诺贝尔经济学奖获得者、心理学家丹尼尔·卡尼曼曾提出了一个广为人知的理论:峰终定律(Peak-End Rule),也就是说人们对于一项体验的优劣评价,取决于过程里的峰值体验(不管是正向的还是负向的)或者最后的体验。
换句话说,如果在一段体验的高峰期和结尾时,体验是令人愉快的,那么对整个体验的感觉就会是愉快的。峰终定律在网络安全意识教育以及文化建设领域也是同样适用的,都能够通过营造正向的、积极的高峰时刻与结束时刻的体验,来增进员工的参与度、认同度和满意度。
网络安全周活动在全年的安全意识教育和安全文化建设过程当中,本身就是一个关键的时刻,是能够打造出峰值体验的重要契机。
要想推动网络安全文化变革真正落实,组织需要影响到内部的每一个人,而不是仅仅一两个人或者团队。要是只有一部分人参与,其他人就容易出现“风险敞口”。
安全周活动可绝不是仅仅一场宣传教育活动这么简单,更重要的是借着这个机会凝聚力量,把网络安全的声音从上面传到下面,传遍组织的每一个角落(赢得员工,因为网络安全文化离不开每一个人的支持),点燃员工对安全的激情和责任感,激发员工对安全的求知欲和兴趣,释放员工在安全方面的潜力和动能,认可员工在安全上的价值和积极作用,改进员工与安全团队的沟通和伙伴关系。
安全周员工参与度低,投资回报率不好衡量这种问题都已经是常说的事了(员工参与率常常是衡量安全周活动的一个重要指标),没有员工的高度参与,打造企业安全的“人力防火墙”那就根本没法谈了。
在策划和组织安全周活动的时候加入一些行为科学、创意和创新的元素,可以让全体员工度过一个难忘、愉快而且收获满满的安全周。
一、打破常规活动主题
国家层面的安全周主题是“网络安全为人民,网络安全靠人民”,这可能公众都很熟悉了,但太形式化了,也没什么新鲜感,从企业层面员工的感受来说,不够贴心,缺少参与活动的劲头。
安全团队最好能和品宣部门、人力资源部门、信息安全委员会以及工会等这些内部伙伴联合起来,去提升活动的影响力。依照企业现有的经营战略、文化风格还有安全目标,每年设定一个独特的、有创意创意的安全周活动主题和故事线。
就像:决战网络安全“光明顶”、超越时空的“网络安全卫士”、挖掘网络安全知识大宝藏、网络世界攻防作战大揭秘、点亮网络安全智慧树、争做自己的网络安全官等等,这样能让员工产生很强的安全使命感、归属感、好奇心和探索欲。要让内在的动力来引导,而不是强迫员工去参与。
二、突出个人收益与价值
网络安全意识,就是能够感知和识别出网络安全风险,然后主动去避开风险以及对风险做出回应的一种能力,它是一种底层的风险思维,也是一种普遍适用的生活技能,能让员工在网络世界里更有安全感,也更有信心去应对安全威胁。
安全团队得努力让员工清楚,在工作中学到的安全意识、知识和能力是能够转移和分享的,不但可以更好地保护自己和家人不受到网络威胁的影响,而且对于保护组织整体的安全也是特别重要的。
通过着重强调网络安全和个人利益的关联,就更有可能激发员工的内在动力,让他们积极去参与维护数字安全。
在设计安全周活动的时候,可以适当加进去一些关于个人安全、家庭安全的话题或者环节呀。比如说:怎么保护个人信息不被侵害、保护孩子和老人的信息安全、维护家庭网络环境的安全、社交媒体隐私的保护、假期旅行时候的网络安全、防范有 AI 加持的电信诈骗等等,这样能让员工感觉到安全团队也是在关心员工个人的网络安全呢。
还可以弄一个家庭网络安全专区,或者在安全周活动里设定一天是家庭安全日,甚至可以邀请员工的家人来参与体验。
三、以故事化激发情感共鸣
那要怎么让网络安全宣传真正走进人们心里,激起员工的情感共鸣呢?答案就在故事化这里。
