看《深度生存》,从其中的很多关于生存的观点,来审视信息安全。
书中提到的“风险平衡理论”,也就是说,人会愿意承担一个某种程度的风险。这和你采用多少的安全防护措施无关。如果你为汽车增加了ABS,车子就会开得更快;如果你再增加了气囊、EBS等措施,车子会开得更快,而且还会敢于在复杂道路上疾驰。而如果这个时候开的是一个破旧的小面包车,你知道车子性能不够好,没有气囊,重心高容易翻车,前面没有鼻子自己比较危险,一个敢于快开宝马的人可能也会小心翼翼地把这辆面包车开成一辆“面”车。
一个人有这样的“风险平衡”观念,一个组织也一样具有这样的观念。如果我们不了解这种现象,一味地增加安全措施(尤其这些安全措施仅仅是购买而没有实施),反而会让整个机构处于盲目乐观的过度自信状态,安全事故就会随时而至。
在风险平衡观下,改善这个问题有三种方式:
* 第一,就是调整人们的风险平衡值。让机构和人们对于风险产生更大的畏惧心理,这样人们就会更倾向于采取比较安全和保守的策略。当然,这样的调整,需要达到业务发展和安全保障的平衡。过度的畏惧心理会阻碍正常业务的开展。
* 第二,就是充分地展示潜在的风险。人们的盲目乐观,其实就是因为他们根本不知道那些危险的存在。就像赫金斯基议员不了解火车机车的威力,而仅仅将其当作马车来看待,最终命丧车轮下。不知道风险的存在,是人们的大敌。所以,充分地加强检测能力,让机构充分地了解各方面的风险。这种检测可能是设备,也可能是服务。
* 第三,客观地表达安全措施的作用。人们过度信赖安全措施是对于风险误判的重要原因之一。比如,认为车子很高级很安全,认为防火墙已经能够挡住攻击,认为我的PC已经安装了防病毒软件可以具有免疫能力等等。这样非常危险。将安全措施的能力有效地客观地展示出来,可以让人在“风险平衡观”下,作出更加妥当的决策。
|
潘柱廷 
