诺贝尔经济学奖得主、心理学家 Daniel Kahneman 曾提出了一个知名理论:峰终定律(Peak-End Rule),即人们对于一项体验的好坏评价,取决于过程中的峰值体验(无论是正向的还是负向的)或最后的体验。也就是说,如果在一段体验的高峰和结尾,体验是愉悦的,那么对整个体验的感受就是愉悦的。峰终定律在网络安全意识教育与文化建设领域也同样适用,都可以通过创造正向的、积极的高峰时刻与结束时刻体验,来提升员工的参与度、认同度和满意度。
网络安全周活动在全年安全意识教育与安全文化建设过程中本身是一个关键时刻,是一个可以打造出峰值体验的重要时机。想要推动网络安全文化变革落地,组织需要影响的是内部的每一个人,而不是一两个人或团队。如果只有一部分人参与,其他的人就容易形成“风险敞口”。安全周活动绝不仅仅是一场宣传教育活动,更为重要的是借此机会凝心聚力将网络安全的声音从上至下传遍组织的每一个角落(赢得员工,网络安全文化离不开每一个人的支持),点燃员工的安全激情与责任感,激发员工的安全求知欲与兴趣,释放员工的安全潜力与动能,认可员工的安全价值与积极作用,改善员工与安全团队的沟通与伙伴关系。
安全周员工参与度低,投资回报率不好衡量的问题已是老生常谈(员工参与率常常是衡量安全周活动的一个重要指标),没有员工的高度参与,打造企业安全的“人力防火墙”就无从谈起。在策划和组织安全周活动时加入一些行为科学、创意和创新元素,让全体员工度过一个难忘的、愉快的、收获满满的安全周。
一、打破常规活动主题
国家层面的安全周主题是“网络安全为人民,网络安全靠人民”,虽然公众可能耳熟能详但过于形式化且缺乏新鲜感,在企业层面员工的感受来说不够走心,缺少参与活动的动力。安全团队最好是联合品宣部门、人力资源部门、信息安全委员会和工会等内部合作伙伴提升活动影响力。根据企业现有经营战略、文化风格和安全目标,每年设定一个独特的、有创意的安全周活动主题和故事线。例如:决战网络安全“光明顶”、超越时空的“网络安全卫士”、发掘网络安全知识大宝藏、网络世界攻防作战大揭秘、点亮网络安全智慧树、争做自己的网络安全官等等,让员工产生强烈的安全使命感、归属感、好奇心和探索欲。让内在动机引领,而不是强制员工参与。
二、突出个人收益与价值
网络安全意识是感知与识别网络安全风险并主动回避与响应风险的一种能力,它是一项底层的风险思维,一种普适的生活技能,能够使员工在网络世界更有安全感,更有信心应对安全威胁。安全团队应努力让员工明白在工作中所学到的安全意识、知识与能力是可转移的、可分享的,不仅可以更好地保护自己和家人免受网络威胁的影响,同时对保护组织的整体安全也至关重要。**通过强调网络安全的个人利益相关性,更有可能激****发员工的内在动机,****积极参与维护数字安全。**在设计安全周活动时,可以适当加入个人安全、家庭安全的话题或环节。例如:如何保护个人信息免受侵害、保护孩子和老人的信息安全、维护家庭网络环境安全、社交媒体隐私保护、假期旅行中的网络安全、防范AI加持的电信诈骗等等,让员工感受到安全团队也在关心员工个人的网络安全。还可以设置一个家庭网络安全专区或在安全周活动中设置一天家庭安全日,甚至邀请员工的家人参与体验。
三、以故事化激发情感共鸣
