过去，企业的IT安全专员只需发送一个“不要点击链接”的传阅邮件就能完成任务，现在这样的日子已经一去不复返了。他们必须走过一条跨越许多领域的“钢丝”，从IT到各种商业需要，再到人的管理，而最后这一点常被忽略。

　　思科的行为心理学家兼高级安全顾问伯吉斯（Chris Burgess）说：“IT不能离开人，但在IT经理和其客户（或者用户）之间经常会出现一条鸿沟。”这条鸿沟是许多冲突的根源，因为它的存在阻碍了双方之间的有效沟通，甚至还可能造成关系的疏远。

　　The Security Company的创始人兼董事会主席史密斯（Martin Smith）表达了与伯吉斯相同的观点：“不管你在公司上马的是一个多么了不起的安全系统，如果没人知道怎么用它，它就会出问题。这完全是人的因素在起作用。不幸的是，我见过的大多数IT安全官都没明白这个道理。安全培训不能只教点击对话框，还要让员工理解常见的规则，以及为什么要有这些规则。你必须把这变成员工日常生活的一部分，他们才能对你教的东西产生共鸣。”

 　　让员工对传达的政策感同身受显然是关键。和来自权威的其他命令一样，如果人们工作与生活的现实与政策要求的不一样，政策就会被忽略。

　　伯吉斯补充说，“你必须把各业务单位纳入安全政策中，否则，就有阻碍这些单位与安全政策合作的危险。例如，一名销售人员在为客户做演示时发现杀毒软件将在10分钟后开始扫描，机器将不能使用，这时你是宁愿他们拒绝扫描，还是关掉视频呢？”

　　史密斯相信，最实用的方法就是在传达安全政策时提供一个现实生活的类比。例如，他推荐在推广密码安全政策时鼓励用户把密码看作前门钥匙。“这样，人们就能对你告诉他们的事情产生共鸣，”史密斯说，“单纯只是说‘别把密码写在纸上’没什么用。但是让员工把密码与门钥匙这样的日常物品做类比，就会促使他们小心行事，并且令他们印象深刻。我常叫人把密码想象成牙膏—不能与别人分享，并且要放在安全的地方。”

　　解决沟通的相关问题

　　伯吉斯认为，问题根源往往是沟通渠道，而不是内容。“只把安全政策的要点写在邮件里发送出去是远远不够的。你必须把它当成一项营销活动来做，即要推销你的政策，而不只是陈述。”但这就是问题所在，因为政策通常是由具体部门设计和发布的，营销部门很少插手。

　　伯吉斯还说，“安全政策在全球被统一设计，又在地方被实施。确保这些安全政策与本地文化的混合和共鸣是关键。”

　　“这不但与整个企业大范围的文化有关，还与小范围的内部文化有关，如会计部门或人力资源部门的文化就与维护部门或IT部门的文化不同。每个部门处理信息的方式不同，想以不变应万变在这个问题上是行不通的。”

　　在过去十年间，教育模式发生了根本变革。口头学习法或书面学习法曾一度受到青睐，而现在普遍认为最好的学习结构是多感官学习。这又分为视觉、听觉和肌肉运动知觉（即边做边学）的学习。尽管有些人会优先选择其中某一种，但大多数人是在混合使用这些技巧时获得最佳的学习效果。

　　许多优秀的成|人学习课程会提供各种样式的学习材料。那么，企业为什么不这样处理调查问卷或者员工手册？许多教授各类课程的培训中心正开始使用神经语言程序学（NLP）这样的最新技术，来实现快速有效的学习，因为这些技术能让学员更快地对培训材料做出回应。

　　伯吉斯也同意应更多地采用这些方法：“作为业内人士，我们需要想办法改进安全沟通。比如利用视频来告诉员工怎么样是正确行事，怎么样是做得不对。再比如提供正面的行为榜样，而不要像过去一样只说一句‘别那样做’。”

　　Information Security Awareness Forum的主席金博士（Dr. David King）认为技术在新秩序中确有用武之地：“你需要用技术为员工指引正确的方向，让接受过程不那么痛苦。

　　“记住，员工每天要在不同的领域扮演不同的角色，在家是终端用户，在工作岗位上又更倾向技术角色。企业必须确保他们能够不用搜索内部网上的海量文件，就能找到每个角色的相关信息。让员工为这种信息搜索准备时间是行不通的。”

　　当然，传达已确定的政策只是挑战的一部分。起草政策本身就会引起问题。美富律师事务所（Morrison & Foerster）欧洲公司的合伙人贝维特（Ann Bevitt）认为，很多IT部门在制定并推出适应于全公司范围的政策时很容易失去方向。“在贯彻和执行公司政策时，一定要避免区别对待，”她说，“定期更新政策也很重要，两年前出|台的政策也许现在就毫无用处了。但是总的来说，最关键的问题是对政策起草本身不熟悉。IT运营单位要在起草安全政策时尽早与HR合作，这一点也很重要。你要知道，没有适当的结构，出|台的政策就无法实施。”

