从密码定期重置、软件更新，到网络钓鱼提醒和网络安全培训，如今的职场几乎被各种数字安全提示所包围。然而，由奥尔巴尼大学马斯里商学院牵头的一项新研究表明，这些本意良好的安全措施，可能在无形中带来了负面影响。

这项发表在《欧洲信息系统杂志》上的研究，题为《安全疲劳：自我调节能力耗竭引发的情绪疲惫和愤世嫉俗表现》，聚焦不断增加的网络安全要求如何改变员工的行为模式。研究指出，频繁接触各类安全规定，会导致一种被称为“安全疲劳”的状态——员工在心理上感到精疲力竭，对安全实践逐渐失去兴趣和投入。

信息安全与数字取证系主任、莫里斯·马斯里讲席教授桑杰·戈埃尔（Sanjay Goel）表示：“安全要求的初衷是保护组织，但它们同时也给员工增加了额外负担，而且这种负担会不断累积。当这些要求超出个人的承受和调节能力时，要长期保持稳定的安全行为就变得非常困难。”

这项研究由戈埃尔与伦敦都市大学吉尔德霍尔商法学院的阿坎克沙·马利克（Akanksha Malik）以及印度理工学院德里的舒奇·辛哈（Suchi Sinha）共同完成。

从技术问题到人本问题

网络安全通常被视为技术和系统层面的挑战，但该研究强调，真正执行安全措施的是员工，他们在日常工作中承受着不断上升的心理与认知压力。

在实际工作中，员工需要同时处理多种与安全相关的任务：设置和维护复杂密码、识别和报告疑似网络钓鱼邮件、遵守不断更新的安全政策与流程等。单看每一项任务似乎都不难，但叠加在一起，就会形成持续的认知负荷，挤占员工完成核心业务的精力。

随着时间推移，这种持续的负荷会消耗个人的自我调节资源，引发情绪上的耗竭，并逐渐削弱对安全实践的投入。当“安全疲劳”出现时，员工可能开始忽视安全提醒、重复使用简单密码，或者主动寻找规避安全流程的“捷径”，以便更快完成工作。

戈埃尔指出：“大多数人并不是有意绕过安全措施。在很多情况下，他们只是被繁多而复杂的任务压得喘不过气来。”

研究发现，这类行为往往并非出于恶意，而是过度负荷的自然结果。那些逐渐疏离安全实践的员工，往往在早期是合规的，只是随着时间推移被不断叠加的要求消磨了耐心和精力。

如何缓解安全疲劳并提升合规性

为深入理解这一现象，研究团队对近300名美国全职员工进行了问卷调查，这些员工都具有在组织中执行网络安全政策的实际经验。结果显示，当安全要求明显干扰员工完成其主要工作职责时，“安全疲劳”最容易出现。

同时，研究也指出，组织可以通过多种方式降低这种风险。调查表明，那些对自己管理安全任务的能力更有信心（即具备较高“安全自我效能感”），并且对网络安全风险有清晰认知的员工，即便在感到疲惫时，也更有可能继续遵守安全规定。

“组织需要认真思考安全政策是如何落地实施的。”戈埃尔强调，“通过提供有针对性的培训、简化安全流程，并将安全要求自然嵌入日常工作流，可以减少摩擦，帮助员工在不被压垮的前提下持续参与安全实践。”

研究进一步强调了组织支持的重要性，包括提供及时的技术帮助、清晰的操作指引以及适当的工具，帮助员工更高效地应对安全要求。当这些支持措施到位时，安全任务对日常工作的干扰会明显减轻。

在网络威胁不断演化的背景下，这项研究揭示了一个更广泛的难题：如何在强化安全防护的同时，避免让一线执行者感到不堪重负。研究人员建议，组织在制定更严格安全政策的同时，也应同步思考系统和流程的可持续性，构建既安全又不会过度消耗员工精力的安全管理体系。