做好信息安全 必须打造良好的企业安全文化

释放双眼,带上耳机,听听看~!
与破窗理论非常相似,不道德行为是会传染的,就像违规行为一样。如果公司雇员看到别人违反安全策略还不受到惩罚,他们也会尝试做同样的事。违规便逐渐被认同并成为常态。这就是不良安全文化的根源。

与破窗理论非常相似,不道德行为是会传染的,就像违规行为一样。如果公司雇员看到别人违反安全策略还不受到惩罚,他们也会尝试做同样的事。违规便逐渐被认同并成为常态。这就是不良安全文化的根源。

做好信息安全 必须打造良好的企业安全文化

好消息是,良好行为也会传染。这就是为什么安全文化必须要有强力上级管理支持的原因。榜样的力量就是改变公司安全认知的关键:如果雇员看到领导团队认真对待安全,他们自然也会跟进。

因此,安全人员应该重点关注认知层面上的安全。这一点在大卫·布鲁克斯的《社会动物》一书中以3个基本步骤勾勒出来:

1. 认知情况
2. 评估行动是否符合长远利益
3. 用意志力采取行动

认知——>评估——>行动

人们历来主要关注这一过程的后两步。但只依赖意志力是有局限性的。意志力就像肌肉,有力量,但也会萎缩。

至于作为决策过程的第二步,如果被提醒了潜在的负面影响,人们就很可能不采取行动了。

比如说某些毫无效果的艾滋宣传活动,只注重宣传艾滋的负面影响,最终根本无法改变人们的行为。

还有节食减肥失败案例,意志力和肥胖恶果根本挡不住躁动的食欲:“你可以告诉人们别吃炸薯条,向他们发放肥胖风险小册子……在不饿的时候,大多数人会选择不吃。但只要饿意上涌,理智的弦就断了,‘炸薯条给我来一打’这种想法拦都拦不住。”

同样的情况不仅仅适用于节食。员工想搞定工作而安全有所妨碍的时候,他们就会想要规避安全规定,无视这么做会给公司带来的风险。

这也就是认知是决策过程基石的原因。必须教导员工充分认识安全隐患,最小化违规的冲动。

在《陌生的自己》一书中,来自弗吉尼亚大学的蒂莫西·威尔逊指出:

社会心理学最持久的教训之一,就是行为改变往往发生在态度和情感改变之前。

安全人员必须认识到,改变用户行为的绝非某个单一事件,改变安全文化需要经常性的强化,要建立和维持住习惯。

《习惯的力量》一书中,作者查尔斯·杜希格讲述了美国铝业公司(Alcoa)CEO保罗·奥尼尔誓建全美最安全公司的故事。起先,这位新任CEO不谈利润率或其他财务相关数据指标的做法就让很多人十分困惑。他们看不出来奥尼尔‘零伤害’目标与公司业绩之间的联系。尽管如此,Alcoa的盈利在他上任1年之后便创了历史新高。到奥尼尔卸任,该公司年收入已比他刚上任时翻了5倍。而且,这家公司也成为了世界上最安全的公司之一。

杜希格用强调“基本习惯”的重要性,来解释这一现象。Alcoa的CEO将安全当成了一种习惯,并一直牢牢抓紧。

奥尼尔的目标是转型公司,但他不能仅仅是告诉人们改变自己的行为。他说:“这可不是大脑的运作模式。所以我决定自己要从专注于一件事情开始。如果我可以开始围绕一件事情打破习惯,整个公司就会受到波动。”

他追述了一起无视安全规程和警告标志维修机器而致亡事件。当时,他召开了紧急会议查明这起悲剧的起因。

他负起了这名员工死亡的个人责任,指出安全教育中的种种缺失。比如说,培训项目没有强调出员工不会因机器故障受罚的事实,也没有指出员工不应在报告经理前开始维修工作。

此事过后,策略进行了更新,员工也被鼓励提出安全改进建议。但是,工人们更进了一步,甚至还开始提出商业建议了。改变员工的安全习惯引出了一些创新性解决方案,强化了沟通,当然,也增加了公司收益。

安全人员应该理解社群动力学的重要性,并利用它来打造有效的安全文化。

他们还应谨记:正如“破窗”会激发违规,改变一个安全习惯也能激励整体迈向更好的行为模式。

 

给TA打赏
共{{data.count}}人
人已打赏
安全技术

SaaS浪潮已成海啸 这里是管理其风险的8种方法

2016-12-27 13:18:03

安全技术

解惑|威胁情报指南

2016-12-29 10:10:33

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索