今年高考作文命题之一是根据庄子《齐物论》中的影子寓言解读社会个体“不由自主”的困惑。阅读材料原文如下:

庄子在《齐物论》中讲了一个有趣又值得深思的故事。这个故事就是罔两问影。罔两是影子的影子。一天,影子的影子诘问影子:“影子啊!你看你,一会儿动一动,一会儿又不动:一会儿坐着,一会儿又站着。你能不能有独立的操守啊?”

影子若有所思,它也很疑惑。它回答说:“这是怎么回事呢?我是因为有所依赖才是这样的吗?那我有所依赖的东西又有所依赖才是这样的吗?那我所依赖的像什么呢?是不是像蛇要游走需要依赖它的腹鳞,蝉要飞翔需要依赖它的翅膀吗?我分不清了。谁能告诉我?我怎能知道为什么会这样,又怎能知道为什么不会这样呢?”

请首先回忆你自身经历中关于“不由自主”的真实体验,再结合《齐物论》中影子“吾有待而然者邪?吾所待又有待而然者邪”的思考,谈一谈你对“不由自主”的理解。

以下,我们尝试以“不由自主的困惑”为切入点,谈谈网络安全行业面临的管理难题。

众所周知,企业的网络安全管理,面临的最大挑战不是技术,而是“人的因素”,这里的“人”有两层含义:“人才”和“人为”,二者都面临“不由自主”的困惑。

CISO为什么喜欢做救火队长?

无论企业采购多少安全技术和服务,如果不能正视网络安全管理中最本质的问题,就永远无法跟上“敏捷”和“创新”见长的网络犯罪组织的脚步。

例如,很多企业的CISO至今没能从消防大队长的角色中脱身。原因很简单,如果在企业范围实施文化、风险、循证和价值驱动的网络安全计划,就意味着CISO需要主动出击,揭露和解决问题,这会触及多方利益,CISO不但要扮演皇帝新装中那个男孩的角色,而且需要制订雄心勃勃的计划,试图把网络安全从“摩擦力”变成业务驱动力,这个任务出糗的风险可比救火大多了。CISO的平均职业周期明显短于其他企业高管,也许就是一个最好的佐证。

CISO尚且如履薄冰,安全团队更是如此。最有效的安全思维是天马行空的黑客思维,但在企业文化氛围中这往往行不通。在竞争激烈的职场,安全团队成员无时无刻不面临“同伴压力”,融入团队的渴望使他们不敢成为企业文化和行为规范的“异类”——那个敢于说出真实想法和观点的人。

多元无知:最聪明的人做最傻的事

为什么一帮最聪明的人,却经常做出一些最愚蠢的事情?因为融入社会(或团队)的强烈渴望劫持了我们的个人信仰体系,使我们的言行与我们的原则和价值观相冲突。心理学家将这种共同错觉称为“多元无知”(pluralistic ignorance)。

这个词是由心理学家弗洛伊德和他的学生在1930年代创造的,被用来描述一种看似矛盾的心理状态:人们虽然相信自己的个人想法、感受、信仰、态度和判断与他人不同,但当归属同一个群体时,人们几乎总是会选择以相同的方式行事。

造成“多元无知”的原因有很多,常见的有“同伴压力”,担心说出真实想法会让自己看起来很愚蠢,不符合“团队精神”;或者因为存在“南郭先生心态”,总觉得自己不够专业,或者经验不足,顺着他人的调子吹最安全。

扼杀了安全人才两个最宝贵的品质

对于网络安全行业来说,“多元无知”问题显得尤为突出,因为网络安全是涉及知识和技能维度最广泛,迭代速度最快的企业技术领域。任何人,包括一些技术天才,都经常会感受到令人绝望的压力和挫败感。安全专业人士说话更加谨慎,也更加容易集体陷入“南郭先生心态”。

此外,“多元无知”往往导致安全人士无论是面对过劳、压力过大、同事或领导的错误行为、流程计划和战略的缺陷,都会“不由自主”地选择沉默。

无数惨烈的网络安全事件告诉我们,大多数安全事件的起因都是一些基础而浅显的错误,例如年久失修的高危漏洞、视而不见的资产暴露或配置错误,流于形式的安全文化,一团和气的影子IT…。

“多元无知”扼杀了网络安全人士最宝贵的两个品质:创造力和责任心,使他们难以提出问题,表达不同意见,或在工作中主动改变错误行为和做法。

在优秀网络安全人才高度稀缺的今天,如何打破安全团队的“多元无知”怪圈,是甲方企业和安全厂商共同面对的挑战。虽然完全摆脱“多元无知”并不现实,但如果能承认问题并开始质疑现状,学会挑战固有信念和假设,就是一个不错的开始。