你訂好的資安政策員工為何一直踩線?想改善的話,先掌握這 5 大心理
Gartner 預測,2025 年有超過一半的資安事件將由人才缺乏或人為失誤造成,針對人類的網路和社交工程攻擊數量也正在增加。不過,可能已經有公司發現,他們花了大量時間確保員工了解網路資安規則──讓員工上課、簽表格、看影片,不論是用乞求或是威脅的方式,似乎沒什麼效果。
根據《The Wall Street Journal》,Gartner 在 2022 年做過一項研究,發現 69% 的受訪員工,在過去 12 個月內繞過了組織的網路安全政策;74% 的員工表示,如果違反資安規則有助於實現業務目標,他們願意這麼做──儘管他們可能知道人為錯誤是網路安全漏洞之一。
這不禁令人感到好奇,為什麼人們即使面臨嚴厲的處罰、明知對於公司或自己沒有好處,仍然選擇無視資安規則?美國維吉尼亞理工大學資訊科學系教授 Anthony Vance 分析,答案很可能與犯罪學長期討論的概念──「中立化」(neutralization)有關,指的是人們會出於本能,將錯誤的行為、傷害合理化。
員工忽視資安規則的 5 大理由
根據 Vance 分析,員工選擇違反企業安全規則,很可能是基於中立化的 5 種自我合理化心理。透過以下 5 種方式,人們能夠逃避因為違反安全規則所帶來的內疚感。
1. 認為違規不會造成任何傷害
這是中立化的「否認傷害」概念 ── 員工會說服自己,忽視資安規則不會造成任何傷害,因此違規是可以接受的;因為違規是可以接受的,所以也不該受到懲罰。Vance 解釋,當員工認為工作任務或主管要求的重要性大於資安政策,他們會選擇對前者忠誠。
2. 否認是個人責任
員工拒絕為自己的行為承擔個人責任,並認為情況超出他們可以控制的範圍。Vance 舉例,員工可能聲稱並不知道特定的安全規範,或沒有接受過訓練。
3. 功過相抵
Vance 解釋,員工會在心裡記錄自己做得好的工作任務,例如完成工作、加班,並拿來與自己偶爾犯下的錯誤相互抵銷。如果正向的行為多於錯誤行為,他們會告訴自己應該有偶爾違反資安規則的理由,而不會感到愧疚。
4. 這是不得已的
這是中立化的「必要性辯護」概念,也就是員工會說服自己──他們是在特定情況下被迫採取某種行為,所以這不是他們的錯,例如,工作時間已經來不及,因此從網路下載未經授權的軟體是合理的。
5. 反過來怪資安人員
這是中立化的另個概念──「對譴責者的指責」,包含批評執行安全政策的人,並拿來當作忽視安全規則的理由,例如,員工可能會認為資安團隊的要求不合理、與業務需求脫節,因此認為資安策略無效且可以忽視。
想要改善的話,企業管理者如何因應?
Vance 觀察,許多企業會認為懲罰可以讓員工違規前三思,但遇到上述 5 大自我合理化的心理,可能無法發揮作用。因此,Vance 建議企業可採取 2 種做法:
1. 針對忽視資安規則的主題,設計培訓課程
首先,資安團隊可以利用資安培訓課程,解釋中立化的觀念、情形給員工聽──這有別於一般資安訓練內容,並且可讓員工以不同角度思考個人行為。
但這個做法是否有效?Vance 以密碼安全主題進行一項研究,針對一家大型跨國公司的 87 名員工進行實驗課程。舉例來說,講師會描述人們通常如何運用「必要性辯護」心理,來合理化自己為何選擇強度較弱的密碼──因為認為設定更強的密碼太繁瑣而無法實踐,接著,講師討論為什麼這個觀念不一定正確,並示範選擇強大而且實踐的密碼方法。
在課程結束後 3 週進行調查,結果顯示,上過實驗性課程的員工表示,未來遵守安全策略的意願比例較高;對於忽視資安規則的行為,認可程度也較低。
如果對於一些公司來說,舉辦一場資安培訓並不可行,可以試試 Vance 建議的第 2 種做法。
2. 提供資訊,讓員工了解忽視資安規則的謬誤
Vance 表示,企業可以在發送給員工的內部訊息分享中立化的觀念,讓員工了解到合理化違規行為的謬誤,就可幫助減少狀況發生。
他也針對這個做法進行研究。他向 200 位工作者發送訊息──訊息中描繪了使用「必要性辯護」或「否認傷害」來合理化自我行為的假設性場景,並向收件者詢問他們採取相同行為的可能性。
為了測試差異,實驗中有一半收件者收到的資訊不同,內容額外指出該假設性場景,背後代表的違規心理,例如:「儘管人們認為在某些情況下共享密碼是合理的,不會產生任何實際後果,但遵循資安政策很重要,不應以任何理由共享密碼。」
結果表示,被告知不該選擇忽視資安規則的受試者表示,未來遇到類似情形,他們違反資安政策的可能性會低得多。
Vance 認為,企業首先要了解,人們會自然而然地合理化個人的錯誤行為,但管理者可以幫助員工認識和拒絕這麼做,以及他們在資安政策下所扮演的重要角色。
《免費下載Palo Alto Networks SASE 大禮包》
【推薦閱讀】
◆ 用 ChatGPT 挖你個資蠻簡單!研究人員對它重複「施咒」,結果破防了
*本文開放合作夥伴轉載,資料來源:《The Wall Street Journal》、Gartner、《Computers and Security》、《Journal of the Association for Information Systems》。首圖來源:Canva。