令人恼怒的十个安全悖论

安全 应用安全
在对某些行为感到恼怒前,先要对它们有更为深入地了解。这就是我们可以在安全领域学到的东西。本文介绍了10个“令人恼怒但同时却有着深层原因的安全行为”。

任何具有相当驾龄的人应该都能了解交通堵塞是多么令人沮丧的事。交通堵塞可能由多种原因引起,其中包括“并道”行为。对于那些没有及早变道,而是在***时刻“并道”进来的车辆,你可能也会和我一样感到愤怒。

但是,如果我们退后一步并战略性地思考这个问题,就很难再对***时刻的“并道”行为感到愤怒了。为什么我会这么说呢?首先,大多数人都在与“并道”行为作斗争,也就是说,我们会利用每一条可用的道路绕过那些努力并道的人。而事实上,有证据表明,***一刻的并道实际上是对缓解交通有利的行为。

美国明尼苏达州交通当局在高速公路维修路段进行的“***一刻再并道”的实验显示,这种驾驶方式可以降低因为修路减少车道而产生的交通堵塞40%。专家们建议的正确的驾驶方法是:所有的人都应该在自己原来的车道上行驶,直到***一刻再并道,这样做的好处是两个车道在并道前都得到了充分的使用。

但是,这种交通模式又与安全存在什么联系呢?我认为,这件事教会我们在对某些行为感到恼怒前,先要对它们有更为深入地了解。这就是我们可以在安全领域学到的东西。为什么这么说呢?当然,这是一个比较深刻的问题,下面是十个“令人恼怒但同时却有着深层原因的安全行为”。

[[230646]]

1. 战术性地专注

在很多场合中,我都曾听到各种不同的组织抱怨他们的安全团队过于专注战术。这种情况当然可能确实如此。但是,如果你的主要指标中包含一周内已触发警报的数量,以及打开和关闭的凭证数量,你又会否因为他们努力完成你激励他们完成的估量任务而再错误地迁怒他们呢?

2. 灭火队员

没人希望自己的安全团队疲于奔命在应对一个接一个的紧急情况,而没有多余的精力专注其他关键业务。但是面对如此情境我们有时候又很难去责难安全团队,因为存在一些合理需求让他们不得不抛开其他一切问题来应对这些紧急情况。然后,不得不说,很多时候,这些搞得安全团队精疲力尽的“紧急情况”,都是由于公司对问题和安全团队的能力缺乏理解和信任而造成的。

3. 热门事件

我们有时候会反感安全团队谈论热门事件,但是说实话,我还没有遇到过真心享受陷入热门事件中的安全团队。很多时候,谈论热门事件对于他们来说只是毫无选择的事情。当热门事件发生时,关于“我们应该如何应对”、“我们是否会受此事件影响”以及“我们是否受到保护”等诸多问题都会扑面而来,等待安全团队的应答。所以说,是我们在激励他们关注热门事件,以帮助我们应对即将到来的紧急情况。

4. 追逐流行的细分市场

安全行业的很多人都在嘲笑或戏谑那些热衷于追逐***流行市场的企业。但是在嘲笑之前,先看看我们是如何鼓励他们这些做的吧!对于初创企业来说,资金和公关(PR)通常都会紧跟***的流行市场;而对于成熟企业来说,客户是否投入预算也是关注***的流行市场。说到底,追逐流行市场不过是为了获取更多的关注和融资支持,以支撑企业更好地发展。

5. 写下密码

每个人都喜欢嘲笑那些写下密码的“愚蠢”用户,但事实上,也许是他们应该嘲笑我们。因为身处安全行业,我们无法证明疯狂复杂的密码规则能够改善我们各自的安全现状,事实上,想要真正地改善安全现状,我们可能需要彻底摆脱密码。但是,当我们无法为用户提供任何行之有效的方法,来解决这种疯狂复杂的密码规则时,对于他们来说,除了写下自己根本记不住的密码外还能怎么做呢(你一定会说还有密码管理器,但是你一定也看到了很多密码管理器存在漏洞的报道)?

6. 对事件响应毫无准备

当严重事件发生时,没人喜欢意外的震惊感和措手不及的窘迫感。但是,建立一个成熟的事件响应能力谈何容易,它不仅需要付出巨大的战略努力,而且无法立即显示出其价值(只有发生安全事件才能显现价值)。如果组织只是追求立竿见影的战术收益,而不是难显成效的战略收益,那么出现紧急情况时措手不及也就不难理解了。

7. 获取“烟道式”(stovepiped)技术

我们经常会看到,在发生严重安全问题时,人们会异常期待即时解决方案(immediate solution)的出现。虽然我们需要确保及时处理严重问题,但是我们也要确保自己不会产生“膝跳反射”(knee jerk)并期待获取几乎“一次性”的快速修复方案。我们都不希望最终得到一个在未来没有任何作用的“一次性”解决方案,但是我们却没有意识到,是我们在无意中激励了我们的安全团队放置更多的“烟道式”技术。

8. 安全预算不足

每个人都喜欢大型零售连锁店的低廉价格,但同时也喜欢抱怨其缺乏合理的售后支持。我们无法真正地融合这两种需求。正如我们都希望我们的供应商和提供商能够以低廉的价格为我们提供更多价值一样。安全是一项经常/间接(overhead)费用,当然,我们都知道它的重要性,但是我们无法强求我们的供应商和提供商都能将其作为优先事项。既然如此,我们不妨根据他们自身不同的规模来具体衡量其安全预算。

9. 培训的团队成员不足

组织团队成员进行专业培训需要花费一定的资金,并且需要他们脱离工作岗位一段时间。如果我们能够看到培训团队成员所带来的战略性意义,那么就会认为这一切投资都是值得的。但是,如果我们仅以短期收益为目标来激励他们,那么培训成员不足也就不难理解了。

10. 协作不足

关于信息共享和协作的讨论很多,但不幸的是,行动的次数却远少于讨论的次数。造成这种情况的原因有很多,大多数组织都会鼓励员工保持信息的私密性,以及粉饰安全计划的真实状态。但是,事实上,这种信息共享和协作并不可耻,相反地,它可以让你得到进一步完善。但前提是,你必须做出正确的鼓励行为来获得正确的结果。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2010-11-16 09:07:32

2011-10-31 10:49:53

2024-06-24 10:00:00

Python编程

2020-05-29 11:48:01

安全运维信息安全网络安全

2023-02-17 09:52:26

2024-05-16 11:09:40

Python字符串代码

2011-05-30 10:35:26

2011-08-01 09:20:16

2012-11-21 13:52:27

2022-11-03 15:26:52

2010-10-20 09:37:00

vi编辑器

2023-11-18 09:07:59

Go语言技巧

2009-12-17 10:29:42

2023-02-24 14:28:56

2023-04-07 17:19:04

2015-03-24 11:04:58

2019-12-26 12:11:50

安全主管网络安全CISO

2009-07-09 09:15:22

2024-08-22 08:57:32

Python技巧参数

2016-09-07 14:29:13

GitHub安全SQL
点赞
收藏

51CTO技术栈公众号