[[405635]] 

假定員工想要盜取商業秘密會造成員工敵視安全團隊，制造壓力，降低生產力。

發生數據流出可信網絡的情況時，人們會下意識地懷疑其中牽涉惡意目的。我們常看到新聞媒體報道員工偷盜公司數據的事件，然后就推而廣之，得出數據泄露往往惡意的結論。某些情況下，數據泄露可能真的是出于惡意目的，但事涉值得信賴的員工外泄數據時，我們應該花點時間深入挖掘一下，多了解點信息，尤其是考慮到數據滲漏情況往往是員工失誤或疏忽造成的。

絕大多數員工都是善良勤奮的人，從來沒想過引發網絡安全問題。事實上，2020年，17%的數據泄露事件是由人為失誤引起的，比2019年多一倍。

或許新員工在自己的工作設備上添加了個人iCloud云盤，卻沒意識到其默認設置會導致公司數據自動上傳到iCloud賬戶。或者，新冠肺炎疫情期間遠程辦公的團隊成員可能用自家個人筆記本電腦訪問了文件。無論如何，員工沒想過故意引發問題。安全團隊假設員工故意破壞，無法預防未來的數據丟失。

事實上，假設員工想要盜取公司知識產權或商業秘密，反而會導致安全團隊和員工互相敵視，從而造成不必要的安全相關壓力。我們需要更好的理念，從假定員工只不過是想完成工作開始，從假設員工的行為都是出于善意開始。

善意安全文化的構建，始于員工上班的第一天。即使只討論五分鐘，也要在入職過程中融入安全意識。可以利用這點時間定下安全文化基調，說明公司安全團隊不是等著抓人的，公司需要員工幫助保護公司資產。此外，還應該打好員工如何與安全團隊緊密合作的基礎：需要幫助時應該找誰?遇到問題時應該找誰?要報告問題或顧慮時應該找誰?

定期提供有效的網絡安全培訓也很重要，要將公司員工放在安全英雄的位置上，而不是將他們當作敵人。與其只關心惡意數據盜竊，不如教育團隊將精力放在數據無意泄露的常見方式上，從而提高安全意識，防止將來再次出現此類事件。

無論哪種培訓，深入人心、效果持久才是最終目的。如何做到這一點呢?讓培訓本身具有吸引力。改變培訓形式，并盡可能增加培訓的交互性。可以將網絡釣魚演練當作安全挑戰：員工不點擊測試電子郵件和報告測試郵件都可以增加自己的得分;并且向員工說明舉行網絡釣魚培訓的原因。數據安全公司Code42通常會提示新員工，說明公司舉行網絡釣魚測試并不是要耍人，而是幫助他們學會識別并報告可疑電子郵件。期待員工精通自己從未有機會實踐過的事情是不現實的。

透明度具有兩個方面的重大作用。Code42要求員工在出于業務或個人原因需要遷移或共享文件時通知公司。例如，正在辦理離職的員工通知公司安全團隊，說自己計劃將工作盤上存儲的一些個人照片轉移到自己的個人盤上。這種主動告知的行為很有幫助，不僅可以縮短調查時間，安全團隊也有機會建議更加安全的轉移方式，比如使用加密盤。

公司仍然有可能遭遇員工惡意滲漏數據。但假設數據泄露背后的人員并非惡意，仍是面對數據泄露的最佳方式，因為非惡意泄露才是常態。詢問員工有關安全失誤或錯誤的情況時，所用的語言和措辭可以在很大程度上顯示出公司的善意，讓員工放下戒心，愿意與安全團隊合作。

例如，檢測到可疑文件傳輸時，可以給員工發個留言說，“我們注意到有文件被傳輸到個人電子郵件賬戶，您能確認一下是否知情嗎?”，而不是“我們收到通知，您將文件傳輸到了個人電子郵件賬戶，所以我們要鎖定你的計算機”。或者，如果有人沒完成要求的安全培訓，你可以說：“我們的記錄顯示，您的安全培訓已過期，您能確認嗎?”很多情況下，這種詢問會收到員工發來的回復，問哪里可以找到該培訓，表明這不過是個教育/溝通問題，而不是故意無視。

安全問題會催生很大壓力，無論是對員工還是對安全團隊。我們需要重塑并加強安全敘事，強調大多數員工都是善意的。這么可以向員工表明，安全團隊將公司員工看做值得信賴的安全合作伙伴;還可以使業務部門在安全方法上更加高效和主動。