当前位置: 首页>>优优 >>专家建议是政策是问题

专家建议是政策是问题

添加时间:    


想象一下你公司的一名雇员离开他们的车,到达你的办公大楼。不管它是谁,但是为了更清楚地将场景可视化,假定它是一个保守的人,也许在社会上是无能为力的。也许这是会计中的“套装”之一。

现在想像这个员工走过你的办公室的停车场。就在他走到停车场的边缘时,他经过一个陌生人 - 一个人穿着两个巨大的腿脚向门口走去。也许那个陌生人正在用两个笨拙的大拐杖走路 - 也许是想抓住一个公文包或咖啡,同时爬上路边走到人行道上。这个陌生人正在慢慢地移动,显然很难过。

现在想象一下,你的员工走过那个陌生人 - 他把他从人行道上传到了大楼门口。他挥动徽章,打开门,让自己进来。陌生人在他身后站起来,就在这个陌生人要去跟随雇员穿过门时,雇员关上陌生人的门,走开了。

你觉得那个场景怎么样?你最初的“直觉”反应是什么?由于没有理解员工行为的背景,对于大多数人来说,最初的反应是非常明确的:他们发现员工的行为是离谱的。大多数人会 - 至少是 - 用拐杖为陌生人敞开大门。有些人甚至可以多走一些路,并抓住陌生人的公文包,这样他就可以轻松起来。

44​​313531然而,如果我们公司有禁止“追尾”进入大楼的政策(即让两个人只用一次徽章刷卡)呢?如果是这样的话,也许从公司安全策略的角度来看,我们的员工确实会是“正确”的事情。但是,尽管有这样的背景 - 即使公司的政策说你应该关上那个陌生人的脸 - 你觉得这样做会怎么样呢?它会自然而然地做到这一点?或者你会觉得自己是个混蛋?

我们在安全方面经常没有意识到的是,尽管我们认识到我们确实做的是正确的事情,但是我们大多数员工仍然对那种对待陌生人的“错误”有着同样的内疚反应。这种内心的反应 - 人性的这个方面 - 将慢慢地破坏我们的公司政策,使我们处于比根本没有任何政策更糟糕的境地。但是,通过理解人性的作用,我们可以预见员工将如何回应我们的政策,并设定使用人性来加强自我,并使政策更强而不是更弱的控制。这仅仅是提前计划,并对员工的行为保持开放的问题。

对我来说,真正有意思的事情(以及我把这些事情放在首位的原因)是,我看到公司在这个领域发生了类似的错误。也就是说,他们在其要求员工像火星上的人们一样行事的政策中设定了期望 - 以完全超越正常日常行为的方式行事。

例如,在日常生活中,任何人在陌生人的面前关上门是非常罕见的 - 我们在餐厅,电影院,机场 - 在有门的地方打开门有人打开给别人但是,许多公司实际上没有制定政策:政策要求员工完全相反。现在,我们要求员工做一些在其他地方绝对不可思议的事情,当我们的员工不这样做时,我们感到很惊讶。

不,在安全方面,我们需要认识到,我们的员工有一种“拉扯” - 或自然的倾向 - 遵循某些根深蒂固的行为模式。即使在我们的安全控制范围内,这些行为模式是不恰当的,也是以这种方式行事的。我们的员工可能会共享信息(即使是不应该共享的信息),他们可能会帮助其他人(即使他们正在帮助克服安全控制),他们很可能会 有礼貌的(即使这种礼貌是错误的)。这些是从小就根深蒂固的行为模式,不可能仅仅因为我们写一个政策,说他们应该做别的事情而改变。

换句话说,由于这些行为适合90%以上的时间,而且由于他们的整个生命已经得到巩固,所以当我们被要求以其他方式作出回应时,我们作为人类会感到不舒服。所以当我们制定一个与先天行为背道而驰的公司政策时,就会产生一种不和谐的现象。这种不和谐现象最终会压低理想的行为,直到员工不再遵守规定。然而,有什么阴险的是,这个磨合过程需要一段时间才能发生 - 所以我们没有意识到,随着时间的推移,我们的政策正在变得越来越弱,直到它不再有效。

它的工作原理是:当员工了解这项政策时,他们会开始尽力遵守这一政策。但是,由于政策设定了一个完全不同于他们在其他情况下期望的期望,所以当他们遵循这个期望时就不舒服了。因为不舒服,员工偶尔会忘记做错事。组织中的其他人会看到其他人不遵守这个政策,而且他们自己也会因为这个政策而感到不舒服,所以他们会越来越少地开始遵循这个政策。

随着时间的推移,每个人的遵守程度都会降低,直到新的规范不遵守政策。那时,你已经失去了;现在你有一个员工没有遵循的政策。正如你可能已经知道的那样,最坏的情况是在你的公司期望的书籍上有一个政策,那就是员工不会遵循这个政策。

因此,了解和理解这种动态,我们如何利用它来制定有效的政策而不是制定政策呢?在我看来,你所能做的第一件也是最好的事情,就是确保政策能够做到以下两件事之一:既要利用人性来获得正确的结果(理想情况),要么将行为模式从控制中分离出来。

例如,要求员工不要尾随无效 - 但要求每个人通过接待区漏斗显示他们的徽章。为什么?因为我们已经把控制的方式组织起来了,不管人们是否打开大门都不重要。由于人与人之间是彼此敞开大门的人性,我们通过将控制目标(物理访问建筑物)不受员工行为(开门)的影响来弥补。相反,我们建立了一个框架,控制台(警卫桌)利用人性来自我强化:由于我们有一个特别负责确保胸牌得到检查的人(人性驱使人们尽其所能工作),对接待处的人员进行强化徽章检查的行为以加强控制。在更新的背景下,没有任何力量与预期的结果背道而驰,在我们如何要求人们行为方面没有不协调。

问题的关键在于,在实际制定公司政策时,您希望将人性纳入您的讨论范围。然而,比这更重要的是,你要睁大眼睛看看人们是如何遵循这个政策行事的。如果你看到一个政策没有得到遵守的领域,问问你自己是否违反了你要求你的员工做的人性。只要您对这些领域保持警惕,并且不惧怕根据需要更新控制/政策,您就可以长期节省很多头痛。


Ed Moyle 目前是CTG信息安全解决方案实践经理,为全球客户提供策略,咨询和解决方案,同时也是Security Curve的创始合伙人。他在计算机安全方面的广泛背景包括取证经验,应用渗透测试,信息安全审计和安全解决方案开发。

随机推荐