任何具有相當(dāng)駕齡的人應(yīng)該都能了解交通堵塞是多么令人沮喪的事。交通堵塞可能由多種原因引起，其中包括“并道”行為。對于那些沒有及早變道，而是在***時刻“并道”進(jìn)來的車輛，你可能也會和我一樣感到憤怒。

但是，如果我們退后一步并戰(zhàn)略性地思考這個問題，就很難再對***時刻的“并道”行為感到憤怒了。為什么我會這么說呢?首先，大多數(shù)人都在與“并道”行為作斗爭，也就是說，我們會利用每一條可用的道路繞過那些努力并道的人。而事實上，有證據(jù)表明，***一刻的并道實際上是對緩解交通有利的行為。

美國明尼蘇達(dá)州交通當(dāng)局在高速公路維修路段進(jìn)行的“***一刻再并道”的實驗顯示，這種駕駛方式可以降低因為修路減少車道而產(chǎn)生的交通堵塞40%。專家們建議的正確的駕駛方法是：所有的人都應(yīng)該在自己原來的車道上行駛，直到***一刻再并道，這樣做的好處是兩個車道在并道前都得到了充分的使用。

但是，這種交通模式又與安全存在什么聯(lián)系呢?我認(rèn)為，這件事教會我們在對某些行為感到惱怒前，先要對它們有更為深入地了解。這就是我們可以在安全領(lǐng)域?qū)W到的東西。為什么這么說呢?當(dāng)然，這是一個比較深刻的問題，下面是十個“令人惱怒但同時卻有著深層原因的安全行為”。

[[230646]]

1. 戰(zhàn)術(shù)性地專注

在很多場合中，我都曾聽到各種不同的組織抱怨他們的安全團隊過于專注戰(zhàn)術(shù)。這種情況當(dāng)然可能確實如此。但是，如果你的主要指標(biāo)中包含一周內(nèi)已觸發(fā)警報的數(shù)量，以及打開和關(guān)閉的憑證數(shù)量，你又會否因為他們努力完成你激勵他們完成的估量任務(wù)而再錯誤地遷怒他們呢?

2. 滅火隊員

沒人希望自己的安全團隊疲于奔命在應(yīng)對一個接一個的緊急情況，而沒有多余的精力專注其他關(guān)鍵業(yè)務(wù)。但是面對如此情境我們有時候又很難去責(zé)難安全團隊，因為存在一些合理需求讓他們不得不拋開其他一切問題來應(yīng)對這些緊急情況。然后，不得不說，很多時候，這些搞得安全團隊精疲力盡的“緊急情況”，都是由于公司對問題和安全團隊的能力缺乏理解和信任而造成的。

3. 熱門事件

我們有時候會反感安全團隊談?wù)摕衢T事件，但是說實話，我還沒有遇到過真心享受陷入熱門事件中的安全團隊。很多時候，談?wù)摕衢T事件對于他們來說只是毫無選擇的事情。當(dāng)熱門事件發(fā)生時，關(guān)于“我們應(yīng)該如何應(yīng)對”、“我們是否會受此事件影響”以及“我們是否受到保護”等諸多問題都會撲面而來，等待安全團隊的應(yīng)答。所以說，是我們在激勵他們關(guān)注熱門事件，以幫助我們應(yīng)對即將到來的緊急情況。

4. 追逐流行的細(xì)分市場

安全行業(yè)的很多人都在嘲笑或戲謔那些熱衷于追逐***流行市場的企業(yè)。但是在嘲笑之前，先看看我們是如何鼓勵他們這些做的吧!對于初創(chuàng)企業(yè)來說，資金和公關(guān)(PR)通常都會緊跟***的流行市場;而對于成熟企業(yè)來說，客戶是否投入預(yù)算也是關(guān)注***的流行市場。說到底，追逐流行市場不過是為了獲取更多的關(guān)注和融資支持，以支撐企業(yè)更好地發(fā)展。

5. 寫下密碼

每個人都喜歡嘲笑那些寫下密碼的“愚蠢”用戶，但事實上，也許是他們應(yīng)該嘲笑我們。因為身處安全行業(yè)，我們無法證明瘋狂復(fù)雜的密碼規(guī)則能夠改善我們各自的安全現(xiàn)狀，事實上，想要真正地改善安全現(xiàn)狀，我們可能需要徹底擺脫密碼。但是，當(dāng)我們無法為用戶提供任何行之有效的方法，來解決這種瘋狂復(fù)雜的密碼規(guī)則時，對于他們來說，除了寫下自己根本記不住的密碼外還能怎么做呢(你一定會說還有密碼管理器，但是你一定也看到了很多密碼管理器存在漏洞的報道)?

6. 對事件響應(yīng)毫無準(zhǔn)備

當(dāng)嚴(yán)重事件發(fā)生時，沒人喜歡意外的震驚感和措手不及的窘迫感。但是，建立一個成熟的事件響應(yīng)能力談何容易，它不僅需要付出巨大的戰(zhàn)略努力，而且無法立即顯示出其價值(只有發(fā)生安全事件才能顯現(xiàn)價值)。如果組織只是追求立竿見影的戰(zhàn)術(shù)收益，而不是難顯成效的戰(zhàn)略收益，那么出現(xiàn)緊急情況時措手不及也就不難理解了。

7. 獲取“煙道式”(stovepiped)技術(shù)

我們經(jīng)常會看到，在發(fā)生嚴(yán)重安全問題時，人們會異常期待即時解決方案(immediate solution)的出現(xiàn)。雖然我們需要確保及時處理嚴(yán)重問題，但是我們也要確保自己不會產(chǎn)生“膝跳反射”(knee jerk)并期待獲取幾乎“一次性”的快速修復(fù)方案。我們都不希望最終得到一個在未來沒有任何作用的“一次性”解決方案，但是我們卻沒有意識到，是我們在無意中激勵了我們的安全團隊放置更多的“煙道式”技術(shù)。

8. 安全預(yù)算不足

每個人都喜歡大型零售連鎖店的低廉價格，但同時也喜歡抱怨其缺乏合理的售后支持。我們無法真正地融合這兩種需求。正如我們都希望我們的供應(yīng)商和提供商能夠以低廉的價格為我們提供更多價值一樣。安全是一項經(jīng)常/間接(overhead)費用，當(dāng)然，我們都知道它的重要性，但是我們無法強求我們的供應(yīng)商和提供商都能將其作為優(yōu)先事項。既然如此，我們不妨根據(jù)他們自身不同的規(guī)模來具體衡量其安全預(yù)算。

9. 培訓(xùn)的團隊成員不足

組織團隊成員進(jìn)行專業(yè)培訓(xùn)需要花費一定的資金，并且需要他們脫離工作崗位一段時間。如果我們能夠看到培訓(xùn)團隊成員所帶來的戰(zhàn)略性意義，那么就會認(rèn)為這一切投資都是值得的。但是，如果我們僅以短期收益為目標(biāo)來激勵他們，那么培訓(xùn)成員不足也就不難理解了。

10. 協(xié)作不足

關(guān)于信息共享和協(xié)作的討論很多，但不幸的是，行動的次數(shù)卻遠(yuǎn)少于討論的次數(shù)。造成這種情況的原因有很多，大多數(shù)組織都會鼓勵員工保持信息的私密性，以及粉飾安全計劃的真實狀態(tài)。但是，事實上，這種信息共享和協(xié)作并不可恥，相反地，它可以讓你得到進(jìn)一步完善。但前提是，你必須做出正確的鼓勵行為來獲得正確的結(jié)果。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文