在决策过程中,我们并不总是像自己想象的那么明智。这一点在日常生活中体现得非常明显,从午餐吃什么之类微不足道的小事,到买什么类型的车,选什么地方定居之类的人生大事,谁能保证每一个决定都是理性而明智的呢?
有些认知偏差,或者偏离理性的判断,会影响我们决策的方方面面。如果认为此类不理性思维不会导致网络安全风险视角扭曲,或者不会在企业系统防护上做出失策判断,那就真是太蠢了。以下便是安全人员应该特别注意的9种认知误区:
1. 可得性启发法
大脑中容易走的通路,我们自己容易想到的事情也会认为它在世界也上容易发生,自己的经历被我们投射到了世界。这是我们过于依赖最先出现在脑海的东西而产生的偏见。容易陷入可得性启发的人,会将注意力放在最近的事件上,无论最近的事件是蠕虫攻击(比如00年代早期发生的那些)、勒索软件(现在流行的)、僵尸网络、拒绝服务攻击,还是什么最近的趋势。这是赶场救火的好方式,却是打造可持续风险管理项目的最烂方式。
2. 确认偏差
这种偏差发生在我们寻找和解释新信息以证实当前观点的时候,忽视了与观点相悖的数据或意见。信息安全领域中,这种现象多见于高管们认为技术可以提供大部分防御,只看到设备的成功之处,忽视其中缺陷,导致夸大真实有效性的时候。
3. 信息偏差
若有信息偏倚,安全人员就会发生评估失误或信息错误。在着手威胁研究、公司评估,或新安全控制有效性测评的时候,常会出现此种现象。或许有高管认为信息越多越好,却不知道哪些信息更具价值,也不知道不完全的信息也可能得出强力决策。这也被称为观察偏倚 。
4. 鸵鸟效应
日常生活中很常见的一种现象。比如,不能面对谈及自身财务状况的痛苦,不愿听到自家熊孩子的斑斑劣迹。网络安全界也没什么不同,软件厂商不想知道被安全研究人员发现的漏洞,企业高管不想处理漏洞扫描的结果。
5. 创新支持倾向
这是一种只要是新技术就要推广使用的误区。技术领域一直是这样,一种新解决方案或新技术在市场上冒头,交易展会和媒体疯狂报道推介,然后这个概念就炒热了。在安全领域,大数据、威胁情报、云安全之类的技术,或者随便什么当前趋势,就把创新支持偏见体现得非常明显了。要注意的是,那些推介最新创新的人,或许自己也是被创新支持偏见蒙蔽而没看到其中局限性的人。
6. 幸存者偏差
幸存者偏差是一种选择偏差。生活中的某些方面可见,比如,只看到别人的成功,不看别人之前的失败,觉得别人成功创业,自己也能轻松成功。这种思维方式,会影响到风险管理决策。比如,看着别家公司没遭受公开的毁灭性的数据泄露,就自动以为自家公司遭数据泄露的几率也非常小。
7. 零风险偏好
社会上的零风险偏好那真是看得多了,尤其是在看待恐怖主义、犯罪和司法,以及公共安全问题上。困难与挑战往往是在彻底清除犯罪和风险的框架下讨论的。这明显很荒谬。犯罪和风险可被管理或最小化,但不可能彻底清除。网络安全上也是如此。但是,听听人们怎么谈论信息安全的。根本不是在可接受的风险减小的框架下,而是要绝对的减少风险。
8. 跟风随大流
厂商和安全高管间常见随大流效应。某年的主要安全会议上,大家谈论的全都是大数据,之前一年是管理、风险和合规的仪表板。咱们还是不要跟风炒作,把注意力集中在公司具体的需求上吧。
9. 自动化偏见
我们已经被计算机产生的仪表盘和控制台淹没了。目前的趋势就是要信任这些系统上显示的信息,而自动化偏见,正是这一信任此类系统的趋势。我们很容易就忽视掉其他可能性,而专宠机器显示的东西。维基百科的自动化偏见条目解释为:“该偏见以排拒与纳入上的失误呈现:排拒上的自动化偏见,发生在人们依赖自动化系统,但系统根本暴露不出问题时;纳入上的自动化偏见,则发生在人们基于自动化系统传递的错误建议做决策的时候。
本文转自d1net(转载)