让企业安全项目最终失败的9种误区

在决策过程中,我们并不总是像自己想象的那么明智。这一点在日常生活中体现得非常明显,从午餐吃什么之类微不足道的小事,到买什么类型的车,选什么地方定居之类的人生大事,谁能保证每一个决定都是理性而明智的呢?

有些认知偏差,或者偏离理性的判断,会影响我们决策的方方面面。如果认为此类不理性思维不会导致网络安全风险视角扭曲,或者不会在企业系统防护上做出失策判断,那就真是太蠢了。以下便是安全人员应该特别注意的9种认知误区:

1. 可得性启发法

 


 

大脑中容易走的通路,我们自己容易想到的事情也会认为它在世界也上容易发生,自己的经历被我们投射到了世界。这是我们过于依赖最先出现在脑海的东西而产生的偏见。容易陷入可得性启发的人,会将注意力放在最近的事件上,无论最近的事件是蠕虫攻击(比如00年代早期发生的那些)、勒索软件(现在流行的)、僵尸网络、拒绝服务攻击,还是什么最近的趋势。这是赶场救火的好方式,却是打造可持续风险管理项目的最烂方式。

2. 确认偏差

 


 

这种偏差发生在我们寻找和解释新信息以证实当前观点的时候,忽视了与观点相悖的数据或意见。信息安全领域中,这种现象多见于高管们认为技术可以提供大部分防御,只看到设备的成功之处,忽视其中缺陷,导致夸大真实有效性的时候。

3. 信息偏差

 


 

若有信息偏倚,安全人员就会发生评估失误或信息错误。在着手威胁研究、公司评估,或新安全控制有效性测评的时候,常会出现此种现象。或许有高管认为信息越多越好,却不知道哪些信息更具价值,也不知道不完全的信息也可能得出强力决策。这也被称为观察偏倚 。

4. 鸵鸟效应

 


 

日常生活中很常见的一种现象。比如,不能面对谈及自身财务状况的痛苦,不愿听到自家熊孩子的斑斑劣迹。网络安全界也没什么不同,软件厂商不想知道被安全研究人员发现的漏洞,企业高管不想处理漏洞扫描的结果。

5. 创新支持倾向

 


 

这是一种只要是新技术就要推广使用的误区。技术领域一直是这样,一种新解决方案或新技术在市场上冒头,交易展会和媒体疯狂报道推介,然后这个概念就炒热了。在安全领域,大数据、威胁情报、云安全之类的技术,或者随便什么当前趋势,就把创新支持偏见体现得非常明显了。要注意的是,那些推介最新创新的人,或许自己也是被创新支持偏见蒙蔽而没看到其中局限性的人。

6. 幸存者偏差

 


 

幸存者偏差是一种选择偏差。生活中的某些方面可见,比如,只看到别人的成功,不看别人之前的失败,觉得别人成功创业,自己也能轻松成功。这种思维方式,会影响到风险管理决策。比如,看着别家公司没遭受公开的毁灭性的数据泄露,就自动以为自家公司遭数据泄露的几率也非常小。

7. 零风险偏好

 


 

社会上的零风险偏好那真是看得多了,尤其是在看待恐怖主义、犯罪和司法,以及公共安全问题上。困难与挑战往往是在彻底清除犯罪和风险的框架下讨论的。这明显很荒谬。犯罪和风险可被管理或最小化,但不可能彻底清除。网络安全上也是如此。但是,听听人们怎么谈论信息安全的。根本不是在可接受的风险减小的框架下,而是要绝对的减少风险。

8. 跟风随大流

 


 

厂商和安全高管间常见随大流效应。某年的主要安全会议上,大家谈论的全都是大数据,之前一年是管理、风险和合规的仪表板。咱们还是不要跟风炒作,把注意力集中在公司具体的需求上吧。

9. 自动化偏见

 


 

我们已经被计算机产生的仪表盘和控制台淹没了。目前的趋势就是要信任这些系统上显示的信息,而自动化偏见,正是这一信任此类系统的趋势。我们很容易就忽视掉其他可能性,而专宠机器显示的东西。维基百科的自动化偏见条目解释为:“该偏见以排拒与纳入上的失误呈现:排拒上的自动化偏见,发生在人们依赖自动化系统,但系统根本暴露不出问题时;纳入上的自动化偏见,则发生在人们基于自动化系统传递的错误建议做决策的时候。

本文转自d1net(转载)

时间: 2024-09-17 03:13:22

让企业安全项目最终失败的9种误区的相关文章

为什么企业要为ERP项目的失败承担大部分责任?

很多企业在做完ERP项目之后,如果感觉做得很糟糕,就会把罪责推到ERP厂商身上,认为是他们的软件功能不好.或者把罪责推到咨询公司的实施顾问身上,认为是顾问们的水平不高,没有帮企业把项目做好.总之在很多ERP案例中,ERP厂商或者咨询公司成了项目失败的替罪羊. 但是我们不得不承认,这些ERP失败其实主要是企业自己造成的.如果去媒体或者网络上查看一些总结ERP项目失败原因的清单,我们就会发现,不管是哪个清单,通过查看前面的五个原因,都可以明显地了解到,企业要为ERP项目的失败负有不可推卸的责任. 退