人们很难靠逻辑或者讲道理去影响别人,可情感就能做到,好的故事里面就包含着能打动人的情感。故事的力量有两个方面:故事能提供模拟,也就是关于怎么行动的知识,故事还能提供启发,也就是行动的动机。模拟和启发都是以激发行动为最终目的的,所以,好的安全故事能让人产生安全行为。
故事化有这么三种策略:一种呢,是根据员工工作和生活里的真实故事,鼓励不同业务线不同岗位的员工亲自来讲讲,分享自己身边真实的网络威胁经历或者数据泄露高发的场景(可以通过投稿、演讲、表演、自拍视频等方式来呈现),说说自己的真实感受和经验,让其他员工主动去思考和反思;另一种是借鉴经典的人物或者历史典故,把它们改编成安全故事;还有一种是根据企业安全的 IP 形象,创作一系列工作场景以及生活场景的安全小故事、小案例。
四、以游戏化燃爆安全激情
安全周期间的游戏化属于“行为改变游戏化”,意思就是为了帮员工养成更好的网络卫生习惯,这样就能减少人为错误的出现。
游戏化有两种,一种是网络安全主题的小游戏(像什么弱口令射击呀、恶意软件扫雷呀、隐私保护酷跑呀、反钓鱼大侦探呀、办公安全大冒险等等),另一种是把游戏化的设计元素带到安全周活动里。比如说:积分呀、等级呀、徽章呀、排行榜之类的。
每一种游戏化元素都和一个或者多个心理机制有联系,像是挑战机制、成就机制、荣誉机制、竞争机制、合作机制等等,这样能让网络安全周活动变得更有意思也更有效果。
游戏化不光是提供了互动式的安全体验,让员工参与的热情提高了,更重要的是员工能在没有风险的环境里训练安全思维,通过实践和探索把安全技能和行为习惯给固定下来。
五、以体验式提升感官享受
以前那种听安全培训、看安全视频和海报、读安全手册、喊安全宣传口号的做法,常常让员工没什么深刻印象,甚至还会觉得网络安全和自己没关系,对网络威胁抱着侥幸心理。
通过 VR 或者 3D 来模拟威胁场景、用攻防设备模拟演示、搞交互式培训等等这些方式,就避免了以前那种死板枯燥的灌输式、说教式的安全意识培训,能让员工从视觉、听觉、触觉等各种感官全面地、多角度地去体验安全威胁,不再是被动地去接受安全信息,而是亲身参与并感受到黑客攻击和数据泄露的发生过程、后果以及防御措施,这样就能触动员工的安全意识觉醒,推动员工安全行为的养成。
行为科学研究都已经证实了,和传统培训相比,体验式学习的留存率和对行为的影响能提高 16 倍。
六、巧用激励传递安全温度
正向强化(奖励)比负向强化(处罚)更能激励员工形成和保持良好的安全行为。
平常的时候,员工对于安全、安全培训、安全团队、安全制度的感觉可能不太好(觉得安全太专业了、安全培训特别枯燥没意思、安全团队就是个总说“不行”的部门、安全制度又多又严格),安全周可是个改善员工和安全团队关系,传递安全温暖的好机会。让网络安全看上去不那么吓人,这一直都是个成功的策略呢。
员工可能会比较倾向于接受物质上的激励(小奖品当然是受欢迎的啦,但可不能过度把安全物质化了,花太多在奖品预算上,那些冲着物质激励来参加安全周活动的员工最后可能会因为奖品不好就没了参与的热情),不过真正能驱动员工的其实是精神激励,也就是他或者她在安全方面的贡献被组织认可了(公开的或者书面的表扬呀、颁发荣誉证书/奖状/徽章/头衔呀,这些能看到的指标表明了员工对网络安全的奉献和承诺,是继续维护网络安全的骄傲和动力呢)。
总结
每年 9 月份的网络安全宣传周可是一项很重要的年度提议,也是一次能掀起网络安全文化热潮的好机会。不同的组织可以按照现有的组织文化、安全预算、受众的特点之类的这些因素,专门为自己定制安全周活动,并且借着安全周的这股劲头,鼓励员工把好的安全思维和行为方式带到第四季度或者下一年去。
