一项科学研究表明:决策错误会触发工作环境中的安全隐患,从而导致一系列的危险后果。如果该危险继续下去,就会发生更多不受欢迎的安全事件,进而让我们别无选择,只能解决。对此,昆明亭长朗然科技有限公司安全意识产品总监董志军表示:这项研究结果与社会治理的理念颇为相似,通常来讲,当领导拍脑袋做一项决策后,刚开始执行效果还不错,可是执行一段时间后,就发现弊病不断出现,而且越来越严重,直到下一任领导上台,同样拍了拍脑袋,开始扭转方向,甚至做出另一个方向的决策,结果可想而知,同样会经历上述的一种忽左忽右的循环往复。这正表明:人类在曲折中前行。

传统上讲,“安全事件”被视为具有一定严重性和规模的故障。鉴于对这种重复性错误链的基本了解,我们可以看到许多人对影响决策(作为和不作为)的“失败”有先入为主的信念。

不过,问题的根本原因永远没有那么简单,这就是我常说的一句话:不要什么事情都怪领导,也不要什么事情都找政府。首先,好人会犯诚实的错误。快节奏、瞬息万变的世界有时比我们聪明。我们永远无法无误地工作,这也就是所谓的“人无完人”。不法分子通过尾随或假装不方便使用访问卡等方式,可以利用好人们的友善,混进建筑物。这种情况,能怪领导倡导友爱互助的工作气氛吗?能找政府,说说有管好不法分子吗?

信息安全研究专家称:如果我们降低人为错误,我们将降低故障发生率。信息系统基本上不可能是绝对安全的,漏洞通常会被不断发现。解决的方法就是将安全特性设计到系统之中,即人们常说的Build Security In,内建安全。不过,内建安全也不是万能药,假想的前提是工作人员都做好了准备,并且具备所需的相关知识。拥有相关知识和正确地应用这些知识是两个不同的概念。现实之一是很多人并没有足够的专业知识,尽管他们在岗位上工作着。很多员工缺乏足够的信息安全意识,很多领导干部缺乏保密管理意识,他们表面上在正常工作着,暂时还没出事,但是早晚会触雷的。现实之二是有些人有很多知识,但不知如何应用于工作之中,甚至在工作中并没有可以使用的舞台,这就是一种错位搭配。粗心大意的或者喜欢恶作剧的职员,很容易受到电话诈骗或网络钓鱼攻击。而内向敏感的职员,有时可能因为不满组织的对待,却不通过正常渠道发泄,而成为内部隐患。因此,我们必须首先拥有知识,以正确的方式组织知识,然后知道何时应用知识。

作为人类,我们假设糟糕的结果源自于糟糕的过程。尽管在某些情况下这可能是正确的,但不应将其概括为“绝对正确”。通常,当结果不好时,相关人员正在因循守旧地做他们过去所做的事情,这些事情对他们来说是成功且安全的。这种惯性使他们的行为保持不变,问题是他们的工作环境或外部条件可能已经改变了。

大多数行业都会同意有70%到80%的事故是由于人为错误造成的。这是正确的认识吗?答案因人因事而异,取决于我们对这种“不幸事件”的反应。

许多人认为,为了确保人们“把事情做正确”,我们应该强制执行更多规则,人们会遵守这些规则。不幸的是,这并不总是正确的,因为人们并不是在“做正确的事情”。如果因为输入复杂的登录密码,耗费脑力记忆和工作时间,就使用空密码或者简单密码,貌似是想提升工作效率,把事情做好,实际上,方向错了,在做错误的事情,反而造成的损失更大。

添加更多规则和收紧程序会增加我们工作环境的复杂性。结果,程序和实践之间的差距没有缩小,反而扩大了。当这种情况发生时,发生安全事故的风险就会增加。有些安全制度和管理流程可以简化,以便在安全性与便利性方面获得良好的平衡,如果过度复杂,比如安全工具或者例外情况的申请流程复杂,审批时间过长,员工们可能会放弃,或者想通过其它不安全的方式规避申请流程,进而增加安全管理漏洞,让安全环境变得更复杂。同样,如果安全技术管控过于苛刻,比如全面禁止工作时间上网,员工们要么消极怠工,要么使用非授权通道,比如使用非法VPN,或者使用手机的热点分享网络连接,进而给企业网络打开更多漏洞。

尽管不应期望实践等同于程序,但是两者之间的微小差距是可以接受的。任何程序都不可能涵盖所有可能发生的事件和条件。因此,在我们的程序中必须给予一定的判断力。如果没有这样的判断空间,就会给工作人员戴上手铐,不允许他们将他们的内部知识应用于在程序中没有考虑到的意外情况。这种情形很普遍,法律专家对此表示,“法不禁止皆可为”沦为“法不禁止皆可胡作非为”。我们强烈呼吁:要正确认识到人为错误是大多数安全事故的根本原因。安全事故调查人员应多关注人员相关因素并寻求解释事故的原因。

通过理解组织系统中存在的更深层次的问题,可以尝试理解人们为什么会做出他们所做的决定。当出现不良结果时,通常会在错误链的某个地方做出错误的决定。我们必须相信,做出错误决定的人并非有意为之,尽管结果可能很严重。

最新的科学研究表明:人为错误不是随机的。我们可以将决策模式和趋势追溯到以前的行为。人为错误不是分析的终点,而是起点。通常来讲,在新员工入职的一个月内,应该强化信息安全意识的导入和培训。同时,由于遗忘因素,以及新威胁的不断出现,针对全员,应该定期(比如年度)进行安全意识的刷新工作,这是保持人脑更新,防止人为错误的关键。通过修复人为错误,防范安全事件,才是安全“技术控”和“流程控”们应该警醒和值得立即付出行为的。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。