組織管理重塑員工的資安行為,雅虎令人刮目相看

重塑員工的資安行為,雅虎令人刮目相看

How Yahoo Built a Culture of Cybersecurity

重塑員工的資安行為,雅虎令人刮目相看

Pater Dazeley / Getty Images

若你想改善公司的網路安全文化,除了強化公司對網路攻擊的抵抗力,還需要讓員工在獨自操作或無人監控的情況下,有意識地採取資安行為。雅虎在這方面功效卓越,2008年起,他們就組織了「多疑研究小組」,分析員工應對資安警訊的反應。結果顯示,管理者應該採取三個關鍵步驟:一,找到關鍵的員工行為。二,透明地衡量這些行為。最後,透過讓員工察覺問題所在,來解釋為何某些事情很重要。

告訴你的員工該做某件事,這樣還不足以激勵他們做出重大改變。只要問問任何一位曾經看過網路安全宣導影片的員工,你就能了解這一點。那些影片雖然有指導員工留意數據安全,但很少能夠改善公司整體的數據安全行為。若要改善你的網路安全文化,最終還要強化你公司對網路攻擊的抵抗力,你就必須衡量人們在不受人監督時的自發行為。

2020年底,麻省理工史隆管理學院網路安全研究小組(Cybersecurity at MIT Sloan),開始與雅虎(Yahoo)膩稱為「多疑」(Paranoids)的安全單位合作,以了解這個單位如何運用管理機制,來影響雅虎的網路安全文化。多疑研究小組的「主動迎擊」團隊(Proactive Engagement)成功地使用好幾項有趣且創新的機制,促成更好的網路安全行為。

主動迎擊模式

2018年夏天,正值較大的安全單位重組之際,多疑研究小組引進兩個不同的團隊:紅隊(一組駭客高手,用攻擊的方式來測試內部系統、服務、流程及人員,以找出系統的弱點),另外一個是公司的安全宣導團隊。多疑研究小組後來增加了行為工程團隊,這個團隊根據人力資源及企業科技日誌,專注於衡量他們視為良好安全行為的一些活動。

為更...