在數字化時代，安全文化正成為任何一家企業的必要元素。但是，建立一種文化又談何容易？很多企業的負責人正在為安全文化的不完善和難以推進而殫精竭慮。這時如果考慮以下八個方面，也許會對您在建立企業安全文化方面有所幫助。

　　網絡安全是每個人的責任，也是每個人的工作。但是，這個簡單的道理很少在那些整日埋頭忙于做他們主要業務工作的人的心目中找到一席之地。事實上，對于那些每天忙于趕在截止日期前完成工作、加班到很晚、連朋友都無暇顧及的“大忙人”來說，連安全都照顧不到也是理所當然的事情。這方面的沖突將會持續發生，直到安全最終成為一種文化。

　　但即便如此，我們也不能放棄建立安全文化。這是因為我們對數字技術的依賴程度與日俱增。值得慶幸的是，一種文化的建立不是一蹴而就的事情。因此，你可以嘗試很多不同的方法。在眾多的選擇中，有8件事應該是永遠存在的。

　　解釋為什么安全如此重要

　　每個人都對指示和命令感到反感。坦白地說，此前確實有很多與安全相關的內容都是以指示和命令的形式下達的。當然，在安全的背景下，應該受到保護的東西必須得到遵守，并且必須傳達。在這種情況下，要想將排斥感降到最低，就必須要解釋清楚為什么要遵守。當人們知道原因時，他們的記憶力會更好，并且更有動力。因此，人們做出更好決定的概率也會隨之增加。

　　對此，安全公司Defendify的聯合創始人羅伯·西莫普洛斯（Rob Simopoulos）強調：“必須經常強調‘為什么’。如果出現不配合安全部門工作的情況，最好解釋一下實際發生了什么，以及這時組織層面可能會發生什么事情。”

　　為每天的工作提供安全的方法

　　正如開頭提到的，人們忽視安全規則的最大原因就是他們埋頭忙于工作。安全公司NCC Group的高級顧問蒂姆·羅林斯（Tim Rawlins）解釋說：“我們需要為普通用戶提供一種既安全又可以順利完成他們工作的方法。如果我告訴你因為要保證安全，所以會給你的工作造成不便，誰會聽呢。在用戶傳輸文件時，使用搜索引擎時，或者打開一個附件時，你應該告訴他們安全操作的方法?！?/p>

　　“我們絕不能忘記，我們正在與已經被自己的工作忙得焦頭爛額的人打交道。物理上沒有記憶的空間，也沒有心理上的余力。在這種飽和的狀態下，灌輸與安全相關的信息，無論對說話者來說還是對傾聽者來說都是一種挑戰。你應該經常讓他們喘口氣，這樣他們才能接受安全。”

　　盡可能地消除IT和安全之間的沖突

　　沒有任何一家企業或組織可以在不斷的沖突和摩擦中保持健康發展。然而，完全消除沖突和摩擦是不可能的。任何企業或組織都是在摩擦和沖突的狀態下經營業務，并加強安全。也就是說，最終能夠將沖突和摩擦最小化是最佳對策。

　　對此，美國云安全公司Zscaler副總裁卡維塔·瑪麗亞潘（Kavitha Mariappan）表示：“出乎意料的是，有觀點認為安全和IT之間的摩擦是一種‘健康關系’。這兩者的合作產品變得健康、完整時，不是兩者發生沖突的時候，而是它們和諧相處的時候。當兩者分開時創造的產品就是我們所說的‘遺留’產品，是安全性能較差的遺留產品。當IT和安全實現和諧共存時，安全文化就開始慢慢建立。摩擦永遠不會是健康的?！?/p>

　　不要威脅，要鼓勵

　　雖然難免會有不得已的情況，但將安全與“違反時處罰”捆綁在一起強制執行的做法往往會帶來消極后果。雖然確實需要一些強制力，但如果過度使用，員工們就會變得善于隱瞞違反安全的事項。從組織的角度來看，這樣做可能會延遲對潛在的安全相關事故苗頭的發現識別，并可能因此導致事故造成的損害不必要地擴大。

　　對此，安全公司AwareGO的聯合創始人拉格納·西格羅森（Ragnar Sigurosson）解釋說：“我們絕不能將安全視為一個新概念或新常態，而應該將其視為與我們息息相關的事物。發生侵害事故時，整個企業或組織的每個人都需要了解可能造成的損害。關鍵是要傳達這樣一個信息——即我們必須齊心協力避免這種損害?！?/p>

