釋放網路韌性
領導力在塑造組織文化中的作用
在 20 世紀 80 年代,General Motors 公司面臨著來自日本汽車製造商的激烈競爭。相較之下,日本汽車製造商能夠在更短的時間內生產出燃油效率更高、缺陷更少的汽車。為了應對這一局面,GM 與 Toyota 合作開辦了一家合資製造工廠,將日本式的管理技術與美國的勞動力相結合。儘管管理層試圖解決導致生產效率低下的多個問題,但其中有一個問題他們認為是能快速見效的,那就是讓工人準時上班。
在合作之前,GM 就存在著嚴重的曠工問題。而在 Toyota,生產線上的每一位工人都發揮著關鍵作用,工作時間精確到秒。如果一名工人遲到,就會影響整條生產線的正常運轉。因此,在這家合資企業中,管理層認為有一個簡單易行的解決方案——每位工人必須按時打卡上班,否則就會扣工資。
然而,這一改變遠非易事。那些已經習慣了鬆散的上班時間且沒有任何強制執行或後果的工人,被要求一夜之間改變自己的行為。管理層未能理解的是,長期曠工問題的原因是多種多樣且錯綜複雜的,包括對管理層的深度不信任,以及同事迫使其不遵守規定等等。對 GM 而言,原本只是一項政策改變,如今卻演變成了一場改變整個組織文化的艱巨任務。
各類組織都能從 GM/Toyota 的合作經歷中汲取諸多教訓。那些希望改善或改變自身業務某些方面的組織,不僅要對人員、流程和技術進行評估,還需要密切關注其核心價值觀以及驅動員工行為的文化。本文的目的是探討領導力在建立和最終轉變組織文化方面所發揮的作用,以及可以從中汲取哪些教訓,來幫助組織進行變革,從而增強網路韌性。
領導力在推動組織行為方面的作用
在我的職業生涯中,我研究了領導力對組織動態的影響,範圍涵蓋從傳統的石油和天然氣巨頭到快速發展的科技初創企業。這些見解通常有益於瞭解領導力對業務成果或員工敬業度的影響。
然而,公司內部的領導力對該組織中人員的行為有著深遠且根深蒂固的影響,從做正確的事情到崇拜貪婪,從優先考慮永續發展到大規模生產和消費主義。
領導力可以定義為執行公司策略所需的一組價值、行為和動態。雖然許多人認為領導力僅僅指管理階層的個人,但從更廣泛的定義來看,它還包括公司的核心價值觀。公司通常會以一系列能力和/或素質的形式闡述領導力對他們的意義,並期望領導者能夠努力滿足這些要求。
公司的價值觀往往由其營運所在的產業和市場所塑造。零售公司重視以顧客為中心,技術公司則重視速度和創新。當一家公司對自身的價值觀有清晰認知時,領導力便成為透過領導者影響來塑造公司內部文化的載體。領導者傳達願景、以身作則、強化公司價值觀,當一家公司對自身的價值觀有清晰認知時,領導力便成為通過領導者影響來塑造公司內部文化的載體。正如 Schein* 所指出的:「領導者不僅會影響文化,他們更是文化的主要架構師。」
那麼,在組織文化的背景下,這意味著什麼呢?Schein 如此定義組織文化:「組織文化是群體在解決問題的過程中學會的一種思維模式,並且會將其作為正確看待、思考和感受這些問題的方式傳授給群體中的新成員。」然後,這些思維模式會引發特定的行為,當群體中的其他人做出同樣行為時,這些行為就會得到強化。
下方的模型展示了他人可見的行為(表面行為)對一家公司而言,其背後蘊藏著比單純行為本身更深層次的根源和意義。
您對事物的感知和思考方式最終決定了您的行為和反應方式。這正是文化影響行為的方式,這些行為之後會成為下意識的舉動,因而難以改變。
改變公司文化
那麼,General Motors 在文化變革應用方面能給我們帶來哪些啟示呢?
其一,要認識到行為改變不能僅靠禁止某些行為來實現。如果深入探究 GM 曠工案例中的行為,就會清楚地發現,這種行為的根源很深,只有先瞭解並解決根源,才能最終解決該問題。否則,人們可能最終還會恢復舊有的行為模式。
其二,要協調存在衝突的價值觀。有必要考量公司現有文化與公司希望推行的新行為可能存在衝突的程度。假設一家公司的文化強調速度、靈活性以及「行事後再請求原諒,而非事先徵求許可」,那麼推行更多的規章制度、流程以及官僚主義的管理方式,是否會被視為與這種文化相衝突呢?