如何让网络安全宣贯更加深入人心,激发员工的情感共鸣呢?答案就在于~故事化。人们很难通过逻辑或讲道理去影响他人,情感却能能做到这一点,好的故事就包含着打动人的情感。故事的力量具有两个层面:故事提供了模拟,即有关如何行动的知识,故事还提供了启发,即行动的动机。模拟和启发都是以激发行动为最终目的的,因此,好的安全故事能让人产生安全行为。故事化有三种策略:一种是基于员工工作与生活中的真实故事,鼓励不同业务线不同岗位的员工现身说法,分享自己身边的真实网络威胁经历或数据泄露高发场景(通过投稿、演讲、表演、自拍视频等方式展现),讲讲自己的真实感受、经验,引发其他员工主动思考和反思;另一种是借鉴经典人物或历史典故,改编成安全故事;还有一种是基于企业安全IP形象,创作一系列工作场景及生活场景的安全小故事、小案例。
四、以游戏化燃爆安全激情
安全周期间的游戏化属于“行为改变游戏化”,即旨在帮助员工形成更好的网络卫生习惯,从而降低人为错误的发生。游戏化有两种;一种是网络安全主题小游戏(如弱口令射击、恶意软件扫雷、隐私保护酷跑、反钓鱼大侦探、办公安全大冒险等),另一种是结合游戏化设计元素带入安全周活动中。例如:积分、等级、徽章、排行榜等等。每一种游戏化元素都与一个或多个心理机制相连,如挑战机制、成就机制、荣誉机制、竞争机制、合作机制等等,使网络安全周活动变得更有趣和有效。游戏化不仅提供了交互式安全体验,提高了员工的参与热情,更为重要的是员工可以在无风险环境中训练安全思维,通过实践和探索固化安全技能与行为习惯。
五、以体验式提升感官享受
以往听安全培训、看安全视频和海报、读安全手册、喊安全宣传口号,往往让员工印象不深,甚至还会觉得网络安全与己无关,对网络威胁存有侥幸心理。通过VR或3D模拟威胁场景、攻防设备模拟演示、交互式培训等方式,避免以往呆板枯燥的灌输式、说教式安全意识培训,让员工从视觉、听觉、触觉等感官全方位、多角度体验安全威胁,不再是被动接受安全信息,亲身参与和感受到黑客攻击与数据泄露的发生过程、后果和防御措施,从而触动员工的安全意识觉醒,促进员工的安全行为养成。行为科学研究已经证明,与传统培训相比,体验式学习的留存率和行为影响可以提高16倍。
六、巧用激励传递安全温度
正向强化(奖励)比负向强化(处罚)更能激励员工形成和保持良好的安全行为。平时员工对于安全、安全培训、安全团队、安全制度的感受可能是负面的(安全过于专业性、安全培训是枯燥乏味的、安全团队是一个“Say No”的部门、安全制度太多太严),安全周是一个改善员工与安全团队关系,传递安全温度的好时机。让网络安全看起来不那么令人生畏,永远是一个成功的策略。员工可能会倾向于接受物质激励(小奖品固然受欢迎,但不可过度将安全物质化而花费太多奖品预算,冲着物质激励而参与安全周活动的员工最终会因奖品不好而失去参与热情),但真正驱动员工的是精神激励,即他或她的安全贡献被组织所认可(公开的或书面的表扬、颁发荣誉证书/奖状/徽章/头衔,这些视觉指标表明了员工对网络安全的奉献和承诺,是继续维护网络安全的骄傲和动力)。更多激励技巧,请参考本公众号历史文章:打造网络安全文化,奖励有效还是惩罚更有效?
总结
每年9月份的网络安全宣传周是一项重要的年度倡议,是一次掀起网络安全文化热潮的良好契机。不同组织可根据现有组织文化、安全预算、受众特点等因素量身定制安全周活动,并借助安全周的势头,激励员工将良好的安全思维与行为方式带入第四季度或下一年度。
关于网络安全意识教育、网络安全文化建设、网络安全周活动策划/设计/组织,欢迎咨询!
分享·赋能·共进**:**
欢迎扫码入群,这里有最新的“人为因素”安全风险管理、网络安全意识教育、网络安全文化建设方法论与实战经验,同步国际同行最新发展趋势,优秀企业网络安全文化游学,网络安全文化沙龙活动.......****🤗_你我共同参与,让“人为因素”不再成为网络与数据安全短板,让网络安全文化蔚然成风,让企业网络安全意识教育与网络安全文化建设少走弯路!!!
_
