今日頭條
官方微信
官方抖音
資訊頻道論起從技術管理到治理的北向程度,越向北,對于人的牽扯就會越來越深,也越來越復雜。
在過去,識別和解決網絡安全問題,總是從技術的角度看得比較多,從客觀的攻防成敗看得比較重。也就是說,我們總體來說對于健康看得比較重,對于信息系統的身體健康看得比較重。之前也初步論述過健康和幸福的區別,人的健康和幸福是兩回事;而信息系統(特別是包含了人在其中的一個信息系統),其健康和幸福是兩回事。我們對于信息系統的健康看得太重了,而對于幸福太忽視了。
信息系統的安全幸福,到底是一個什么?
信息系統的安全幸福,就是信息系統是否認為自己安全?
因為人是信息系統的一部分,那么所謂幸福,就是信息系統中的人是否認為信息系統是安全的,并判定自己在信息系統中是否安全。
這里說的是兩句話,兩個感覺(認識),一是信息系統是否安全的感覺,二是人(自己)在信息系統中是否安全的感覺(能否免責或者獲利)。
而且這里談的人,還不是一個人,而是人組成的組織和群落,有CEO、CTO、技術負責人、VP、工程師、操作人員、業務人員等等。
在互聯網時代,讓我們熟悉了一個詞“體驗”,用戶體驗。
而信息系統的安全幸福感,就是【安全體驗】。
安全體驗不像“用戶體驗”那么能夠直接感受到,那么可以在當下就感受到,感受到方便、強大、好看、舒服、享受、低成本……
安全體驗,要包含一部分這樣的方便、舒服、強大;就像現實中的安全。但是現實中的安全并不是“覺得什么都好”、“什么問題都沒有”就是一個好的安全體驗。想想我們對于消防安全的感覺,對于公共安全的感覺。
安全體驗必須包含一個平衡感,就是對于危險的一些感覺,比如危險迫近的遠近程度、危險嚴重程度的輕重、危險可規避的難易程度……既不能樂觀地無視危險的存在(因為概率永遠不會是零),也不能讓自己生活在無窮無盡的恐懼中。
反觀,我們常見的安全產品、安全平臺、安全服務、安全解決方案,對用戶的安全體驗和安全幸福感有沒有幫助,不能說一點沒有。但對于用戶的安全體驗到底有沒有有意識地努力并做了一些工作呢?自己好好反省一下?幾乎是zero,是none。
直接反應出來的情況就是,所有的安全服務項目和安全平臺項目,一般導致失敗的直接誘因都不是技術困難,而是項目管理問題。其實,也就是對于安全體驗的管理失誤,說的更直接就是對于用戶的安全期望的認識、引導和管理出現重大失誤。
而安全體驗,區別于普通產品的用戶體驗,就是這種體驗除了考慮甲方的期望,乙方的能力之外,還不得不考慮甲乙兩方之外的作為危害和攻擊的那一方,我們管它叫“癸方”(用天干地支的最后一個字)。本來甲乙兩方的體驗平衡,安全體驗的平衡,可能被癸方的一個信息泄露,被癸方的一個漏洞發現,而徹底地打破。
安全體驗是事關信息系統幸福感的重要的組成部分。
安全體驗就是這么復雜而有趣。
值得去好好管理、去好好治理。
北京市公安局海淀分局備案號:11010802023656號