为什么你的安全计划会失败

我为什么断言大多数计划都在失败？因为情况并没有好转。只需看看2021年的节日“礼物”Log4J。问题可能出在我们的方法上吗？有些人将信息安全计划视为从不完美的当前状态到未来改进状态的有限线性进程，或者更糟的是，现代倦怠中的西西弗斯式练习。这两种方法都建立在强调失败的强制性立法基础上，一种企业的《罪与罚》。

实际上，信息安全举措是变革管理的实践。安全计划失败的原因与许多变革举措失败的原因相同：糟糕的变革管理。根据Paul Gibbons的《组织变革科学》等书籍中常见的报告，变革努力失败率可能在20%到80%之间，具体取决于类型（2019）。即使较低的数字更准确，失败的变革努力仍可能损害盈利能力和组织声誉。

关于成功变革管理方法的学术文献中出现了一个共同主题：与那些被要求变革的个人合作并尊重他们的重要性。大多数作者似乎都同意基本原则，如认识到变革接受者情绪的重要性（Branson, 2008; Choi & Ruona, 2010; Dahl, 2011; Williams & Tobbell, 2017），让组织成员参与以听取关切和反馈（Choi & Ruona, 2010; de Waal & Heijtel, 2017），以及通过创建学习文化来培养持续变革环境，即使在使用强制性变革方法时也是如此（Canato et al., 2013; Choi & Ruona, 2010）。

建立持续变革文化被观察到是对变革成功的最大支持（Choi & Ruona, 2010; de Waal & Heijtel 2017; Hansen & Jervell, 2015）。通过建立一个不断适应新挑战的抗脆弱组织，减少了对大型、繁重的变革努力的需求，这些努力会使员工疲劳。

信息安全计划可以从这些方法中受益。这些举措往往对组织具有变革性，关注文化和技术的多个领域。然而，虽然有讨论变革管理规划重要性（Ashenden, 2008）和关注创建安全文化（AlHogail, 2015）的信息安全学术文献，但这些方法通常侧重于由安全领导强制实施的经验理性策略（Choi & Ruona, 2010）。