分享一份国外关于不对等的激励因素是如何影响网络安全的报告

攻击者和防守者：攻击者的动机是由市场决定的，是灵活变化的，而防守者则受制于上层的决定。

策略和实行：超过90%的组织制定了相关的信息安全策略，但是只有不到半数的组织完全实行了他们的策略。

高层管理者和底层实行者：受制于实行员工的效率，制定的安全策略高层管理者和实行员工对是否成功安全的判断不一致。

相比于以前不重视安全，现在很多公司将安全作为一项基础业务进行部署，例如安全项目评估、安全职责分配、汇报网络安全风险报告等。如图所示，根据我们的调查，网络安全风险已经成为公司最关心的，超过了监管和责任风险、公司形象危机、财政风险等。

各部门的受访者都表示能够明显看到严峻的网络安全威胁，不合理的安全配置导致包括知识产权和机密商业信息的损失、业务中断、企业品牌形象的损坏等。调查的导致的结果与受访者的想法基本一致。

虽然绝大多数受访者表示知道安全事故会导致很多后果，但是只有32%的人表示经历过因为安全事故而直接引起的利益受损。

组织缺少对安全事故损失的评估方法，例如对客户的影响，对品牌的影响以及对事故的处理花销等。多于一半的管理层表示他们更关心公司形象而不是安全本身。

如图，深蓝色表示管理层，浅蓝色是底层操作员工，管理层往往对组织安全能力过于自信，而底层操作员工则认为组织的安全策略缺少前瞻性，更多关注现有的威胁。

不同部门的差异也值得关注，金融以及IT/通信行业对现有威胁以及新威胁有一个较好的平衡，而公共部门组织，例如政府，公共教育机构等对新威胁的关注度会低一些。

如图，想对比底层操作人员，管理者更倾向于相信安全策略已经被完全实行了。而且，他们会使用广泛的视角例如成本控制、声誉维护来评估他们的安全策略，而底层操作人员则更关注安全技术指标。

策略和实行之间的分歧可能是由管理者和操作者对产出和效率有不同的衡量指标。根据图所示，总的来说，操作者以漏洞数量、渗透测试、漏洞扫描、修复的成本来衡量系统安全程度。而管理者相比较而言更关注跟开销（员工聘请，安全投入回报率）和企业形象相关方面。

安全方面究竟有哪些激励呢，包括奖励、奖金、提升等。但是可以看到管理者对于已有的激励机制更有自信，他们可能觉得激励机制都被很好的实行了，但是可以看到操作者不是这样想的，甚至很大比重的操作者认为他们就不存在任何激励机制。而且，管理者与操作者对于期望得到的激励也有些不同。之前有个调查显示相比较经济奖励，操作者也很看重培训、时间自由度和是否有机会做一些有挑战性的任务。而管理者觉得经济奖励更有激励性。