无法改变行为的安全意识教育，都是在做无用功

无法改变行为的安全意识教育，都是在做无用功

引用

安全内参

1.

https://www.secrss.com/articles/41704

对于大多数组织来说，安全意识工作就是管理人的风险。为了管理人的风险，必须改变人的行为。某种程度上，不少组织或多或少开展了所谓的 “安全意识” 工作，无论是开展专项的安全意识宣贯活动还是与其他工作并行的活动 (为满足合规或审计要求参加的相关培训等)。公司的期望通常是：通过灌输安全意识可以使员工认真对待信息安全问题并采取相应合理行动，从而降低因人为错误/疏忽造成的安全风险；有助于更早地预防和检测到此类事件；为安全团队及时响应和修复争取时间；并降低安全事件带来的整体影响。

然而一些公司在安全意识工作上投入了大量时间、金钱和精力，却收效甚微。只是在形式上做了安全意识工作，最多是停留在知识、能力传递层面，而且这种知识、能力的保持是短暂的，也不确定或无法衡量员工是否会按照他们所学到的知识在实际工作生活中以安全的方式行事。员工作为成人学习者，学习过程会受到诸多不同因素的影响，如年龄、性别、职务、个性、心理、情绪、外界环境、同行或社会认同等。安全意识计划应该考虑到人是一种社会性动物，习惯性动物，应充分利用好社会心理学、教育学、组织行为学等科学知识，巧用认识理论、成人学习理论、变更/项目管理、沟通的艺术、激励的艺术等等。

安全意识计划经常是基于一些假定条件制定出来的，如员工对信息安全了解什么，不了解什么，应该知道什么，以及他们对信息安全的看法和感受。有人以为告诉了员工做什么员工就会积极配合，然而每个人都是独特的，每个人的学习偏好不同，喜欢以自己长期以来形成的不同学习方法来进行；参与意识活动的动机/动力不同；员工已掌握的知识/技能也是不一样的；不同的行为有不同的难度，有些行为容易改变，有些行为很难改变。员工在日常中可能会在某些特定情况下将安全制度/政策/最佳实践抛在了脑后，或想法绕开安全措施，如为了工作效率或便利性与他人共享账号信息，或在上司命令的情况下分享，或将工作资料存储到公有云，向个人邮箱发送工作资料等等。有的员工持有错误的安全观念 “这不可能发生在我身上”、“这不是我的事，是安全部门的责任”、“有防火墙/杀毒软件就可以保护我了 ”、“先把工作干完了再说安全的事儿” 等等。

想要有效地改变行为，需要了解人类行为背后的科学。 一个很好的参考是斯坦福大学 BJ Fogg 教授开发的一种简单而有效的改变人类行为的模型。通过理解这个模型，就可以明白为什么我们有很多关于意识工作的假设可能是不成立的。根据这个模型**“B (Behavior) = M(Motivation) × A(Ability) × T(Trigger) 行为 = 动机 × 能力 × 诱因”，要促使用户行为改变，需要有三个要素同时满足才会形成有效的转变：给用户足够的动机 (Motivation)，用户有能力完成转变 (Ability) ，需要有触发用户转变的诱因 (Trigger)，三者缺一不可，这一模型对于改变行为、培养习惯具有指导意义。养成新习惯，就是要代替旧习惯，所以，要选择简单、易行、易成功的“微习惯” (tiny habits)逐步代替旧习惯。改变行为的关键变量是动机和能力，越是增加任何一个变量，当适当的诱因触发时，就越有可能改变行为。**问题是大多数IT安全人员比非IT安全人员更有动力和激情去保持安全行为，IT安全人员认为很简单的行为对于大多数人而言想要做到却是如此困难，非IT安全人员参与安全的动机相对要低得多，在工作中甚至不考虑安全性，更多的是想着把自己的工作做完。（英国网络安全科学研究所 "RISCS" 主任 Dr. Angela Sasse 认为，不论对于组织还是个人而言，每一项行为都是有成本的。用户最在乎的是成本，当用户感觉做这件事破坏了他日常的习惯，会增加额外的成本时，就不容易促使他去做力所能及的事。)

BJ Fogg 行为模型很容易理解，比如培养健身的习惯：人们的动机可能是保持体型、吸引异性、更健康更长寿等。能力是具备健全的身体、一定的健身知识和技能和工具（有一定的场地条件和健身设施），诱因/触发点可能是体检时发现了身体的危险信号，或看到朋友在晒好身材的照片。但如果外面恰巧下雨，或健身房人满为患，可能就不会发生健身行为。

BJ Fogg 行为模型可应用于提高安全意识计划，该模式非常适合从个人层面入手，但如何扩展到组织层面？通过回答四个简单的问题，就可以制定出一份关于如何有效管理组织中人为风险的战略计划。

• 为什么：为什么网络安全对组织和个人员工都很重要？ 员工为什么要倾听，为什么要改变？
• 谁：想要改变谁的行为，不同目标群体是什么？ 组织内的不同部门/区域可能有完全不同的需求。
• 什么：组织中最重要的人为风险是什么？需要改变哪些行为来管理这些风险？
• 如何:如何传达/沟通这些新的行为，如何有效地吸引员工参与，如何衡量是否改变？

该模型的另一个好处是使得首席信息安全官/安全意识官 (CISOs/SAOs) 不再抱怨和责备员工的不安全行为问题，而是思考自己工作哪做的不到位，哪些方式方法需要调整和改进。安全意识计划的目标是降低风险，而不是消除风险。在实施安全意识计划时，要做好思想准备：并不是每一名员工都会按预期改变不安全行为，但不要因此感到沮丧和受挫，要利用这个机会来学习和改进。可以通过访谈或问卷调查的方式了解某一部门或个人为什么没有发生期望的行为，可以从该模型的三要素出发：

• 动机：部门或个人是否有足够动力（内在动力和外在动力）去做出改变？也许他们还不理解安全对于组织或他们自身的重要性？或者，尽管他们确实了解到了安全的重要性，但相比而言，他们更有动力将本职工作完成，更关心工作效率/工作业绩，而有意无意地将安全的优先级降低。
• 能力：即使员工有动力改变行为，他们是否掌握了必要的知识和能力？他们是否得到了他们想要的、有用的培训，培训内容是不是以他们易于接受的方式呈现，他们是否有工具来配合安全工作？
• 诱因：当发生安全事件时，员工是否知道或记得如何识别和报告风险？我们张贴的海报是否要放在更明显的位置、发出的内部通讯是否要更令人容易记住，而不是信息铺天盖地、推送频率间隔多长时间？

行为科学表明，鉴于诸多变量，预测、控制或改变人们的行为是非常困难的。如何设计出一个让所有员工产生共鸣的安全意识计划确实棘手。只有在实践中不断总结经验教训，首席信息安全官/安全意识官 (CISOs/SAOs) 才能真正做好安全意识工作。