解锁网络韧性
领导力在塑造组织文化中的作用
20 世纪 80 年代,通用汽车公司面临着来自日本汽车制造商的激烈竞争,相比之下,日本汽车制造商能够在更短的时间内生产出更省油、缺陷更少的汽车。为了应对这项挑战,通用汽车与丰田合作开设了一家合资汽车制造厂,将日式管理模式与美国员工相结合。虽然管理层试图解决导致生产效率低下的一些问题,但他们认为有一种方法可以快速见效,那就是让工人准时上班。
在双方合作之前,通用汽车公司的旷工现象十分普遍。而在丰田,生产线上的每一个工人都发挥着关键作用,而且工时安排精确到秒。如果一名工人迟到,整条生产线都会受到影响。因此,在这家合资企业中,管理层实施了他们认为简单且合乎逻辑的政策变更:要求每名工人都必须打卡上班并准时开始工作,否则会扣减工资。
然而,变更绝非易事。过去,工人们习惯了宽松的上班时间,不做强制要求且不用承担任何后果,而现在却指望一夜之间立即改变这些工人的行为。领导层没有认识到,导致员工长期旷工的原因多种多样,从对管理层的极度不信任,到来自同事的压力迫使他们不遵守规定。对于通用汽车公司来说,最初的政策变更,突然变成了一次改变整个企业文化的实践。
企业可以从通用/丰田的合作经验中汲取很多教训。组织在寻求改进或变更业务的方方面面时,不仅必须评估员工、流程和技术,也要仔细审视其核心价值观和驱动员工行为的公司文化。本文旨在探讨领导力在企业文化发展和变革中的关键作用,以及如何运用从中汲取的经验教训来推动组织变革,从而提高网络安全韧性。
领导力在塑造和影响组织行为方面发挥的作用
在我的职业生涯中,我一直在研究领导力对组织内部运行的影响,包括传统的石油和天然气巨头企业,以及快速发展的科技初创公司。这些见解通常有助于理解领导力对业务成果或员工敬业度的影响。
不过,公司内部的领导力对于组织内员工的行为方式有着重要且深远的影响,例如从提倡正直和道德实践到滋生贪婪和不道德行为,从优先考虑可持续发展到大规模生产和消费主义。
领导力可以定义为执行公司战略所需的一套价值观、行为准则和动力。虽然许多人认为领导力仅仅指处于管理层的个体领导力,但更广义的定义还包括公司的核心价值观。公司通常会通过一套清晰的能力和/或特质,来清晰地阐述他们对领导力的愿景。
公司的价值观通常由其所在的行业和市场塑造。零售公司重视以客户为中心。科技公司重视速度与创新。当一家公司制定了明确的价值观后,领导力就是指领导者通过积极发挥自身影响力,对组织内部文化产生直接影响。领导者负责传达愿景,树立榜样,积极践行和强化公司价值观,以及做出战略决策。正如 Schein* 所说:“领导者不仅是企业文化的影响者,而且还是主要的塑造者。”
那么,在组织文化背景下,这意味着什么呢?Schein 将组织文化定义为“团队在解决问题的过程中形成的思维模式,然后将其作为感知、思考和感受这些问题的正确方式传授给新成员”。这些思维模式会引发某些行为,在团队中的其他人表现出这些行为后,这些行为又会得到强化。
下面的模型显示了为什么说他人可见的行为(举止)比行为本身更能体现公司更深层次的文化和环境因素。
感知和思维方式最终会决定行为方式与反应。这就是文化影响行为的方式,然后行为固化成习惯,成为人的第二天性,因此难以改变。
不断变化的企业文化
那么,通用汽车公司的案例能给我们带来哪些应用文化变革方面的启示呢?
第一,认识到仅仅限制某些特定行为通常不足以促进有意义的行为改变。如果深入研究通用汽车公司员工的旷工行为,就会发现有更深层次的原因导致这种行为,需要首先理解并加以解决。如果不解决根本原因,可能员工最终会恢复到原来的行为方式。
第二,当价值观相互冲突时,协调兼顾。了解现有的公司文化可能会与期望的新行为产生冲突是很有帮助的。想象一下,如果某公司的文化是速度、敏捷,以及“请求原谅,而不是许可”。那么,实施更多的规则、流程和官僚主义会被视为与这种文化相冲突吗?
