工颁发电子徽章。受表彰的员工可将徽章添加到邮件签名中，他们也确实这么做了。这些电子徽章向其他人表明，这是一位“网络英雄”。老套吗？或许。有效吗？毫无疑问。这些英雄成为团队中非正式的领袖人物，不断强化网络安全价值观。团队中的英雄越多，团队就越安全。

重视奖励与培训并重：许多组织通过培训计划和宣传活动来灌输网络安全价值观。这些对于建立基准很重要，但还不够。我们询问员工从培训或宣传活动中记住了什么。通常，员工只能告诉我们何时参加了最近一次培训课程，而非学到了什么。他们参加课程（通常是在线形式）只是因为这是强制要求。由于培训往往安排在组织需要时而非员工最佳学习时段，他们常常一边上课一边处理邮件或其他事务。长期记忆效果差或为零也就不足为奇了。

那些更为成功的组织不仅仅停留在培训和意识提升上。在多个机构中，领导者为安全活动设置了奖励机制。我们研究的一家银行中有一位领导，他制定的促进网络安全的活动中，前100名响应的员工可获得巧克力曲奇饼干。结果不到一小时饼干就被领完了。另一家机构则通过完成任务奖励公司品牌周边商品，并为参与团队间友好竞赛的员工颁发趣味头衔（如“密码骑士”）。第三家公司将网络安全评估纳入员工年度考核，由此传递出“网络安全既重要又受嘉奖”的理念。

资金流向说明一切：对网络安全项目投入资金的领导者传递了其重要性，而持续忽视网络安全资金投入的领导者则释放了相反信号。

在与产品设计师和开发者交流时，他们普遍认同网络安全的重要性，但也常表示构建安全产品并非其职责。显然，他们从上级那里接收到的信息是应优先考虑上市时间或设计美感等目标，网络安全功能在优先级清单上排名靠后。

事实上，我们了解到设计师从未因安全设计受到表扬，却常因优雅或功能性设计获得赞誉。管理者可通过明确客户日益重视网络安全来改变这一状况——某些客户甚至拒绝与缺乏网络安全保障的企业合作。某公司的开发者曾与关键客户会面，深入理解网络安全对其的重要性。在这家公司，管理者不仅要求设计师优先考虑网络安全，还会在他们落实时给予公开表彰。

**将网络安全意识延伸至员工的个人生活：**当今的混合工作环境伴随着家庭与工作生活的更大融合。网络安全亦是如此。帮助员工在家中树立网络安全意识，是企业塑造办公室所需信念的另一种方式。

我们研究的一家公司为办公室投资了密码管理器，并为员工提供第二份副本用于管理个人凭证。另一家公司定期分享网络入侵事件，并讨论可能对个人造成的影响。这些活动向员工表明，公司支持他们的个人网络安全，进而塑造了一种信念：保障安全不仅是公司为自身安全而要求的，对员工的个人生活和职业发展都至关重要。结果是，员工无需在家庭与办公室之间切换思维模式。他们时刻保持警惕。这让每个人都更加安全。

Pearlson博士是MIT斯隆管理学院网络安全联盟(CAMS)的执行董事。 Madnick博士是MIT斯隆管理学院信息技术名誉教授，也是CAMS研究联盟的创始主任。 联系方式：[email protected]。

刊登于2022年9月9日印刷版，标题为《领导者创建网络安全职场文化的可行步骤》。