读一本好书，胜过万两黄金。本篇推荐安全意识与文化专业人士必读的五本“宝典”，有助于安全意识与文化专业人士提升自我修养，破茧成蝶，更顺利地在组织内部推行安全文化变革。有些书我看了不下三遍，受益匪浅。书中的一些经典框架、理念和原则，是注册信息安全意识官(CSAO)认证的重要知识点，也是即将开班的网络安全文化“特训营”的精彩组成部分。

《谁谋杀了变革先生》Who Killed Change?: Solving the Mystery of Leading People Through Change

第一本书强烈推荐《谁谋杀了变革先生》，这本书不厚，我是多年前在一次出差途中一口气读完，很过瘾！据相关统计显示，50%-70%的企业变革项目，很多是初衷美好，但结局惨败。哪里有变革，哪里就有阻力。人们本能地不喜欢变化/变革，因为任何变化/变革意味着不确定性，不安全感。影响一项变革成功有13个重要因素包括：文化女士(Culture)、愿景女士(Vision)、变革发起人(Sponsorship)、变革领导团队先生(Change Leadership Team)、计划先生(Plan)、决心先生(Commitment)、紧迫感先生(Urgency)、沟通女士(Communication)、绩效管理先生(Performance Management)、预算女士(Budget)、激励女士(Incentive)、责任先生(Accountability)、培训先生(Trainer)。本书如同读一本破案小说，启发深思，一步步抽丝剥茧，试图找出变革失败的“真凶”。

实际上，文化变革，人人有责。雪崩时，没有一片雪花是无辜。安全团队也可以对照上述“嫌疑人”系统性、全局性地思考一番，在引领“安全文化”变革中，哪些因素掉了链子？安全文化涉及人、流程、技术等一系列管理活动和工程活动的变化，它不是一次微小的改进和优化，而是一场企业安全文化的真正变革。安全意识与文化，是安全行为之所以能够生根发芽的土壤。土壤不行，什么好种子都出不了好苗。而管理层是否重视和力挺安全文化建设，是安全文化顺利落地的大前提。

《如何改变员工行为》Leading Successful Change:8 Keys to Making Change Work

第二本书推荐《如何改变员工行为》，运用沃顿商学院多年研究的8个变革杠杆，有助于组织获得想要的员工行为。传统的安全意识宣贯与培训是基于一个有缺陷的假设，即：向人们提供有关安全风险的信息和知识，就可以改变他们的行为，但是安全意识并不会自动导致更安全的行为发生，人们做出的决策更多地受到环境中固有的规范和暗示的影响。

想要实施组织文化变革的管理者，应该重点关注员工行为，以及行为赖以存在的工作环境。变革领导者时刻牢记以下两条原则：

• 关注你所期望的员工行为（关注行为：要使变革成功，哪些行为必须发生，员工必须如何行事？）。
• 设计相应的工作环境去促发这些行为（考量环境：设计工作环境，改变员工从工作环境中接收到的各种明示或暗示信息）。

沃顿商学院70来年的研究和经验告诉我们，整个工作环境或工作系统由8个环境因素构成，包括组织架构、工作场所设计、人力、激励、度量等多个方面。由于每个方面为组织成员提供了强有力的明示或暗示，指导他们如何行动，因此每个方面都可以成为一个有力的变革杠杆，去创造那些推动企业深化变革的行为。详见本公众号历史文章：组织变革成功的关键：关注员工行为，设计工作环境

《以人为中心的安全：引领企业安全文化变革》People-Centric Security: Transforming Your Enterprise Security Culture

第三本书推荐《以人为中心的安全：引领企业安全文化变革》，该书在讨论安全文化的定义时提出了“文化冰山”的比喻。无论你能从表面上看到什么，你都可以肯定，下面发生了更多你无法观察到的事情。当一项安全战略只关注问题中可见且容易识别的部分时（如员工违规行为），就像在冰山和划艇之间系上一根绳子，然后告诉船员把它拖走。从表面上看，这可能不是一项多难的工作，但这只是因为你看不到你正在努力移动的东西有多么巨大(信念、价值观和基本假设)。事实上，海浪下的质量决定了冰山在海上的航行路线。因此，对安全文化的任何理解都必须考虑到所有隐藏的信念、动机和假设，以及在整个组织中根深蒂固的无意识行为举止。

