令人惱怒的十個安全悖論
2018年05月29日
任何具有相當駕齡的人應(yīng)該都能了解交通堵塞是多么令人沮喪的事����。交通堵塞可能由多種原因引起����,其中包括“并道”行為。對于那些沒有及早變道��,而是在最后時刻“并道”進來的車輛���,你可能也會和我一樣感到憤怒��。
但是����,如果我們退后一步并戰(zhàn)略性地思考這個問題�,就很難再對最后時刻的“并道”行為感到憤怒了。為什么我會這么說呢?首先���,大多數(shù)人都在與“并道”行為作斗爭�����,也就是說�����,我們會利用每一條可用的道路繞過那些努力并道的人�����。而事實上�,有證據(jù)表明,最后一刻的并道實際上是對緩解交通有利的行為����。
美國明尼蘇達州交通當局在高速公路維修路段進行的“最后一刻再并道”的實驗顯示���,這種駕駛方式可以降低因為修路減少車道而產(chǎn)生的交通堵塞40%����。專家們建議的正確的駕駛方法是:所有的人都應(yīng)該在自己原來的車道上行駛�����,直到最后一刻再并道,這樣做的好處是兩個車道在并道前都得到了充分的使用����。
但是,這種交通模式又與安全存在什么聯(lián)系呢?我認為�����,這件事教會我們在對某些行為感到惱怒前����,先要對它們有更為深入地了解。這就是我們可以在安全領(lǐng)域?qū)W到的東西���。為什么這么說呢?當然��,這是一個比較深刻的問題����,下面是十個“令人惱怒但同時卻有著深層原因的安全行為”����。
1. 戰(zhàn)術(shù)性地專注
在很多場合中,我都曾聽到各種不同的組織抱怨他們的安全團隊過于專注戰(zhàn)術(shù)�。這種情況當然可能確實如此。但是,如果你的主要指標中包含一周內(nèi)已觸發(fā)警報的數(shù)量�����,以及打開和關(guān)閉的憑證數(shù)量����,你又會否因為他們努力完成你激勵他們完成的估量任務(wù)而再錯誤地遷怒他們呢?
2. 滅火隊員
沒人希望自己的安全團隊疲于奔命在應(yīng)對一個接一個的緊急情況,而沒有多余的精力專注其他關(guān)鍵業(yè)務(wù)�。但是面對如此情境我們有時候又很難去責難安全團隊,因為存在一些合理需求讓他們不得不拋開其他一切問題來應(yīng)對這些緊急情況���。然后���,不得不說,很多時候�����,這些搞得安全團隊精疲力盡的“緊急情況”����,都是由于公司對問題和安全團隊的能力缺乏理解和信任而造成的�����。
3. 熱門事件
我們有時候會反感安全團隊談?wù)摕衢T事件,但是說實話��,我還沒有遇到過真心享受陷入熱門事件中的安全團隊���。很多時候�����,談?wù)摕衢T事件對于他們來說只是毫無選擇的事情���。當熱門事件發(fā)生時,關(guān)于“我們應(yīng)該如何應(yīng)對”���、“我們是否會受此事件影響”以及“我們是否受到保護”等諸多問題都會撲面而來���,等待安全團隊的應(yīng)答。所以說���,是我們在激勵他們關(guān)注熱門事件�����,以幫助我們應(yīng)對即將到來的緊急情況���。
4. 追逐流行的細分市場
安全行業(yè)的很多人都在嘲笑或戲謔那些熱衷于追逐最新流行市場的企業(yè)�。但是在嘲笑之前��,先看看我們是如何鼓勵他們這些做的吧!對于初創(chuàng)企業(yè)來說��,資金和公關(guān)(PR)通常都會緊跟最新的流行市場;而對于成熟企業(yè)來說�,客戶是否投入預(yù)算也是關(guān)注最新的流行市場。說到底��,追逐流行市場不過是為了獲取更多的關(guān)注和融資支持�,以支撐企業(yè)更好地發(fā)展。
5. 寫下密碼
每個人都喜歡嘲笑那些寫下密碼的“愚蠢”用戶��,但事實上��,也許是他們應(yīng)該嘲笑我們����。因為身處安全行業(yè)�,我們無法證明瘋狂復(fù)雜的密碼規(guī)則能夠改善我們各自的安全現(xiàn)狀,事實上����,想要真正地改善安全現(xiàn)狀���,我們可能需要徹底擺脫密碼。但是��,當我們無法為用戶提供任何行之有效的方法�����,來解決這種瘋狂復(fù)雜的密碼規(guī)則時����,對于他們來說,除了寫下自己根本記不住的密碼外還能怎么做呢(你一定會說還有密碼管理器����,但是你一定也看到了很多密碼管理器存在漏洞的報道)?
