首席信息官的风险计算：偏执和警惕之间的界限

我在以色列出生和长大，记得第一次“冒险”去美国购物中心的情景。停车场停满了车，人们在转来转去，但我却找不到入口在哪里。我过了几分钟才意识到，美国的购物中心与以色列不同，并非所有购物中心的每扇门外都设有武装警卫和金属探测器。

我经常分享这个轶事，以此来阐明网络安全领域的“健康偏执”概念。正如以色列的政治现实让其公民对人身安全保持持续警惕一样，今天的 CISO 也必须在其员工中培养类似的精神，以做好准备，并保护自己免受不断变化的数字威胁的影响。

CISO本质上别无选择，只能对所有可能出错的事情保持偏执。相反，组织中的其他人通常不会那么偏执，直到坏事发生。

有用的警惕和令人衰弱的偏执之间的界限在哪里呢？

要求用户始终保持警惕状态既不现实，又会适得其反。在心理层面上，持续警觉可能会让人精神疲惫，常常导致疲劳和倦怠。当个人始终被要求保持高度警惕时，他们的认知功能可能会下降，生产力会下降，且更容易犯错误。这种警觉疲劳最终会抵消警惕的好处，使人们更容易犯错误。

在零信任时代，这些趋势只会加剧，我们被要求“永远不信任，永远要验证”。有些人如何将这一要求做到了极致，模糊了健康的怀疑主义和令人衰弱的不信任之间的界限。

网络安全中的零信任原则提倡严格的验证和监控，但至关重要的是对这种战略性策略和可能阻碍运营、协作和创新的偏执进行区分。

考虑一下组织在如何保护系统和数据方面，将偏执推进到不健康程度的一些方式。

1. 繁重的密码要求：密码的不足之处如今已为大多数用户所熟知，但密码依然被广泛使用。因此，多数大型组织都要求员工使用并定期更改的字符、数字和符号组合的复杂密码。然而，此类安全协议往往忽视了一个现实，即许多身份验证相关安全事件，并不是由于密码被破解，而是通过相对简单的社会工程攻击来实现。此外，如果强密码在暗网上被泄露，再复杂的密码也无法阻止攻击者实施撞库攻击。

2. 追求“零风险”：与许多战略努力一样，风险缓解往往会经历收益递减规律。过于严格的安全措施可能会降低工作效率，并使用户感到沮丧，导致用户寻找可能引入新漏洞的解决方案。追求绝对安全当然值得称赞，但将资源分配到对降低整体风险最有效果的领域往往更为实际。

3. 恐惧驱动的决策：我们常常根据基于恐惧和不确定性的情绪反应做出决策，而不是客观分析和理性判断。 例如，如果员工不小心点击了钓鱼邮件的恶意软件，由此导致的恐惧驱动反应可能是严格限制所有员工的互联网访问，阻碍生产力和协作，而不是通过更好的培训或更细致的访问控制来解决问题。

有时，我们忘记了偏执和焦虑在物种集体生存中所发挥的关键作用。我们的早期祖先生活在充满掠食者和其他未知威胁的环境中。适量的偏执使他们更加警惕，帮助他们发现并避免潜在的危险。

当今时代的挑战是如何区分真正的威胁和无休止的虚假警报噪音，确保我们遗传的偏执和焦虑为我们服务，而不是制造阻碍。它还要求我们承认并解决安全计算中的人为因素。

正如已故知名黑客”凯文・米特尼克（Kevin David Mitnick）所说，“随着开发人员不断发明更好的安全技术，利用技术漏洞变得越来越困难，攻击者越来越多地转向利用人的因素。破解人类防火墙通常更容易。”

安全领导者可以采取哪些措施来更有建设性地利用这些本能，以便能够帮助用户警惕并应对这些现实世界的危险，而不至于不知所措？

以下是一些可以提供帮助的策略。

1. 拥抱安全从设计开始的策略：宣称安全是每个人的责任，并倡导普遍的安全文化是常见说法，但真正的挑战在于如何运用思维方式并将安全措施整合融入产品和系统开发的各个环节。为了真正实现这一目标，安全原则必须无缝嵌入到流程和实践中，确保其成为本能行为，而不仅仅是强制任务。

2. 强调边缘情况：边缘情况是指在预期的系统边界之外发生的情况或用户行为。 对于例如，大多数 CISO 都会优先考虑防范数字威胁，但如果有人现场造访服务器机房会发生什么？随着技术和用户行为的发展，今天被认为是边缘情况的，在未来可能会变得更加普遍。通过识别并应对这些异常情况，安全团队将能够更好地应对未来不确定的威胁。

3. 安全培训必须持续：安全培训不应是一次性的举措。制定强有力的政策是至关重要的第一步，但指望人们会自动理解，并始终如一地遵守这些政策是不现实的。人性天生并不够记住仅出现一次的信息并根据其采取行动。这不仅仅是提供信息，而是通过反复培训不断强化知识。时不时的推动或提醒，即使感觉像是唠叨，对将安全原则放在首位，并确保长期合规，发挥着至关重要的作用。

正如作家约瑟夫·海勒在 《第二十二条军规》中所写，“你偏执并不意味着不再受到攻击。”这是一个很好的提醒，在这个不可预测的世界中，健康适度的偏执可能是防止自满的最佳方法。