另外，书中首次提出了“竞争性安全文化框架(CSCF)”，该框架基于奎因竞争性文化价值模型改良而来。CSCF框架把安全文化按照内部外部导向和控制授权两个维度进行分类，将组织安全文化划分为四个基本导向：流程文化、合规文化、信任文化和自主文化，用来分析各种导向的安全文化类型对企业竞争力的影响。每一种安全文化类型有不同的核心价值观和基本指令。事实上，任何企业的安全文化都不会单纯表现出一种类型，而是某一种文化类型占据主导地位，其它文化类型较弱。大多数组织都存在多种安全文化价值观和优先级的融合，既相互补充，又相互制约。 例如：安全团队的价值观和优先级，可能与信息技术、人力资源、内部审计、合规风控团队的价值观和优先级，至少在程度上是不同的。在良性的情况下，这些文化特征和平共存、相不干扰。但更多的时候，它们最终可能会竞争。这种竞争可能发生在资源、金钱或政治斗争上。该书第三部分还对如何诊断和实施变革性安全文化提出了建议和指南。

《安全意识变革：神经科学家、故事高手和营销专家教我们如何驱动安全行为》Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors

第四本书推荐《安全意识变革：神经科学家、故事高手和营销专家教我们如何驱动安全行为》，该书由安全意识与人为因素风险管理领域的知名思想领袖、现任Knowbe4 首席人为因素风险管理战略官~Perry Carpenter编著。

该书主要研究了安全意识的转型，强调了如何通过理解人类行为和心理来推动安全行为的改变。Perry Carpenter提出了一个核心概念，即“知识-意图-行为的差距”，即人们虽然知道某些安全知识，但并不一定会在实际中采取相应的行动。即使他们有意愿去做正确的事情，许多因素也可能干扰他们的行为。 该书提出，安全意识变革应当主动考虑这一差距，通过与人性相结合的方式来设计安全意识计划，而不是简单地依赖传统的安全意识培训方法，如观看视频或参加年度培训。作者强调了情感连接的重要性，认为当人们在情感上与安全意识内容产生共鸣时，他们更有可能关心并采取行动。 

此外，作者几乎抛弃了所有安全意识培训的老派方法，从心理学、营销学、行为经济学、组织变革管理、故事思维和游戏化等角度提供了全新的、跨学科视角，强调整合这些领域的知识可以帮助设计更有效的安全意识培训和塑造安全行为。例如：在第三章的开头，作者引用了SANS Lance Spitzner的话，他指出80%的安全意识专业人员都有很强的技术背景，但这会使他们陷入“知识的诅咒”。换句话说，技术背景是一种优势，但也是一种陷阱。技术背景强的安全专业人士干不好安全意识与文化建设工作。作者强调“刻意聚焦(Intentional Focus)”的重要性。除非员工有意识地将注意力集中在内容上，否则安全意识培训将只是徒劳的努力。通过利用心理学原理和营销策略，可以增强培训的相关性和趣味性，从而更好地吸引员工的注意力并改变他们的行为。运用行为科学提供的洞察力，读者将学习如何吸引员工、强化安全价值观、干预行为与塑造安全行为，再到文化与社会支持和压力等。总的来说，该书呼吁安全意识专业人士关注“人的因素”的复杂性，以实现更深层次的安全文化变革。对于那些致力于帮助员工从安全意识跨越到安全行为的专业人士来说，这是一本很好的指南。

《玩转安全文化执行指南：通过打造人员防御层降低安全风险》The Security Culture Playbook: An Executive Guide To Reducing Risk and Developing Your Human Defense Layer

最后一本书推荐《玩转安全文化执行指南：通过打造人员防御层降低安全风险》，该书由Knowbe4首席人为因素风险管理战略官~Perry Carpenter以及Knowbe4首席研究官~Kai Roer联合出品。Roer拥有近30年安全行业经验，是知名的安全行为与文化专家。他曾创立CLTRe公司，于2019年被KnowBe4收购。在创建CLTRe之前，Roer提出了业内第一个“安全文化框架”标准，在欧洲被监管机构和企业广泛采用，他对安全文化度量的开创性研究为安全行业研究人为因素风险提供了深刻见解。