创建一个典型的企业网站项目

简介:这是一个真实的故事.故事中,我作为一个项目的负责人,因为初期过于迎合客户,而放弃了对一些基本原则的坚持,最终导致项目进行中被迫进行大改动.而改动过程中,通过引入敏捷开发而将损失降到了最低. 项目背景 2006年年初,一位客户联系我的公司,希望能够为其企业创建一个企业网站项目.根据客户的简单描述,这个项目本质上就是一个内容管理系统,并集成了论坛.FTP和电子邮件等功能,因此不算复杂.按照以往的经验估计,最多一个月就可以完成这个简单的项目. 需求分析 大体而言,该项目的主要功能包括新闻和文章发

大数据项目为什么失败,2017年将有何不同

  随着企业努力在数字时代完全采用数据驱动,生态系统正在发生重大转变.由于企业应用程序生成数据成为一种趋势和潮流,收集数据的洞察力变得越来越复杂. 此外,数十亿用户和数万亿连接的物联网设备在企业外部产生指数级更多的数据.企业部署云计算,移动和分析技术,希望将这些数据转化为洞察力.然而根据调配机构Gartner预测,2017年将有60%的大数据项目失败.他们不会超越试验阶段,最终将会放弃. 企业在将数据资产链接到战略价值之间发生了什么脱节?根据专家的经验,主要是有工作人员缺乏技能或专业知识,以及技

我所经历的ERP项目的失败

这几天的晚上,总是梦见以前在台州工作的不快的经历,白天有时也会回想起在那里经受的种种.我不知道何时才能够完全忘却和理解当时经历的委屈和磨砺,然而在那里所经历的项目的失败却一直催促着我进行一个系统化的总结,在离开它的这两年里,这种失败的经验总是零零碎碎的唤起我的记忆,提醒我在工作中保持谨慎和细微的态度. 作为时任企业CIO和甲方项目经理的的我,为推进企业的ERP上线,可谓付出了很多的心血和精力,然而也正是因为对企业政治理解的匮乏和对ERP项目本身理解的偏差,导致了表象的成功,却孕育了巨大的最终失败

大数据项目遭遇失败的八个理由

大数据目前已经成为万众瞩目的焦点,已经有众多企业在拼命把自己的数据投付使用.希望借此为重要决策提供支持.尽管大数据宣传与炒作可谓如火如荼,但仍有 92%的企业始终保持中立态度,即计划在"合适的时间"着手实施或者表示不打算接触大数据项目.而在那些已经亲身实践大数据项目的企业中,多数遭遇失败.而且往往是掉进了同样的几个陷阱当中. 取得大数据项目成功的关键在于构建一套迭代型方案,鼓励现有员工参与并使用,从而在一系列无关紧要的失败中学习知识并积累经验. 从众心理 大数据绝对是项转折性的伟大技术

没有数据驱动文化 大数据项目将失败

寻求大数据项目的成功?记住:文化为王. Tara Paider,是位于俄亥俄州哥伦布市,Nationwide Insurance公司的IT架构的副总裁,对于数据专家渴望获得大数据项目的成功,给出了一些建议:大数据项目失败的最大原因之一,既不是技术,也不是数据的数量.而是人. 例证:Nationwide的保险代理人的日常工作的一部分,是确保保费上升时,客户不转换到其他保险公司.有一个列表,列出保费将在未来30天内上升的客户,代理拿起电话,与他们最好的客户解释这些变化.一项新客户数据分析项目发现,这

电信企业信息化项目中的需求风险和控制

在全球软件业高速发展的今天,软件项目的实施情况却不甚理想.据统计,约80%-90%信息化投资没有达到预期目标,80%的项目超期或超预算,40%的项目以失败告终,只有不足25%的项目达到预期的技术和业务目标.这种局面的出现是与软件项目本身所蕴含的诸多风险密切相关的,如技术风险.管理风险.需求风险等:而能够对需求风险进行有效控制则是决定整个项目成败的关键. 企业信息化项目中存在的主要需求风险 1.软件需求的定义和层次 什么是软件需求呢?关于这个概念有各种各样的定义,http://www.aliyun

紫金矿业之殇:豪取国资 募投项目屡屡失败

大型金矿多属国有,但拥有富矿的 紫金矿业是怎样被烙上了强烈的民营色彩?上市吸金之后,募投项目又为投资者带来了什么?在淘金的过程中,又是怎样只为利益,无视环保? 紫金矿业位于福建上杭县的汀江河流域,毛泽东曾写诗"红旗越过汀江,直下龙岩上杭",如今,上杭县渔民改为"紫金毒害汀江,老区人民血扬". 最近两周之内,紫金矿业发生了两次可能致癌的污水渗漏到汀江,致使死鱼遍江,给上杭县城居民造成了无法计量的经济和生活损失. 在我国,有色金属如中金黄金.江西铜业,山东黄金等都属于国

你的大数据项目离失败有多远?

导读大数据项目的成功或许不可复制,但从失败中汲取教训同样很有意义.作者从本人实践项目入手,从商业目标.商业案例.项目管控.沟通.技能等角度分析其失败的原因. 过去六个月里,我发现大数据项目的总量正在以惊人的速度增长着,大多数与我合作过的公司都计划在接下来一年内,进一步拓展大数据项目的领域.其中,许多项目都被报以很高的期望,但大数据项目,远没有想象中那么简单.我认为,其中半数的大数据项目最终都无法达到他们的预期. 失败的原因是多方面的,许多显而易见的问题或者影响因素都会对大数据项目造成致命的打击,