　　认识HR的作用

　　国际信息系统安全认证联盟(ISC2）的执行董事科利（John Colley）也相信，HR可以在政策的起草过程中发挥关键作用。“HR专业人员在推动安全信息、政策和流程中能发挥枢纽作用，”他说，“这很重要，因为员工每个小时都面临着各种能影响组织数据或其客|户|数|据安全性的决定。”

　　史密斯也同意这个意见。他常问大型组织：你们公司有多少员工从事安全工作？“我提这个问题时，绝大多数首席信息安全官（CISO）就开始报出他们部门的员工人数，然后加上公司的保安人数等等。这是错误的—全体员工都应成为企业安全系统的一部分。他们只要稍微改变一下行为习惯，比如出去喝茶时锁上办公室的门，或者（有礼貌地）验明没有明显身份通行证的人的身份，就能极大地提高组织安全程度，同时又不会造成大量成本。”

　　显然，沟通是问题的关键点。这不算什么新话题了，但是仍然没有得到应有的关注。尽管企业越来越重视有深度、有针对性的培训，但许多IT安全人士还是没能够很好地利用手头的资源。

　　不论大小，各种公司都能利用有效沟通的概念，只花费很少的成本购买一个入侵监测系统（IDS），就能提高公司安全性。要聪明地想问题，就从现在开始。

　　依赖员工

　　巴克莱集团（Barclays）的例子颇具启发性。作为一家国际知名的主要金融服务提供商，巴克莱从事零售和商业银行业务、信|用|卡、投资银行业务、财富管理和投资管理服务。遍及50个国家的15万员工为世界各地的4,200万个人和公司客户提供金融信息处理服务。

　　巴克莱的集团保密项目总监帕金（Julian Parkin）说：“我们管理大量的信息，所以必须负责任地处理这些信息。不能以为加密等技术就能彻底解决问题。我们需要切实可行的政策以及流程。”

　　巴克莱决定启动一个整合的内部活动，利用各种数字和传统媒体来提高集团内的保密意识。“我们举办了一个招标会，来了三家机构，”帕金说，“最后决定选择Blue Goose公司，因为它在多种媒体方面都有经验。”

　　Blue Goose为巴克莱设计的活动名叫Th!nk Privacy，意在激发员工思考数据保密和隐私的问题。他们在电梯里派发行李标签，在入口和出口处贴上便条贴，以培养和加强员工的安全意识。

　　“这个活动就是在人们行动的时候当场提醒‘想想你正带着什么’。许多人同意把数据留在火车上不对，但我们需要在他们这样做之前就提醒他们，”帕金说，“我们渴望让人们对这里的危险提高警惕，但不能过分强调，以致导致他们彻底切断与数据的联系。”

　　内部安全员工承担了笔记本电脑的大清扫工作，他们会在没收电脑之后留下一个类似停车罚单的通知。同时分发了一系列“环境媒体”，如印有活动标识的杯子等，他们还建立了一个内部微型网站。这个活动在两个业务单位启动，涉及的员工约一万人。而那个微型网站的浏览人数也不错，支持呼声很高。

　　另外，公司还委托制作了一系列电影短片，强调信息风险管理的五个关键步骤。巴克莱的信息风险管理副总监罗格斯顿（Mark Logsdon）说：“公司的信息风险政策有点过时了，要更新。我们先确定企业内的五大重要行为，如适当利用技术、管理密码和报告突发事件，然后把这些行为告诉一个名叫Twist and hout的制作公司。我们想做成轻松一点的办公室风格短片，每个短片又有各自独立的意义，不但能够一传十十传百地在公司内部传播，还能够用作其他用途，如培训。”

　　这些培养安全意识的项目都注重对结果的追踪。为达到此目的，巴克莱的团队正在准备建设一套指标，用以评估员工对安全和保密问题的理解程度。评估影响范围、理解程度及对行动的影响（如对突发事件的报告和应对）是关键。公司投资银行业务线的全球信息风险管理总监邦纳（Stephen Bonner）说：“我们现在的最终目标是建立一个指标仪表盘，但评估来自各类来源的各种数据将会花费一些时间，而且这还是个学习的过程。因为指标是这个企业里最被忽略的东西。”

　　原文由 Haymarket Management Publications Limited登记版权。姜晓珊译。

　　本中文版由世界经理人（www.ceconline.com）组织翻译并编辑。