让员工拥抱网络安全的三大关键:从技术实施到人文策略

本文探讨了企业网络安全政策常遭员工抵触的原因,并提出了三大解决方案:进行全面的利益相关者分析、设计以用户为中心的安全指引,以及建立尊重平等的沟通方式,从而有效提升员工的安全意识与合规性,构建持久的安全文化。

Trois clés pour embarquer les employés dans la cybersécurité

Heiko Rossnagel, CSO (adapté par Emmanuelle Delsol) , publié le 04 Décembre 2025

用户常常将IT安全政策视为障碍。一种富有同理心的网络安全政策工程能帮助首席信息安全官(CSSI)促进员工接纳政策并有效实施安全措施。

仅部署技术不足以实现有效的网络政策。与用户协作,使该政策适应工作时间,同样是不可或缺的。(图片来源:Pixabay/Mohamed Hassan)

在许多公司,IT安全指令遭遇员工的抵制,他们认为这些指令繁琐或不切实际。这种情况使得政策实施变得复杂,损害了其有效性以及安全部门与业务部门之间的协作。因此,网络安全非但没有被视为盟友,反而常常被看作障碍,甚至矛盾地被视为重大安全风险。对CISO而言,这意味着员工的日常接纳与技术指令同等重要。一种基于网络安全政策同理心工程和战略性安全沟通的新方法,有助于建立持久的安全文化。

许多IT部门认为用户缺乏遵守安全程序的动力。为了推动团队遵守规则,公司采用培训、安全意识教育甚至处罚措施。然而,一项为期两天、旨在观察安全设备设计对用户合规能力影响的实验显示,参与者最初对网络指令持积极态度,但在日益增大的日常工作压力下,他们越来越将其视为障碍。这种态度导致了越来越频繁的既定指令违规行为。

工作压力和情境对员工的网络安全行为产生了显著影响。因此,对企业安全的行为不仅取决于知识的获取,还在很大程度上取决于每个个体对日常具体情境和风险的评估。当用户不遵守指令时,很少是出于缺乏意愿,更多是因为其他因素占了上风。雄心勃勃的目标、时间压力或顺畅协作的需求,常常与看似更抽象的安全要求发生冲突。

应对拒绝网络安全政策的三种方法

这些利益冲突很快会在CISO、CIO和其他部门之间引发紧张关系。长远来看,这会损害真正安全文化的建立。但CISO可以通过在三个方面采取行动来解决这个问题。

1. 研究所有利益相关方的情况 CISO必须首先分析用户不采取安全行为的原因。涉及多种因素。例如,他们可能没有意识到威胁的严重性,没有看到安全行为的好处,或者认为安全措施阻碍了他们的工作。遵守网络安全规则也可能与用户的首要目标发生冲突,而用户通常也有很强的时间限制。通常,资源也根本不足。例如,如果法规要求与供应商和客户进行安全数据交换,但员工没有相应的交换平台;或者,在他们的环境中缺乏可供效仿的"榜样"。

在实施安全措施之前,识别这些目标,并将其与不同利益相关方(IT部门、技术部门、总管理层、行政部门、生产部门等)有时相互矛盾的优先级进行权衡是很重要的。例如,管理信息学中使用的"利益相关者分析"方法可以确定每个人的偏好。安全负责人越了解工作现实和不同部门的目标,就越能调整安全措施,从而促进团队的接纳,最终实现成功实施。

2. 设计以用户为中心的安全指令 风险行为常常归咎于用户,而问题往往在于措施本身。网络安全研究也常常指责个人行为。例如,研究探索特定安全行为与某些人格特质之间的关联。而安全措施是否适合工作实际、以及因此在日常中被接受的问题,则常常被忽视。

为了防范威胁,通常需要多种类型的安全措施。然而,在部署之前,IT或网络安全团队很少考虑用户对这些工具的接受度差异、应用它们所需付出的努力、这些措施与其工作的兼容性,或者工具的复杂程度。CISO或CIO通常仅根据技术标准做出决策。然而,网络安全政策成功的关键也在于其同理心工程:安全指令的设计必须易于理解、被接受,并与日常工作目标兼容。

实现这一目标的最佳途径是在网络安全政策制定过程的初期就吸纳员工参与。随后的试点项目将有助于快速识别任何剩余的障碍,并相应调整措施。最有效的方法是先从那些最愿意接受创新并能提供建设性反馈的先驱用户开始。

3. 以尊重和平等的态度进行沟通 安全措施和指令的传达方式常常与用户的职业现实脱节,因为它们的目的并非吸引和激励员工。大多数时候,它们是以指令列表、标准在线培训或过于游戏化的形式(如漫画)出现,员工不会认真对待。一种基于尊重、平等沟通的方法,而非禁令和处罚,被证明更为有效。本质区别在于:员工被视为有能力的、负责任的成年人。

重点在于同理心地理解他们的需求和职业现实,同时又不忽视安全目标。有几种技术可以有效地沟通安全政策并避免冲突。以下是三种:

  • 战术同理心。旨在认可需求,增强信任,从而确保员工感到被倾听,并愿意接受安全相关信息。
  • “帮助我来帮助你"的技巧,而非断然的"不”。与其强制推行安全措施,CISO应就"如何做"提出有针对性的问题,以促使用户思考提出的解决方案。如果用户对安全要求有修改请求,网络安全团队不应只说"不"。更有益的做法是直接询问员工,他们有什么建议可以在遵守安全要求的同时完成有效的工作。这创造了真正的对话,并促进了为所有相关方寻找可接受的折衷方案。
  • 实践经验而非枯燥理论。基于直接体验的培训让参与者面对真实的场景,例如网络钓鱼、勒索软件或USB密钥攻击等网络攻击。他们在模拟典型工作场所的现实环境中,直接体验攻击的过程。这有助于获得深入且持久的IT安全理解。重点从说教式课程转向人员及其体验。

CISO:有效安全文化的塑造者

许多安全措施效果不彰,不能完全归咎于用户的参与。这通常是由于不切实际的要求、缺乏参与和沟通不足造成的。这意味着,与其依赖培训和处罚,网络安全团队必须成为某种同理心政策的架构师,其安全策略不仅在技术上有效,而且在人文层面上也贴切。他们创建了使安全决策自然地融入日常工作的框架。这需要很好地理解有时相互矛盾的目标、公平的沟通能力,以及将安全作为企业共享价值来锚定的能力。

文章有误?欢迎提出更正建议

文章由 Heiko Rossnagel, CSO (改编:Emmanuelle Delsol) 撰写

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次