人性化安全工程：提升员工安全意识的秘诀

在企业网络安全实践中，IT安全指南的落地往往面临一道隐性却顽固的阻力：员工普遍将其视为业务效率的“绊脚石”或脱离实际的“纸面规则”。这一认知偏差不仅让安全规范陷入“落地难、效果弱”的困境，更直接加剧了安全部门与业务部门之间的协作鸿沟。最终，网络安全非但未能成为业务发展的“护航者”，反而被贴上“障碍者”的标签——这种深层次的认知错位，本身就是企业最隐蔽的重大安全隐患。

对于CISO而言，这意味着安全工作的核心命题已超越单纯的技术规范制定：如何打破“安全与业务对立”的固有认知，赢得全员发自内心的认同与践行，成为破局的关键。而人性化政策设计与战略性安全沟通的双轮驱动，正是破解协作困局、培育可持续安全文化的核心路径，更是推动安全从“被动合规”走向“主动共建”的必由之路。

IT安全：工作压力与社会影响

许多安全部门认为，用户遵守安全指南的积极性不高。因此，企业往往依赖制裁措施和安全意识培训来强制员工合规。然而，一项为期两天、旨在研究安全设计对用户合规行为影响的实验显示：尽管参与者最初对安全指南持积极态度，但在工作压力不断增大的情况下，这些指南会逐渐被视为一种阻碍，进而导致违规行为愈发频繁。由此可见，压力和情境因素对参与者的安全相关行为产生了显著影响。

因此，安全行为并非仅源于知识传递，还在很大程度上取决于个人风险评估和具体的日常工作场景。实际上，用户并非总能按照指南要求行事——这通常并非出于不情愿，而是因为其他因素的重要性被认为更高或更具优先性。例如，宏伟的工作目标、时间压力以及无缝协作的需求，往往与抽象的安全要求存在冲突。这些利益冲突会迅速引发安全部门、IT部门与其他业务部门之间的紧张关系，最终危及安全文化的构建。

对此，安全管理者可以通过关注以下三点来应对这一问题：

01开展利益相关者分析

CISO首先应思考：用户为何未能采取安全行为？这背后往往涉及多种因素：例如，用户可能未意识到相关威胁，可能看不到安全行为的益处，或认为安全措施阻碍了工作推进；也可能存在与用户自身目标的利益冲突，或是用户面临时间压力。此外，资源匮乏也可能是原因之一——例如，法规要求与供应商和客户进行安全的数据交换，但企业未为员工提供相应的数据交换平台；亦或是周围缺乏可效仿的榜样。

因此，在实施安全措施之前，关键是识别并平衡不同利益相关者群体（IT部门、技术部门、管理层、行政部门、生产人员等）之间相互冲突的目标和优先事项。这一目标可通过利益相关者分析实现——这是一种源自企业信息学的方法，用于确定所有相关利益相关者的偏好。安全管理者对各部门的工作实际和目标了解得越深入，就越能针对性地制定安全措施，进而提高措施的接受度，最终确保落地成功。

02以用户为中心设计安全指南

不安全行为往往被归咎于用户，但问题的根源常常在于安全措施本身。在IT安全研究中，焦点往往集中在个体用户行为上——例如，安全行为是否取决于个性特征。而安全措施是否真正贴合工作实际（即能否在日常工作中被广泛接受）这一关键问题，却常常被忽视。

实际上，针对每一种威胁，通常存在多种可用的安全措施。但在实践中，这些措施在实施难度、接受度、兼容性或复杂性方面的差异往往未被充分考虑。相反，安全部门或IT部门往往仅基于技术层面做出决策。

要制定有效的IT安全政策，不仅需要确保其技术层面的合理性，还必须从员工的角度出发，保证其具备合理性和实用性。核心在于人性化政策设计：安全指南的制定应确保其易于理解、能够被接受，且与日常工作目标相兼容。实现这一目标的最佳方式是让员工尽早参与到指南的制定过程中——充分考虑他们面临的目标冲突和实际挑战。

此外，后续开展试点项目有助于及早发现潜在问题和障碍，并对措施进行相应调整。从“早期采纳者”（即对创新持开放态度、后续能提供建设性反馈的用户群体）入手被证明是有效的做法，这一点应在大规模推广前予以考虑。通过这种方式，才能培育出真正有效且能在日常工作中落地践行的安全文化。

