領導者如何打造網絡安全的工作場所文化 - 《華爾街日報》

要打造一個網絡安全的組織，領導者需要營造一種文化，讓每位員工都參與其中。插圖：普熱梅克·科廷斯基人人都把創建網絡安全韌性組織掛在嘴邊，但鮮有領導者知道如何真正實現這一目標。

這絕非易事。隨着惡意網絡攻擊者不斷找到新的攻擊或滲透方式，新的漏洞每天都在出現。技術可以提供幫助，但作用有限。同樣重要的是建立一種文化，讓所有員工都能填補漏洞——通過發現異常情況、質疑看似合法但某些方面略顯可疑的事物，或阻止本可能繼續進行的受損流程。

但如何讓員工內化對創建網絡安全組織至關重要的價值觀？多年來，我們一直在研究成功做到這一點的公司，並總結出企業領導者可以採取的七項行動，以確保每位員工都參與維護組織安全。

定期強調網絡安全：領導者越強調網絡安全的重要性，員工就會越重視。在我們研究的組織中，我們發現當員工知道網絡安全對其主管或更高層領導很重要時，他們會形成一種態度，認為這是值得花時間關注的事情。

在一家公司中，員工們經常在全員會議上聽到CEO讚揚網絡安全團隊，並解釋網絡安全的重要性。這種態度不可避免地滲透到各個層級。我們接觸到的員工都深信網絡安全不僅僅是一個空洞的口號，並且他們找到了貢獻自己力量的方式。

在我們研究的另一家公司中，一些員工被要求製作一個關於網絡安全問題的短視頻——比如如何保持文檔私密性或如何保護憑證——並與團隊成員分享。團隊成員在製作視頻過程中所做的研究不僅使他們自己受益，還為所有團隊成員創建了一個可供學習的簡短有趣的視頻庫。

**使用正確的語言：**在我們研究的一家公司中，領導者在溝通和培訓中強調“數據保護”的重要性，而不是稱之為“網絡安全”。這聽起來可能微不足道。但我們瞭解到，員工認為“網絡安全”過於模糊。他們知道這很重要，但並不真正理解其含義或如何為之做出貢獻。當重點轉向“數據保護”時，他們的態度發生了巨大轉變。因為他們每天都在處理數據，所以知道數據是什麼。保護數據成為了他們能夠團結起來支持的價值，他們也確實這樣做了。

**讓它變得有趣，或至少容易：**公司在網絡安全方面製造的摩擦越少，員工就越有可能採取適當的行動。例如，在我們研究的幾家公司中，安全團隊在電子郵件客户端中添加了一個按鈕，使員工可以輕鬆地將可疑郵件轉發給安全部門。接下來發生的事情並不令人意外：這些公司的員工比那些沒有便捷轉發方式的公司的員工更有可能轉發可疑郵件。

在另一家公司，網絡安全文化負責人利用知名遊戲、電影片段和歌曲來灌輸網絡安全信息。這些內容廣受歡迎，員工們熱切期待下一期，在娛樂過程中，他們的態度——以及網絡安全行為——發生了改變。

將那些體現你希望全體員工內化價值觀的人塑造成英雄：當你看到有人為提升環境安全做出貢獻時，確保所有人都知曉。我們研究的一家公司向那些超越常規、踐行網絡安全價值觀的員工頒發電子徽章。受表彰的員工可將徽章添加到郵件簽名中，他們也確實這麼做了。這些電子徽章向其他人表明，這是一位“網絡英雄”。老套嗎？或許。有效嗎？毫無疑問。這些英雄成為團隊中非正式的領袖人物，不斷強化網絡安全價值觀。團隊中的英雄越多，團隊就越安全。

重視獎勵與培訓並重：許多組織通過培訓計劃和宣傳活動來灌輸網絡安全價值觀。這些對於建立基準很重要，但還不夠。我們詢問員工從培訓或宣傳活動中記住了什麼。通常，員工只能告訴我們何時參加了最近一次培訓課程，而非學到了什麼。他們參加課程（通常是在線形式）只是因為這是強制要求。由於培訓往往安排在組織需要時而非員工最佳學習時段，他們常常一邊上課一邊處理郵件或其他事務。長期記憶效果差或為零也就不足為奇了。

那些更為成功的組織不僅僅停留在培訓和意識提升上。在多個機構中，領導者為安全活動設置了獎勵機制。我們研究的一家銀行中有一位領導，他制定的促進網絡安全的活動中，前100名響應的員工可獲得巧克力曲奇餅乾。結果不到一小時餅乾就被領完了。另一家機構則通過完成任務獎勵公司品牌周邊商品，併為參與團隊間友好競賽的員工頒發趣味頭銜（如“密碼騎士”）。第三家公司將網絡安全評估納入員工年度考核，由此傳遞出“網絡安全既重要又受嘉獎”的理念。

資金流向説明一切：對網絡安全項目投入資金的領導者傳遞了其重要性，而持續忽視網絡安全資金投入的領導者則釋放了相反信號。

在與產品設計師和開發者交流時，他們普遍認同網絡安全的重要性，但也常表示構建安全產品並非其職責。顯然，他們從上級那裏接收到的信息是應優先考慮上市時間或設計美感等目標，網絡安全功能在優先級清單上排名靠後。

事實上，我們瞭解到設計師從未因安全設計受到表揚，卻常因優雅或功能性設計獲得讚譽。管理者可通過明確客户日益重視網絡安全來改變這一狀況——某些客户甚至拒絕與缺乏網絡安全保障的企業合作。某公司的開發者曾與關鍵客户會面，深入理解網絡安全對其的重要性。在這家公司，管理者不僅要求設計師優先考慮網絡安全，還會在他們落即時給予公開表彰。

**將網絡安全意識延伸至員工的個人生活：**當今的混合工作環境伴隨着家庭與工作生活的更大融合。網絡安全亦是如此。幫助員工在家中樹立網絡安全意識，是企業塑造辦公室所需信念的另一種方式。

我們研究的一家公司為辦公室投資了密碼管理器，併為員工提供第二份副本用於管理個人憑證。另一家公司定期分享網絡入侵事件，並討論可能對個人造成的影響。這些活動向員工表明，公司支持他們的個人網絡安全，進而塑造了一種信念：保障安全不僅是公司為自身安全而要求的，對員工的個人生活和職業發展都至關重要。結果是，員工無需在家庭與辦公室之間切換思維模式。他們時刻保持警惕。這讓每個人都更加安全。

Pearlson博士是MIT斯隆管理學院網絡安全聯盟(CAMS)的執行董事。 Madnick博士是MIT斯隆管理學院信息技術名譽教授，也是CAMS研究聯盟的創始主任。 聯繫方式：[email protected]。

刊登於2022年9月9日印刷版，標題為《領導者創建網絡安全職場文化的可行步驟》。