無論史達林是否真的說過「一個人的死是悲劇,一百萬個人的死是個統計數字」,我認為這是在推動資安時最貼切的標語。
就在前幾週,總部突然通知要大規模移轉VPN,無論是機制與流程的調整,或是需要更換VPN domain都是很臨時、沒有太多的配套措施,而時間只有短短一週要移轉完成,身為子公司的資安成員勢必得一起處理這燙手山芋。
然而在泰、印、越等國家中,台灣幾乎隻手撐起全球VPN移轉率,甚至總部還詢問我們到底做了什麼事才有這麼漂亮的數據。
我想我們能成功的原因,是因為我們把每一個數字都視為一個人。
那我們到底做了什麼?
1. 公告在地化
一開始因我們希望政策的一致,我們在公司群組簡略說明移轉的原因後,便直接貼上總部公告要所有人參照,這是我們犯的第一個錯,因為當公告是全英文時,台灣員工根本不會有人想看。
因此我們將公告修正為中文,並精簡內容以處理掉員工不想看英文、太多字的怨言。
2. 傳遞說人話
通常資安人員在宣導事項時很常見的問題:「我已經講了」,是我們犯的第二個錯。有講,不代表對方聽得懂、願意聽得進去,更不代表對方願意改變行為。
在收到大量同仁、主管反應不知道該怎麼做時,我們將公告調整為按著步驟就能完成轉移。同時也彙整QA,蒐集常見、少見的問題,幫助同仁解決問題。
同時心態上也需要留意,當我們在處理這些用戶的詢問時,不要覺得用戶笨,當有一個用戶來詢問時,通常也代表其他人也有一樣的問題。我們應轉念思考是不是自己有哪裡說得不清楚,畢竟我們應該把目標放在自己能控制的事情上,而非緣木求魚。
3. 宣導人性化
公告、政策等類型往往是生冷、無聊的內容,照搬要求同仁遵循什麼事時,成效往往不佳,這是我們犯的第三個錯,我們把宣導的內容寫得過於強硬,例如「因為OOO關係,需要請所有同仁按照XXX完成移轉」,想當然爾也不會有什麼人理你。
由於公司的平均年齡不高,因此我們將公告內容藏些年輕人能理解的梗,甚至結合公司精神標語,如「您今天[標語]了嗎?」,並用Cyperpunk2077裡的黑牆暗喻新VPN與舊VPN間的隔閡、用Dcard的「下班不孤單」改為「上班不孤單」表示同仁們都在新VPN中相見。
我們也融入了地震的保命三步驟,改為移轉保命口訣:「穩住、看公告、照步驟」,以及用蕭煌奇老師的「末班車」歌詞表示即將中斷舊VPN連線。
這些方式更能讓我們與同仁們的距離拉得更近,降低繁瑣移轉過程帶來的不滿感。更重要的是能引起不同單位自主產生小組長的角色,願意主動教學該單位中的其他同仁,這個收穫也是我們始料未及的。
雖然這次短時間要移轉完大量的用戶非常艱難,但設身處地思考同仁們來自不同的職業背景、因VPN未移轉成功而造成業務中斷的困擾等,即便半夜或假日需要回覆同仁訊息,也變得不這麼累了。
下一篇會接續分享我們如何做出同仁願意閱讀,甚至主動幫我們推廣給其他同仁的資安月報。
