为什么你的安全项目会失败

我为何断言大多数安全项目都在失败？因为情况并未好转。只需看看2021年的Log4J漏洞这份“节日礼物”就明白了。问题是否出在我们的方法上？有些人将信息安全项目视为从有缺陷的当前状态向未来改进状态的有限线性进程，或者更糟的是，将其视为现代倦怠中的西西弗斯式苦役。这两种方法都建立在强调失败的强制性立法基础之上，如同企业的《罪与罚》。

实际上，信息安全倡议是变革管理的实践。安全项目失败的原因与许多变革倡议失败的原因相同：糟糕的变革管理。根据Paul Gibbons《组织变革的科学》等书籍中常见的报告，变革努力失败率在20%至80%之间，具体取决于变革类型（2019）。即使较低的数字更准确，失败的变革努力仍可能损害盈利能力和组织声誉。

关于成功变革管理方法的学术文献中出现了一个共同主题：与那些被要求改变的个人合作并尊重他们的重要性。大多数作者似乎在一些基本原则达成一致，例如认识到变革接受者情绪的重要性（Branson, 2008; Choi & Ruona, 2010; Dahl, 2011; Williams & Tobbell, 2017）、让组织成员参与以听取关切和反馈（Choi & Ruona, 2010; de Waal & Heijtel, 2017），以及通过创建学习文化来培养持续变革环境，即使在使用强制性变革方法时也是如此（Canato et al., 2013; Choi & Ruona, 2010）。

建立持续变革文化被观察到是变革成功的最大支持（Choi & Ruona, 2010; de Waal & Heijtel 2017; Hansen & Jervell, 2015）。通过建立一个不断适应新挑战的反脆弱组织，可以减少那些使员工疲惫的大型、繁重变革努力的需求。

信息安全项目可以从这些方法中受益。这些倡议往往对组织具有变革性，关注文化和技术的多个领域。然而，虽然有讨论变革管理规划重要性（Ashenden, 2008）和关注创建安全文化（AlHogail, 2015）的信息安全学术文献，但这些方法通常侧重于由安全领导强制实施的经验理性策略（Choi & Ruona, 2010）。