企业安全从员工行为规范入手

长久以来，安全意识的培养总是在事故发生之后才得到重视，安全经理们在忙完运维工作之后才加以关注。但是，他们越来越认识到，尽管在技术管控方面进展不断，对于员工意识的忽视仍然导致事故不断增多。

不幸的是，很多安全经理发现这方面的工作成效一般。其实这很正常，他们通常采用填鸭式的宣灌方法，导致员工们无所适从而且感到疲倦。还有一些经理的沟通方法不够吸引人。总之，几乎所有的安全主管都没有采用正确的方法。

该如何构建这种人类头脑中的防火墙呢？是不是要马上拿起笔列出员工应该牢记的10件事呢？不，千万别这样!

不要只是想着毕其功于一役，而应该在全体员工中逐渐树立正确的行为规范。也就是说，要开发一种全面的方法，让安全准则成为员工日常的行为规范，而非最终目标。

培养安全意识的四个问题

最低限度，员工应该能识别出隐含风险的场景、相应场景下的行为准则以及违规给企业和个人带来的影响。在具体行动之前，首先请营销团队给你上一堂关于行为科学的速成课，然后依据下列四个问题开始工作：

• “当前面临什么问题？”基于风险评估方法，找到当前企业所面临的主要问题，思考员工的行为会如何提升或降低这些风险。没有任何方法能一次性解决所有问题，因此要采取迭代循环不断改进的模式（比如识别、约束然后再次重复的方法）。
• “所期待的行为是什么？”一旦评估好不同行为所带来的影响，就应该列出所期待的行为，并且想好能让行为规范易于贯彻的要素。
• “针对哪些员工？”面向大众的沟通固然重要，但是毕竟每个人所接触的情景不同，因而针对不同员工的工作内容要有所区别，这样才能取得更大成效。
• “采取什么样的沟通风格？”没有任何两家企业是一模一样的，比如文化氛围和工作场景等。通常来说，建议考虑下列四种类型：直截了当型、幽默型、机智型和叙事型。

为了达成最后的成功，你必须获得管理高层的支持。树立安全规范的重要一环就是让全体员工都有动力去遵守之。这就要求高层认识到这方面的重要性，并明确表态支持。最近发生的大量安全事故使得高层对安全规范的重视程度大为提高–据调查有70%的IT安全决策人认识到了这一点。因此，趁此良机赶快去争取支持吧。

高层还应该推行强制性的培训和教育。新的攻击技术层出不穷，持续威胁到企业的安全。高管们必须认识到这种情况，以及其落后观念可能导致的危险。而且，虽然不同员工各司其职，其中有些人的岗位风险比较高，但即使最低级的计算机用户都有可能成为灾难的源头。

引入游戏化因素

为了确保工作的成效，要关注三个方面：频度、相关性和投入程度。通常要很多次反复才能使员工记住应该做什么，但是如果能巧妙地和具体情境结合起来，选择适当的时间和地点，那么就可以事半功倍。

要明白一点，安全意识的培养项目未必就是枯燥和生硬的。无论是自行开发或外部买入，成功的工作都能够对参与者形成吸引力。相应的消息对于员工来说都是易于接受的，可以帮助他们认识到自身行为对个人和企业的重要性。而且，有效的宣灌通常是充分利用工作中的适当机会来进行。比如，如果只是告诉司机如何驾驶最省油，极有可能在上路之后这个信息就会被遗忘。但是如果能持续地告知换挡的时机和每英里的油耗统计，那么司机就更有可能改变自己的行为。这仅仅是迈向游戏化的一小步!

将游戏化带入到工作情景中可以鼓励正确的行为，这并非没有可能。比如，每个季度对设置最高强度密码的团队进行表彰等。

是时候抛开你在安全意识方面的怀疑了。别相信那些轻视这方面工作的论调，我们犯错的历史已经太长了。改变观念，开始行为改造吧，很快你就会看到效果的。