其三,要全方位應對變革。這意味著公司既要改變人們的行為方式,也要改變他們的思維方式。如果參照前面的冰山模型,這就要求公司的舉措同時針對冰山表面和冰山之下兩個層面:
在冰山表面,公司必須明確希望員工採取的行為,並且要清晰且頻繁地傳達這些期望。
在冰山之下,公司需要明確自身的核心價值觀,並將其融入員工的思維模式中,使之成為在公司中擔當領導者角色的內涵之一。
許多公司做到了第一點,但做到第二點的公司卻沒那麼多。
將網路安全灌輸到文化中
將網路安全從一個部門轉變為一種文化的理念已經變得越來越普遍。
根據 IBM Security 的《威脅情報指數》,95% 的網路安全漏洞是由人為錯誤造成的。由於人類行為複雜且難以預測,解決人為因素比實施流程和技術要困難得多。
因此,將網路韌性構建到公司文化中,要求在思維和行為上都有所轉變。以下是 8 個有助於組織領導者依據成功文化變革計畫的關鍵原則,強化網路安全文化的構想:
領導者可能會助力營造網路安全文化,也可能會拖後腿。如果他們不認真對待、破壞傳訊或表現出不安全的行為,您的工作將變得無比艱難。讓有影響力的領導者抓住每一個談論網路安全的機會,將對政策的效果產生指數級的影響。找到那些支援網路安全的倡導者,並與他們密切合作,讓他們成為明確的推廣者。
有一句話是這麼說的:「能被衡量的東西才能被完成。」考慮可以與組織公開分享哪些有關網路安全的指標,並在分享時佐以具體的範例和故事。
要改變舊有的思維模式,必須引導人們進入新的思維模式。在評估訓練時,尋找那些能讓參與者處理複雜情境、進行討論和解決兩難問題的選項,而不只是單純點擊完成線上學習課程。人們常說:「聽到的只會記住 10%,但實踐的卻能記住 90%」。
鼓勵領導者分享網路事件的案例和故事,包括其中涉及的人類行為,無論是正面還是負面的影響。領導者應該站在每個事件的最前線,溝通結果並以身作則,展現他們希望其他人效仿的行為。將全體員工會議或市政廳活動視為分享這些故事的良好平台。
將框架從負面行為轉向正面行為。心理學研究表明,正面行為或以正面方式表述的行為,更符合個人的正面自我認知,因此更容易被遵循(例如:負面表述:「不要做這件事……」,正面表述:「請做這件事……」)。
積極表彰並獎勵那些報告潛在威脅或漏洞的個人,特別是那些不在安全職能部門工作的員工,強調網路安全人人有責。
入職通常是一個建立歸屬感和團隊認同的關鍵時刻,也是介紹公司文化的絕佳時機。新員工可以從第一天起就瞭解網路安全政策和指導方針,從而立即明白其重要性以及期望的行為。
考慮如何在招聘過程中評估候選人的網路安全知識和實務能力。進入組織時已經具備高度風險意識的領導者,也能在其團隊中強化正確的行為。
在我於 Cloudflare 工作期間,我親眼見證了這些原則在實務中如何影響一個組織。以訓練為例,我聽過一些令人沮喪的故事,比如有同事安排時間與高層主管一起完成年度網路安全意識訓練,而這些主管其實並不重視。然而,在 Cloudflare,我們的高層主管通常是第一批完成訓練的人。以這種小範圍但以身作則的方式來帶領團隊,能讓政策更加有效。
重新思考組織文化
變革需要時間才能扎根。在 GM/Toyota 的合作關係於初期遭遇挫折後,他們實施的文化變革最終開始見效,並產生了積極的影響。
GM 在面對這些初期挑戰時的堅持,對於那些可能感到沮喪或挫折的 CISO 而言,是一個正面的啟示——如果行為改變是輕而易舉的事,那麼他們的工作(坦白說,我的工作也一樣)會簡單得多。在網路安全的人力層面,需要深入表面,探討公司的核心價值觀。
在 Cloudflare,我們將網路安全視為核心價值,並鼓勵領導者和員工參與建立網路安全文化。有了流程和技術,領導者就可以專注於人員方面,並充分利用這種網路韌性所創造的機會。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
*Schein, EH (2010)。Organizational Culture and Leadership(組織文化與領導力)
作者
Xiaolu Coenen — @xiaolucoenen
Cloudflare 全球領導力發展主管
重點
閱讀本文後,您將能夠瞭解:
如何處理組織變革管理中的人員層面問題
領導力在轉變心態與行為以實現變革中所發揮的作用
強化網路韌性文化的 8 個構想