众所周知,在网络安全行业,安全工作不好做,从根本上来讲就是没有适当的KPI考核机制,细化到落地的方方面面就绕不开网络安全的奖惩机制。
奖惩机制的落实是安全工作开展的助推剂,就我个人观点而言,对于奖惩机制的态度是:公司发展初期,惩罚措施要大于奖励,到企业发展到一定程度以后,奖励措施的推广要强于惩罚措施。
公司在发展的初期,首要解决的问题是生存问题,安全肯定是靠边站。等公司业务发展到一定阶段的时候就要考虑安全问题了。这时候就应该重点考虑惩罚机制,设置公司的安全红线,对于任何违反红线的人和部门进行惩罚,起到警示和威慑作用。尤其是惩罚还必须要公示,偷偷摸摸的惩罚效果起码打个五折。惩罚的措施可以是罚款、降级降薪等,按照初次、惯犯等进行分级罚款,并且在全公司进行通报对应的安全事件。
公司规模越来越大的时候,安全的红线已经深入到企业文化当中。这个时候我觉得惩罚措施还是按照惯例进行,但是需要在奖励措施上面下点功夫了,不断促进网络安全落地的微创新措施出台,比如说业务安全流程改造等,这样才能更好的传递公司安全要求。
从人性的角度来看惩罚措施更能起到警示效果,警告千万遍不如罚款200块效果来的实在,惩罚要解决的是安全底线问题,奖励解决的是安全自我实现的问题。相当于马斯洛需求层次的生理需求VS自我价值实现需求。我们现在经常听到阿里、腾讯、华为等企业总是说安全是生命线,其实都是血和累的教训叠加起来形成的安全企业文化。