你可能已经在IT领域工作了一段时间，也许是几年甚至是几十年。最终，你会发现如何才能保持整个企业环境稳定运行，比如，如何保持安全。

但有一件事我猜你还没有掌握：人的行为。

你也知道，典型的员工心态非常复杂，企业需要花费大量的时间和金钱来试图预测和掌控员工的行为。因为如此，我们在信息安全领域仍处于落后形势。

如果我们打算实现IT相关政策，正确执行这些政策可以减少我们的信息风险，因此我们需要更好地理解员工是如何工作和做决定的，这样可以帮助我们实现更好的员工安全意识提升。

想想看：之前赛门铁克的一项研究发现，大多数员工（56%）拥有他们所谓的“占有”心态，认为可以使用竞争对手的商业机密。68%的人说他们公司没有采取适当的措施来保护敏感信息，40%的人计划在将来新的职业角色中使用本公司信息。

另外，CyberArk IT经理和高层调查也发现，43%的受访者表示，如果明天被解雇会以适当的数据来换取新的工作机会——比如特权密码列表、客户数据库和研发计划。

整个行业显然有问题。如果内部泄露可以发生在国家安全局，它也可以发生在您的组织。虽然我还不足够聪明来列出所有可能影响到信息安全的行为类型，但是根据这么多年的工作经验，我知道下面三点是具有说服力的：

• 你不能假设员工永远能够做出正确的安全行为。即使有很高的安全意识，但是你永远不要认为员工总是在做正确的事情。
• 你的员工知道IT界没有人能够在网络上获得明确的信息，更不用说谁有权访问这些信息。
• 员工有对风险的感知，但与之更大的是他们违反政策的欲望。被抓到的风险很高，但他们也知道他们的胜算很大。

员工安全认知和培训必须是一个持续的过程，但你绝对不能依靠它来防止事故发生。为了安全起见，任何表面上的对员工行为的控制通常都要终止。

得到满足的渴望是一种强大的力量。许多人无法思考今天做出的选择所带来的长期后果。

这些现象对于IT和安全来说不是独特的，它们体现在董事会，体现在社会和企业的各个方面。但现实是，如果你忽略这些问题，你会继续与安全进行斗争。

你不必成为一个人类心理学专家，但是你需要情商。把这件事放在首位，把安全看做和技术一样重要，这样可以帮助你提升整体的IT和安全技能。