同理心与IT安全:实现有效合规之路

本文探讨了如何通过同理心策略工程和战略安全沟通,提升员工对IT安全政策的接受度,从而建立可持续的安全文化。文章分析了工作压力和社会因素对安全行为的影响,并提出了三个关键改进点。

同理心与IT安全:实现有效合规之路

用户通常认为IT安全政策是一种障碍。通过同理心策略工程,CISO(首席信息安全官)可以帮助提高接受度并有效实施安全措施。

在许多公司中,IT安全政策遇到阻力,因为员工认为它们具有阻碍性或脱离实际。这使实施变得困难,削弱了有效性,并加重了安全部门与业务部门之间的合作负担。网络安全通常被视为阻碍者而非合作伙伴——这是一个致命的安全风险。对CISO来说,除了技术正确的政策外,日常接受度至关重要。一种新的方法,结合同理心策略工程和战略安全沟通,可以促进可持续的安全文化。

IT安全:工作压力和社会影响因素

许多IT部门认为用户缺乏遵守安全规定的动机。公司通过制裁和培训来强制执行合规行为。然而,一项为期两天的实验研究了安全设计对用户合规行为的影响,结果显示:尽管参与者最初对安全政策持积极态度,但在工作压力增加的情况下,这些政策逐渐被视为障碍,导致违规行为增加。压力和情境因素对参与者的安全相关行为产生了明显影响。

安全行为不仅依赖于知识传授,还高度依赖于个人风险评估和具体日常情境。用户并不总是按照政策规定行事,通常不是出于不愿意,而是因为其他因素占主导或被认为更重要。雄心勃勃的目标、时间压力和对顺畅协作的需求常常与抽象的安全要求相矛盾。这些利益冲突很快导致安全、IT和其他业务部门之间的紧张关系,最终危及安全文化。

安全负责人可以从三个方面入手应对这一问题

1. 理解用户

CISO应首先问自己,为什么用户不采取安全行为。多种因素在此起作用:例如,用户未意识到威胁、未看到安全行为的益处,或认为安全措施妨碍工作。可能存在与用户目标的利益冲突,或者他们面临时间压力。通常缺乏必要手段——例如,当规定要求与供应商和客户进行安全数据交换,但未为员工提供此类数据交换的平台或环境中的榜样。

在实施安全措施之前,识别和平衡不同利益相关者(IT部门、技术部门、管理层、行政部门、生产员工)的矛盾目标和优先级非常重要。这可以通过利益相关者分析来实现——一种从商业信息学中收集所有相关利益相关者偏好的方法。安全负责人越了解各部门的工作现实和目标,就越能设计出相应的安全措施,从而提高接受度并最终成功实施。

2. 以用户视角设计安全政策

不安全行为通常归咎于用户,但问题往往在于措施本身。IT安全研究通常关注用户的个体行为——例如,安全行为是否取决于人格特质。但忽略了安全措施与工作现实的匹配程度——即它们在日常生活中被接受的可能性。

对于每种威胁,通常有多种可用的安全措施。但实践中往往未考虑投入、接受度、兼容性或复杂性的差异。相反,安全或IT部门通常仅基于技术方面做出决策。

要建立有效的IT安全政策,这些政策不仅必须在技术上正确,还必须从员工角度显得合理和可行。关键在于同理心策略工程:安全要求应设计得易于理解、被接受,并与日常工作目标兼容。最好在早期阶段让员工参与开发,包括他们的目标冲突和实际挑战。

随后的试点有助于早期识别潜在的障碍和问题,并相应调整措施。从“早期采用者”开始是行之有效的——即对创新持开放态度并能提供建设性反馈的用户群体。这些反馈应在全面推广前予以考虑。这样可以形成一种有效且在日常生活中真正实践的安全文化。

3. 有意义地沟通:RESPECT方法

目前,安全措施和政策通常以无法在用户工作现实中引起共鸣的方式沟通,因为它们甚至不旨在让员工参与和激励:例如通过指令、标准在线培训或过于 playful 的格式如漫画,员工不会认真对待。RESPECT方法更有效:它侧重于平等沟通,而非禁令和惩罚。

关键区别:员工作为有能力、负责任的成年人被对待。核心是以同理心看待他们的需求和工作现实——同时不忽视安全目标。

有几种技术可以成功设计安全政策沟通并避免冲突:

  • 战术同理心:这创造认可,增强信任,从而使员工感到被倾听并愿意接受安全相关信息。
  • “帮助我帮助你”而非“不”:CISO可以通过有针对性的“如何”问题激励用户思考提议的解决方案,而不是强制执行安全要求。如果用户对安全要求有修改愿望,安全部门不应简单说“不”。询问员工自己建议如何既遵守安全要求又实现高效工作是有意义的。这样可以形成对话,并更容易找到对所有相关方都可接受的妥协。
  • 实践经验而非灰色理论:一种基于直接经验的培训概念,让参与者面对现实场景——例如网络攻击如钓鱼、勒索软件或USB攻击。他们在模拟中小型企业典型工作环境的现实环境中亲身体验网络攻击如何发生。从而形成对IT安全的深入、可持续理解。以人为本和体验为核心,而非说教。

结论:CISO作为有效安全文化的塑造者

许多安全措施效果不佳并不 solely 归因于用户——通常是由于不切实际的要求、缺乏参与和不足的沟通。对安全负责人来说,这意味着需要战略性的范式转变,而非依赖教育和制裁。他们应成为某种同理心政策架构师,其安全策略不仅在技术上有效,而且在人性上令人信服。他们设计框架条件,使安全决策自然融入日常工作。这需要良好的目标冲突感、平等沟通能力——以及将安全作为企业共同价值锚定的能力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次