作为我们公司网络安全团队的一员, 我曾经认为恐吓员工让他们遵守协议是最好的方法. 我们的团队会发出严厉的电子邮件,警告违反安全规定的可怕后果,并谴责任何犯错的人. 但是这种恐惧的气氛适得其反——人们隐藏问题而不是报告问题.
最后,我意识到有更好的办法. 为了在不诉诸恐惧策略的情况下创建最佳的安全文化,组织应该:
关注为什么
与其规定规则,不如解释为什么这些规则很重要. 强大的密码和更新的软件对于保护客户数据至关重要. 当员工了解他们的行为如何影响组织的安全时, 他们更有可能服从.
个人化
安全意识培训通常感觉很抽象,与日常工作脱节. 为了改变这一点, 组织可以根据他们团队的实际职责定制示例和场景. 使用同事的名字和部门特定数据等细节可以让培训感觉更相关、更吸引人.
激励的报告
而不是惩罚失误, 组织应该表扬那些敢于说出潜在问题的人. 例如, 当员工主动举报钓鱼邮件时, 我们应该感谢他们的警惕,让他们感到自豪而不是羞愧. 组织还可以为那些在安全方面做得更好的人提供奖励. 一点小小的认可会大有帮助.
合作解决方案
而不是简单地规定新的政策, 工作人员应参与头脑风暴会议,共同制定程序. 这有助于员工感到投入,而不是强迫他们遵守规则. 他们的洞察力也有助于改善政策,因为员工可能知道领导层忽视的实际挑战. 协作构建信任.
保持积极的态度
让员工从怀疑中受益,并将纠正作为学习机会是有帮助的. 而不是指责别人,错误或错误可以重新定义. 例如, 如果有人没锁好屏幕, 这可以作为一个机会,与那个人一起找出如何帮助每个人记住锁定他们的电脑. 值得注意的是,一个乐观的假设是如何改变谈话的.
结论
有了这些策略,团队可以从憎恨安全转变为拥护安全. 当员工知道他们的组织希望每个人都成功时, 它创造了一种文化,这种文化导致了强有力的保护——没有所有的恐惧.
编者按: 想要进一步了解这个话题,请阅读蒂姆·斯皮维最近在《澳门赌场官方软件》上发表的文章, “恐惧还是不恐惧:如何创造最佳的安全文化,” ISACA学报,第6卷,2023年.