6. 對事件響應(yīng)毫無準備
當嚴重事件發(fā)生時,沒人喜歡意外的震驚感和措手不及的窘迫感�����。但是��,建立一個成熟的事件響應(yīng)能力談何容易����,它不僅需要付出巨大的戰(zhàn)略努力����,而且無法立即顯示出其價值(只有發(fā)生安全事件才能顯現(xiàn)價值)��。如果組織只是追求立竿見影的戰(zhàn)術(shù)收益����,而不是難顯成效的戰(zhàn)略收益,那么出現(xiàn)緊急情況時措手不及也就不難理解了��。
7. 獲取“煙道式”(stovepiped)技術(shù)
我們經(jīng)常會看到��,在發(fā)生嚴重安全問題時���,人們會異常期待即時解決方案(immediate solution)的出現(xiàn)�。雖然我們需要確保及時處理嚴重問題�,但是我們也要確保自己不會產(chǎn)生“膝跳反射”(knee jerk)并期待獲取幾乎“一次性”的快速修復(fù)方案。我們都不希望最終得到一個在未來沒有任何作用的“一次性”解決方案���,但是我們卻沒有意識到�,是我們在無意中激勵了我們的安全團隊放置更多的“煙道式”技術(shù)���。
8. 安全預(yù)算不足
每個人都喜歡大型零售連鎖店的低廉價格����,但同時也喜歡抱怨其缺乏合理的售后支持���。我們無法真正地融合這兩種需求����。正如我們都希望我們的供應(yīng)商和提供商能夠以低廉的價格為我們提供更多價值一樣����。安全是一項經(jīng)常/間接(overhead)費用,當然�����,我們都知道它的重要性����,但是我們無法強求我們的供應(yīng)商和提供商都能將其作為優(yōu)先事項。既然如此�����,我們不妨根據(jù)他們自身不同的規(guī)模來具體衡量其安全預(yù)算。
9. 培訓(xùn)的團隊成員不足
組織團隊成員進行專業(yè)培訓(xùn)需要花費一定的資金����,并且需要他們脫離工作崗位一段時間。如果我們能夠看到培訓(xùn)團隊成員所帶來的戰(zhàn)略性意義�����,那么就會認為這一切投資都是值得的����。但是,如果我們僅以短期收益為目標來激勵他們�����,那么培訓(xùn)成員不足也就不難理解了����。
10. 協(xié)作不足
關(guān)于信息共享和協(xié)作的討論很多,但不幸的是����,行動的次數(shù)卻遠少于討論的次數(shù)。造成這種情況的原因有很多,大多數(shù)組織都會鼓勵員工保持信息的私密性��,以及粉飾安全計劃的真實狀態(tài)�����。但是�,事實上��,這種信息共享和協(xié)作并不可恥�����,相反地��,它可以讓你得到進一步完善����。但前提是,你必須做出正確的鼓勵行為來獲得正確的結(jié)果�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運維平臺建設(shè)、動漫設(shè)計����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”�、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面��、可信的方案�,業(yè)務(wù)涵蓋咨詢、評估�����、規(guī)劃���、管控�、建設(shè)、培訓(xùn)等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