　　個性化的安全培訓和教育

　　雖然像在學校上課那樣進行安全教育和訓練并非沒有意義和效果，但如果堅持這種教育和訓練方式，效果可能不會特別理想。這對我們已經在學校呆了很長時間的人來說是最好的證明。坐在課堂上聽解釋是否會極大地改變我們的行為和思維方式呢？雖然這種概率不會是0，但確實不會很高。因此，我們必須根據企業和學員的特點，靈活地制定教育計劃。

　　對此，安全公司埃森哲的Neha Joshi解釋說：“學校教學式的培訓模式的缺點是難以實現‘個人化’。課堂上所教授的內容雖然說得很對，也很有幫助，但大部分人都會覺得與我無關。因此，無論是多么微不足道的事情，都應該讓學生們覺得‘從現在開始值得付諸實踐’。分析人員和組織成員的行為特征和傾向至關重要。如果你進行了一次授課，你需要分析學生們的行為在你授課前后是如何變化的。也就是說，在授課前后都有工作要做。”

　　應將網絡安全“游戲化”

　　人們為什么喜歡玩游戲？這是因為游戲會讓人快速感受到成就感，小規模的競爭不斷發生。如果你能將這個原理應用到安全教育中，你就能取得豐碩的成果。安全公司Balbix的 CEO高拉夫·班加（Gaurav Banga）表示：“如果引入一個簡單的程序，賦予小任務，記錄成果并給予相應的獎勵，建立安全文化的速度就會出乎意料地加快。無論是選拔本月的安全優秀員工還是本季度的最佳員工，其效果都是不容小覷的。”

　　但是，他同時強調，最好把獎品選得像模像樣一點?！耙诓唤o公司財政帶來負擔的前提下選擇獎品。但如果獎品是一袋餅干或一張價值5000韓元（約合人民幣26.8元）的商品券就等于沒有獎品，這樣做沒有引起員工的反感就算慶幸了。如果給一年來表現最出色的‘安全優秀員工’頒發一張夏威夷旅行券作為獎品，相信大部分人都會遵守安全規則吧?！?/p>

　　管理層是骨干

　　無論在營造安全文化上付出多少努力，如果高管凌駕于規則之上，結果都將是竹籃打水一場空。要想在企業中建立某種“文化”，必須從管理人員開始抓起，安全文化也不例外。全球第3大應用軟件供應商Sungard公司的主管米奇·卡瓦斯基（Mitch Kavalsky）解釋說：“要想獲得ISO 27001這樣的證書，就必須要有管理層的參與。當高管參與時，就意味著每個人都會參與其中。”

　　安全公司IronNet的首席信息安全官喬治？拉蒙特（George Lamont）也表示：“經理或管理層應該先沉浸于安全文化中，相反，如果從普通職員開始強制要求安全文化，其效果并不好，而且需要很長時間。如果你想將安全文化融入到企業文化中，管理人員就必須身先士卒做出表率。并且有必要公開展示管理層正在發生的這些變化。”

　　讓安全故事像閑談一樣傳播開來

　　僅僅通過培訓來改變工作方式是遠遠不夠的。至少安全就是這樣。只有真正的從內心發生了變化，“人人參與的安全”才具有真正的意義。安全公司CSI的首席信息安全官史蒂夫·桑德斯（Steve Sanders）表示：“人們對因不遵守網絡安全規則而發生事故的消息并不敏感。這些消息不應該僅僅出現在進行安全教育的時候，在日常閑聊中也應該傳播開來。”

　　史蒂夫強調說：“安全相關話題必須傳播開來。對于普通員工來說，安全始終是一個偏離主業或者與我關系不大的話題，因為它是一個僅在培訓課程中出現的主題。本來就在接受一個離我很遠的主題的教育，如果只是聽到其他公司發生事故的消息，那就只能是‘一只耳朵進，一只耳朵出’。相反，如果日常引導安全故事持續傳播下去，并與訓練時間綜合起來，讓這些故事變成小實踐會更有效果。如果您所在的組織不斷傳出安全故事，您將不得不更加認真地對待安全實踐。”