做好資訊保安 必須打造良好的企業安全文化

2021-09-23 07:00:23 字數 1651 閱讀 3361

與破窗理論非常相似,不道德行為是會傳染的,就像違規行為一樣。如果公司雇員看到別人違反安全策略還不受到懲罰,他們也會嘗試做同樣的事。違規便逐漸被認同並成為常態。這就是不良安全文化的根源。

好訊息是,良好行為也會傳染。這就是為什麼安全文化必須要有強力上級管理支援的原因。榜樣的力量就是改變公司安全認知的關鍵:如果雇員看到領導團隊認真對待安全,他們自然也會跟進。

因此,安全人員應該重點關注認知層面上的安全。這一點在大衛·布魯克斯的《社會動物》一書中以3個基本步驟勾勒出來:

1. 認知情況

2. 評估行動是否符合長遠利益

3. 用意志力採取行動

認知——>評估——>行動

人們歷來主要關注這一過程的後兩步。但只依賴意志力是有侷限性的。意志力就像肌肉,有力量,但也會萎縮。

至於作為決策過程的第二步,如果被提醒了潛在的負面影響,人們就很可能不採取行動了。

比如說某些毫無效果的愛滋宣傳活動,只注重宣傳愛滋的負面影響,最終根本無法改變人們的行為。

還有節食**失敗案例,意志力和肥胖惡果根本擋不住躁動的食慾:「你可以告訴人們別吃炸薯條,向他們發放肥胖風險小冊子……在不餓的時候,大多數人會選擇不吃。但只要餓意上湧,理智的弦就斷了,『炸薯條給我來一打』這種想法攔都攔不住。」

同樣的情況不僅僅適用於節食。員工想搞定工作而安全有所妨礙的時候,他們就會想要規避安全規定,無視這麼做會給公司帶來的風險。

這也就是認知是決策過程基石的原因。必須教導員工充分認識安全隱患,最小化違規的衝動。

在《陌生的自己》一書中,來自維吉尼亞大學的蒂莫西·威爾遜指出:

社會心理學最持久的教訓之一,就是行為改變往往發生在態度和情感改變之前。

安全人員必須認識到,改變使用者行為的絕非某個單一事件,改變安全文化需要經常性的強化,要建立和維持住習慣。

《習慣的力量》一書中,作者查爾斯·杜希格講述了美國鋁業公司(alcoa)ceo保羅·奧尼爾誓建全美最安全公司的故事。起先,這位新任ceo不談利潤率或其他財務相關資料指標的做法就讓很多人十分困惑。他們看不出來奧尼爾『零傷害』目標與公司業績之間的聯絡。儘管如此,alcoa的盈利在他上任1年之後便創了歷史新高。到奧尼爾卸任,該公司年收入已比他剛上任時翻了5倍。而且,這家公司也成為了世界上最安全的公司之一。

杜希格用強調「基本習慣」的重要性,來解釋這一現象。alcoa的ceo將安全當成了一種習慣,並一直牢牢抓緊。

奧尼爾的目標是轉型公司,但他不能僅僅是告訴人們改變自己的行為。他說:「這可不是大腦的運作模式。所以我決定自己要從專注於一件事情開始。如果我可以開始圍繞一件事情打破習慣,整個公司就會受到波動。」

他追述了一起無視安全規程和警告標誌維修機器而致亡事件。當時,他召開了緊急會議查明這起悲劇的起因。

他負起了這名員工死亡的個人責任,指出安全教育中的種種缺失。比如說,培訓專案沒有強調出員工不會因機器故障受罰的事實,也沒有指出員工不應在報告經理前開始維修工作。

此事過後,策略進行了更新,員工也被鼓勵提出安全改進建議。但是,工人們更進了一步,甚至還開始提出商業建議了。改變員工的安全習慣引出了一些創新性解決方案,強化了溝通,當然,也增加了公司收益。

安全人員應該理解社群動力學的重要性,並利用它來打造有效的安全文化。

他們還應謹記:正如「破窗」會激發違規,改變乙個安全習慣也能激勵整體邁向更好的行為模式。

保護企業資料資訊保安應做好哪些安全服務?

企業物件認證安全服務 企業對一項認證安全服務用於識別物件的身份並驗證。企業訪問控制安全服務 企業訪問控制安全服務提供對未授權使用資源的防禦措施,訪問控制可分為自主訪問控制,強制訪問控制,基於角色的訪問控制,可以通過基於訪問控制屬性的訪問控制表,基於安全標籤或使用者和資源分黨的多級訪問控制等實現。企業...

中美企業聯手打造 資訊保安體系

中國浪潮集團與美國迪堡公司 日舉辦合資合作簽約儀式,成立全新合資公司 浪潮金融技術服務 聯手拓展國內 資訊保安市場,致力於提供全系列的金融自助服務終端及解決方案。隨著全球金融服務業的快速發展,未來數年國內 市場將保持兩位數的穩定增長,達到百億元的規模。業內人士指出,此次中美科技企業聯手,將有利於整合...

小議本企業的「企業資訊保安」

本篇文章版權由ecf 和hp所有 我目前工作的企業是一家香港上市的 年銷售收入20億左右的大型企業 並且該企業在資訊化方面做得也不錯,有專門的資訊化團隊 電腦網路小組 erp小組。但是在裡面工作的兩年當中發現企業資訊保安方面做得 歪曲 了,它一味只追求 控制 沒有半點效率和適宜性。首先,我們共同來看...