2018年05月29日
任何具有相當駕齡的人應該都能了解交通堵塞是多么令人沮喪的事。交通堵塞可能由多種原因引起,其中包括“并道”行為。對于那些沒有及早變道,而是在最后時刻“并道”進來的車輛,你可能也會和我一樣感到憤怒。
但是,如果我們退后一步并戰略性地思考這個問題,就很難再對最后時刻的“并道”行為感到憤怒了。為什么我會這么說呢?首先,大多數人都在與“并道”行為作斗爭,也就是說,我們會利用每一條可用的道路繞過那些努力并道的人。而事實上,有證據表明,最后一刻的并道實際上是對緩解交通有利的行為。
美國明尼蘇達州交通當局在高速公路維修路段進行的“最后一刻再并道”的實驗顯示,這種駕駛方式可以降低因為修路減少車道而產生的交通堵塞40%。專家們建議的正確的駕駛方法是:所有的人都應該在自己原來的車道上行駛,直到最后一刻再并道,這樣做的好處是兩個車道在并道前都得到了充分的使用。
但是,這種交通模式又與安全存在什么聯系呢?我認為,這件事教會我們在對某些行為感到惱怒前,先要對它們有更為深入地了解。這就是我們可以在安全領域學到的東西。為什么這么說呢?當然,這是一個比較深刻的問題,下面是十個“令人惱怒但同時卻有著深層原因的安全行為”。
1. 戰術性地專注
在很多場合中,我都曾聽到各種不同的組織抱怨他們的安全團隊過于專注戰術。這種情況當然可能確實如此。但是,如果你的主要指標中包含一周內已觸發警報的數量,以及打開和關閉的憑證數量,你又會否因為他們努力完成你激勵他們完成的估量任務而再錯誤地遷怒他們呢?
2. 滅火隊員
沒人希望自己的安全團隊疲于奔命在應對一個接一個的緊急情況,而沒有多余的精力專注其他關鍵業務。但是面對如此情境我們有時候又很難去責難安全團隊,因為存在一些合理需求讓他們不得不拋開其他一切問題來應對這些緊急情況。然后,不得不說,很多時候,這些搞得安全團隊精疲力盡的“緊急情況”,都是由于公司對問題和安全團隊的能力缺乏理解和信任而造成的。
3. 熱門事件
我們有時候會反感安全團隊談論熱門事件,但是說實話,我還沒有遇到過真心享受陷入熱門事件中的安全團隊。很多時候,談論熱門事件對于他們來說只是毫無選擇的事情。當熱門事件發生時,關于“我們應該如何應對”、“我們是否會受此事件影響”以及“我們是否受到保護”等諸多問題都會撲面而來,等待安全團隊的應答。所以說,是我們在激勵他們關注熱門事件,以幫助我們應對即將到來的緊急情況。
4. 追逐流行的細分市場
安全行業的很多人都在嘲笑或戲謔那些熱衷于追逐最新流行市場的企業。但是在嘲笑之前,先看看我們是如何鼓勵他們這些做的吧!對于初創企業來說,資金和公關(PR)通常都會緊跟最新的流行市場;而對于成熟企業來說,客戶是否投入預算也是關注最新的流行市場。說到底,追逐流行市場不過是為了獲取更多的關注和融資支持,以支撐企業更好地發展。
5. 寫下密碼
每個人都喜歡嘲笑那些寫下密碼的“愚蠢”用戶,但事實上,也許是他們應該嘲笑我們。因為身處安全行業,我們無法證明瘋狂復雜的密碼規則能夠改善我們各自的安全現狀,事實上,想要真正地改善安全現狀,我們可能需要徹底擺脫密碼。但是,當我們無法為用戶提供任何行之有效的方法,來解決這種瘋狂復雜的密碼規則時,對于他們來說,除了寫下自己根本記不住的密碼外還能怎么做呢(你一定會說還有密碼管理器,但是你一定也看到了很多密碼管理器存在漏洞的報道)?
6. 對事件響應毫無準備
當嚴重事件發生時,沒人喜歡意外的震驚感和措手不及的窘迫感。但是,建立一個成熟的事件響應能力談何容易,它不僅需要付出巨大的戰略努力,而且無法立即顯示出其價值(只有發生安全事件才能顯現價值)。如果組織只是追求立竿見影的戰術收益,而不是難顯成效的戰略收益,那么出現緊急情況時措手不及也就不難理解了。
7. 獲取“煙道式”(stovepiped)技術
我們經常會看到,在發生嚴重安全問題時,人們會異常期待即時解決方案(immediate solution)的出現。雖然我們需要確保及時處理嚴重問題,但是我們也要確保自己不會產生“膝跳反射”(knee jerk)并期待獲取幾乎“一次性”的快速修復方案。我們都不希望最終得到一個在未來沒有任何作用的“一次性”解決方案,但是我們卻沒有意識到,是我們在無意中激勵了我們的安全團隊放置更多的“煙道式”技術。
8. 安全預算不足
每個人都喜歡大型零售連鎖店的低廉價格,但同時也喜歡抱怨其缺乏合理的售后支持。我們無法真正地融合這兩種需求。正如我們都希望我們的供應商和提供商能夠以低廉的價格為我們提供更多價值一樣。安全是一項經常/間接(overhead)費用,當然,我們都知道它的重要性,但是我們無法強求我們的供應商和提供商都能將其作為優先事項。既然如此,我們不妨根據他們自身不同的規模來具體衡量其安全預算。
9. 培訓的團隊成員不足
組織團隊成員進行專業培訓需要花費一定的資金,并且需要他們脫離工作崗位一段時間。如果我們能夠看到培訓團隊成員所帶來的戰略性意義,那么就會認為這一切投資都是值得的。但是,如果我們僅以短期收益為目標來激勵他們,那么培訓成員不足也就不難理解了。
10. 協作不足
關于信息共享和協作的討論很多,但不幸的是,行動的次數卻遠少于討論的次數。造成這種情況的原因有很多,大多數組織都會鼓勵員工保持信息的私密性,以及粉飾安全計劃的真實狀態。但是,事實上,這種信息共享和協作并不可恥,相反地,它可以讓你得到進一步完善。但前提是,你必須做出正確的鼓勵行為來獲得正確的結果。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。