没有全体员工安全意识的配合，一切安全技术措施的有效性都将大打折扣，塑造网络安全文化是任何企业安全风险管理策略的重要组成部分。该书详细探讨了安全文化的七个维度：

• 安全态度:员工对待网络安全及相关问题所持有的感受和信念；

• 安全行为:员工对组织网络安全产生直接或间接影响的行为和活动；
• 安全认知:员工对网络安全相关问题和活动的理解、认识和意识；
• 安全沟通:即沟通渠道的质量，一方面是员工有通畅的渠道讨论安全相关话题、上报安全事件，另一方面是安全团队有通畅的渠道为员工提供支持，传播安全意识、知识和文化，增强员工的安全归属感和责任感；
• 安全合规:员工对组织中明文规定的、白纸黑字的制度规范的了解和遵守；
• 安全规范:员工对组织中不成文的、约定俗成的行为准则的了解和遵守；
• 安全责任:作为组织网络安全的维护者或影响者，员工如何看待自身角色所能够发挥的关键作用。

该书还详细解释了KnowBe4在业内首推的“网络安全文化成熟度模型”，网络安全文化成熟度模型为评估、度量和改进组织网络安全文化水平提供一个有效的参考工具。根据该模型，组织网络安全文化分为五个不同的成熟度级别，每个级别都有不同的培训和意识活动，以及对安全行为的关注和管理。成熟度级别从低到高依次是：

• Level 1: 基本安全合规，其特征是：仅仅为了达到合规要求而开展最基础性、最少量化的培训，度量指标有明显的局限性(满足于“打勾式”合规)。也就是很多公司面向员工提供的一刀切式的、照本宣科的安全意识培训，大多是走过场式的形式主义，表明今年安全培训任务完成了，满足合规要求了。在此阶段，组织对于培养安全意识、行为及文化几乎没有明确的策略。
• Level 2: 基础安全意识，其特征是：每年至少开展一次全员安全意识培训、新员工入职安全意识培训以及定期组织再培训，偶尔开展钓鱼模拟演练，注重于内容形式的多样性。这个阶段在内容和形式上已经有了一定进步，但只是在信息传递层面的进步。在此阶段，组织开始意识到安全意识与文化的重要性，但安全意识计划仍存在很多缺陷和不足（如缺乏效果评估，离行为影响和改变很有很大差距）。
• Level 3: 系统性安全意识与行为，其特征是：结合必要的学习管理工具，系统性地开展安全意识教育计划，每季度开展钓鱼演练及培训，注重于强调安全行为的重要性。在此阶段，组织已经采取了一系列结构化措施来提升安全意识，开始了推动安全行为变革之旅，不仅开始关注纠正不良行为（例如点击网络钓鱼链接），而且还鼓励积极建立积极的安全习惯，例如报告可疑事件。随着成熟度曲线往上爬，组织人开始看到真正的回报：因人为因素导致的安全风险开始减少。
• Level 4: 安全行为管理，其特征是：基于不同受众、以多样化的交付方式持续性地开展安全意识培训，大量使用安全平台/工具以提供数据输入，从而有针对性地指导和管理安全培训策略，注重于真正的风险行为改变。在此阶段，安全文化开始逐渐成熟，组织已经建立了一套有效的安全技术措施、高效的安全培训计划和全面的度量指标体系，员工形成了安全思维和行为模式，普遍能够主动地遵守安全制度，能够发挥关键防御层的作用。在这个阶段，可以被称为有了“安全文化”。
• Level 5: 可持续的安全文化，其特征是：在此阶段，组织注重于安全文化的投资回报和持续投入，有计划地度量、塑造和强化网络安全文化，配套多种基于行为的激励机制和措施，建立了成熟的“文化载体”网络（安全文化大使计划），安全价值观从上至下贯穿于整个组织的方方面面，安全行为已经融入日常工作流程，成为全体员工的“第二天性”。安全被视为一种天然责任和竞争优势，而不是一件苦差事，这是组织安全文化的最高阶段。

该书最后一个章节探讨了如何获得最高管理层和董事会对安全文化变革项目的支持。

原文始发于微信公众号（超安全）：企业网络安全文化建设必备(5)-相见恨晚的五本“宝典”