在招聘合格的安全人员时,既定的做法告诉我们要寻找一系列积极的信号。理想的同事,按照传统智慧,应该是全面和开放的,拥有从广泛的认证和扎实的正规教育到以前的职业成功和已知的合作精神的一切。
这尤其适用于CISO及其关键副手的招聘,但招聘经理应如何在招聘过程中考虑危机经验呢?如何评估在压力下的表现,并确保这种关键经验不仅仅是学来的偏见?
有效评估个人资质中的危机经验,风险很高。心理学研究和商业研究告诉我们,典型的危机可以带来一系列病态行为,从隧道视野和过度自信到对群体思维的偏好——决策者倾向于依赖过去的危机时刻来应对未来的行动。
在入侵事件中,如果CISO在关键分析上出现缺陷,他们可能更容易忽视他们认为可以防止类似事件的新机器学习产品中的数据质量或道德问题,或者在危机期间与保险公司的积极支持经验可能会反常地激励与保险提供商过于舒适的关系,从而限制创新的安全思维。
网络危机经验不同于其他危机经验
幸运的是,最近关于网络安全事件和专业人员的研究揭示了网络事件对决策的影响。传统的危机影响观认为,心理影响从重大事件中波及开来,从直接受影响者到最远的受影响者,换句话说,你离得越近,主观性和偏见的潜力越大。
然而,对于网络事件,距离似乎是反向起作用的,危机响应者更有可能将这些事件视为特有的,充满了需要谨慎对待的独特变量,另一方面,对危机有兴趣但没有利益关系的决策者更有可能抓住现实中的相似之处——即使它们与网络安全无关——并从中学习可能误导的教训。
关于围绕网络危机经验的实际招聘问题,答案是反直觉但最终简单的——招聘有危机经验的人,但要警惕旁观者!
当Julius Caesar跨越卢比孔河时,这不仅是一个政治或战略上的不归点——他选择了通过向罗马进军并改变历史来违反法律和几百年的惯例,最终发动了一场内战,使Caesar成为终身独裁者,并开启了罗马帝国。
几十年的心理学证据表明,这些跨越卢比孔河的时刻是从审慎(思考)心态转向实施(行动)心态的结果。重要的是,这不仅仅影响历史上著名的人物,而是影响所有人。如果CISO的工作主要由常规安全任务和危机预防组成,那么他们的心态主要会是审慎的。
即使是常规的安全决策,例如选择新的供应商合作伙伴或应对轻微的安全事件,也由“如果……会怎样?”的面向未来的心态定义,这种心态面向角色的核心任务。
当存在危机来袭时,无论是战争爆发、大规模勒索软件攻击还是车祸,都会跨越一个“卢比孔河”。心理学家一致认为,这是最有可能偏离客观性的时刻。毕竟,此刻的任务不再是计划,而是行动!
危机时刻可能导致失去客观性
典型危机的心理影响并不一致,但它确实让我们普遍容易失去客观性,我们可能倾向于群体思维,过度自信于已经制定的计划,甚至对未知因素产生毫无根据的恐惧。
然而,一般来说,决策者倾向于几个关键影响——他们对新信息更新预期的接受度较低,并且倾向于对新信息产生偏见。
他们表现出比正常情况下更高的认知失调、自利评价和控制幻觉,而且,在没有明显障碍阻碍成功的情况下,他们对自己执行任务的能力会变得更加乐观(或不切实际)。
这些倾向是现代行为科学中记录最详尽的,在更广泛的本土和国家安全领域,它们也构成了思考安全事件暴露的基础。
犯罪、恐怖袭击、自然灾害甚至金融灾难的接近可能会造成真正的情感创伤,有时甚至是存在性的创伤。对于执法人员或类似领域的人来说,在招聘时评价危机经验的问题变得更加慎重。
过去的事件是否导致该专业人员出现意外行为?过去的事件是否主导了他们当前的角色定位?
最重要的是,对过去事件的客观分析是否反映在他们对新危机的反应中?如果是这样,危机经验可能是一个加分项。如果不是,则可能需要谨慎对待。
网络危机响应的工作方式不同
对于那些希望雇佣新的CISO或其他关键网络安全人员的人来说,这种逻辑是否成立?最近的研究表明并非如此。相反,专家们越来越指出,重大的网络安全事件很少具有我们预期的其他类型安全事件中明显的存在性或情感上的利害关系。
即使在看似存在风险的情况下,网络攻击中也很少出现物理损坏或破坏。结果是在网络安全中,心理影响更多地出现在远离攻击中心的地方,而不是事件的核心。
额外的研究描述了网络安全响应是寻找相似之处。当个人遇到危机事件时,心理学证据表明他们会使用类比和历史来理解情况的范围、可能的解决方案及其道德维度。
对于网络事件,由于不熟悉,人们会寻求类似的情况,但应对网络事件需要的是操作视角而不是战略意识,并且在危机响应核心的人员通常拥有最多的信息,这有助于揭示特定事件的独特细节,并阻止过度概括。
相反,普通公众通常对网络安全事件的特殊性了解较少,对事件进展的可见性也较低,这导致普通公民会使用历史类比(如在试图理解对医院的勒索软件攻击时,联想到对政府设施的恐怖袭击),这些类比可能根本不是数字性质的。
招聘时要重视危机经验,但要警惕旁观者
最近的研究明确表明,在网络安全招聘中,重视危机经历的风险较小,潜在价值更大,这与传统思维背道而驰。
只要候选人的履历是可验证的,并且在入侵事件中的贡献是清晰的,直接的危机经历实际上比传统指标更能预示未来的成功。
相比之下,要警惕“旁观者”,即那些拥有资历但其经验来自于在危机中的远距离参与的人。虽然这些人可能对其组织做出积极贡献,但在招聘中,危机经历的角色相对于未来表现的传统指标应被淡化。
当然,对于招聘经理和CISO来说,一个挑战是决定什么构成了人员决策中的危机暴露。最新的研究共识是,参与响应生命周期的多个阶段——受到攻击中断的影响或帮助准备未来响应——的经验远比仅仅目睹一次攻击要好得多。
那些经历了初始妥协或其他攻击影响,然后进行定位、分析和缓解活动的人,更不容易出现过度概括和错误的信息反应。
显然,危机经历在网络安全中的价值应与其他领域不同。那些在响应生命周期的各个阶段接近威胁事件的人,在未来的危机中更能保持客观性,而那些没有这种经历的人则更有可能从偏见的立场出发。
这表明,不仅招聘CISO时应寻找这些背景的人,还应支持能够反映这些经验的活动和招聘基准,如参与多样的桌面演练或模拟设计。
研究一致支持的观点是,不要寻找全能型人才,而是寻找多才型人才,在多样化职业培训和关键角色经验之间取得平衡。