第三,全方位应对变革。也就是说,公司必须改变员工的行为以及思维方式。以“冰山模型”为例,这表明有效的变革举措应该同时关注外在行为和内在文化因素:
表面上,公司必须明确希望员工采取哪些行为,同时清晰且频繁地传达这些期望。
实质上,公司需要定义核心价值观并将其融入员工的思维模式,因此,这也构成了公司领导者应具备的一种素质。
许多公司做到了前者,但只有少数公司做到了后者。
将网络安全融入企业文化
将网络安全从一个职能部门转变为一种企业文化的理念已获得普遍认可。
根据 IBM Security 的威胁情报指数,95% 的网络安全漏洞是由个人失误造成。因为人性复杂且难以预测,解决人为因素比实施流程和技术困难得多。
因此,将网络韧性融入企业文化,需要思维和行为均有所转变。以下 8 种方法有助于企业领导者运用文化变革计划中的关键原则,在整个组织强化网络安全实践和价值观:
领导者要么支持旨在培育网络安全文化的举措,要么阻碍这些举措。如果他们不认真对待,破坏消息传递或表现出不安全行为,你将更难以开展工作。找到有影响力的领导者,鼓励其抓住每一次机会谈论网络安全,将会对政策效果产生指数级影响。找到拥护者并与他们密切合作,让他们成为网络安全的积极倡导者。
俗话说,设定可衡量的目标,更有可能实现这些目标。思考可以与组织公开分享哪些网络安全指标,并经常分享具体的示例和故事。
要改变旧有思维模式,必须引导建立一种新的思维模式。评估培训内容时,应寻找能够让参与者应对复杂的情景、展开讨论和解决难题的选项,而不仅仅只是浏览在线学习内容。常言道,10% 的知识通过教育习得,90% 的知识通过实践获得。
鼓励领导者分享案例和网络事件示例,以及人类行为在其中发挥的积极作用和消极作用。领导者必须在事件发生后率先积极响应,传递事件结果,以身作则,发挥表率作用。考虑在全员大会或员工大会上分享这些案例。
将思维框架从消极行为转变为积极行为。心理学研究表明,积极行为或被积极构建的行为,更符合积极的自我概念;因此,更有可能让人有动力去实践(例如:消极框架:“不要这样做…”与积极框架:“这样做…”)
积极表彰和奖励报告潜在威胁或漏洞的个人,特别是那些不在安全职能部门工作的员工,以此强调网络安全人人有责。
入职培训通常是建立联系和归属感的关键时刻,也是介绍公司文化的绝佳时机。可以从第一天开始向新员工介绍公司的网络安全政策和指南,从而让其立即了解网络安全的重要性和预期行为。
考虑如何在招聘过程中评估求职者的网络安全知识和实践。在入职时已具备高度风险意识的领导者,将会在团队中树立榜样并推广正确的行为。
在 Cloudflare 工作期间,我已经见证了这些原则在实践中对企业文化的影响。以培训为例。我曾听说过令人震惊的案例:普通员工安排时间,监督高管参加年度安全意识培训。而在 Cloudflare,通常都是高管们率先完成培训。这看似微不足道的行为,也能为整个组织树立榜样。
重塑组织文化
实施变革并非一蹴而就。在通用汽车/丰田的合作最初遭遇挫折之后,双方实施的许多文化变革最终开始奏效,并产生积极的影响。
通用汽车在面对这些最初的挑战时展现的决心和韧性,为那些可能感到沮丧或失落的 CISO 树立了积极的榜样;如果很容易推动行为改变,他们的工作(坦白说,也包括我自己的工作)就会轻松得多。关于网络安全的人为因素,则需要透过表面看本质,深入探究公司的企业文化和核心价值观。
Cloudflare 公司始终将网络安全视为一项核心价值观,并且鼓励领导者和员工积极参与安全文化建设。建立完善的流程并部署必要的技术,领导者能够注重培养员工的安全意识,并充分利用网络韧性带来的发展机遇。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
*Schein, E.H. (2010)。《组织文化与领导力》
作者
Xiaolu Coenen — @xiaolucoenen
Cloudflare 全球领导力拓展主管
关键要点
阅读本文后,您将能够了解:
如何处理组织变革管理中的人事问题
领导力在转变思维和行为方面的作用,以实现变革
将网络韧性融入企业文化的 8 项建议