03以尊重的态度进行沟通

当前，安全措施和指南的传达方式往往无法贴合用户的工作实际，因为这些方式并未旨在让员工参与其中并激发其积极性——例如，它们可能表现为单向的指令通知、标准化的在线培训，或是过于娱乐化的形式（如漫画，员工通常不会认真对待这类内容）。相比之下，“尊重式沟通法”则被证明更为有效，因为它基于平等对话，而非单纯依靠禁令与惩罚。

其中的核心差异在于：在此模式下，员工被视为有能力、有责任心的成年人。因此，沟通的重点是共情式地理解他们的实际需求和工作情境——同时并不忽视最终的安全目标。

具体而言，以下几种技巧有助于成功传达安全政策并能有效避免冲突：

1、策略性共情：这种方式旨在建立认同感与增强信任。通过展现对员工处境的理解，能确保他们感受到被倾听，从而更愿意接受相关的安全信息。

2、“助我助你”而非“不行”：CISO不应强制推行安全要求，而可以通过提出有针对性的“如何”类问题，来鼓励用户共同思考解决方案。当用户对安全要求提出变更请求时，安全部门不应直接拒绝，而是可以主动询问员工是否有两全其美的建议。这种方式有助于开启建设性对话，从而更容易找到各方都能接受的折中方案。

3、实践体验而非枯燥理论：基于直接体验的培训理念让参与者直面真实威胁场景——例如钓鱼攻击、勒索软件或USB攻击。通过在模拟的真实工作环境中亲身体验攻击过程，参与者能够形成对IT安全更深刻和持久的理解。此类方法摒弃了单向讲座，转而聚焦于人及其切身感受，从而提升培训的实际效果。

CISO是有效安全文化的塑造者

许多安全措施成效有限，其原因实际上并不仅仅在于用户——更多时候是由于要求不切实际、员工缺乏参与度以及沟通不足所导致。因此，对于安全领导者而言，这意味着需要进行一次战略性的范式转变，而不能仅仅依赖传统的培训教育与制裁手段。

具体而言，他们应努力成为“人性化政策架构师”，其核心任务是确保所制定的安全策略不仅具备技术上的可行性，更要在人文层面引起共鸣。这要求他们构建一个合适的框架，使得安全决策能够自然而然地融入员工的日常工作中。为实现这一目标，领导者必须敏锐地洞察各类目标冲突，始终坚持平等对话的沟通原则，并最终将安全内化为企业全体成员共同认可的核心价值。

而说到“实践体验而非枯燥理论”，企业得明白这是打破安全培训流于形式、真正深化员工安全认知的关键——通过模拟钓鱼攻击、勒索软件入侵等真实工作场景，让员工亲身感受威胁发生的全过程，远比单向的讲座或娱乐化的宣传更能形成持久的安全意识，这也是尊重式沟通中“聚焦人及其切身感受”的核心体现。

结语

总而言之，企业网络安全建设的破局关键，从来都不在于严苛的禁令与强硬的制裁，而在于能否打破“安全与业务对立” 的认知壁垒，让安全规则真正扎根于业务场景、贴合员工的工作实际。从开展利益相关者分析、平衡多方诉求，到以用户为中心设计安全指南、吸纳一线声音，再到践行尊重式沟通、推广体验式培训，这些路径的核心指向，都是让安全从 “自上而下的硬性要求”，转变为 “全员认同的自觉行动”。

这一转变，既要求 CISO 完成从 “规则制定者” 到 “人性化政策架构师” 的角色升级，更需要企业摒弃 “重理念、轻实操” 的误区，尤其要关注中小企业在定制化演练、专业团队建设上的现实困境，为安全文化落地打通最后一公里。唯有让安全融入业务、服务业务，让每一位员工都成为安全防线的共建者，才能真正扭转安全 “绊脚石” 的刻板印象，让网络安全从隐蔽的隐患，转变为企业稳健前行的坚实护航者。

加入诸子云知识星球获取更多“安全意识资料”和“网络安全报告”

原文地址：

https://www.csoonline.com/article/4092639/empathy-meets-it-security-the-path-to-active-compliance.html

作者：

Heiko Roßnagel  弗劳恩霍夫工业工程研究所（IAO）身份管理团队负责人

文章来源：安在