Promuovere un ambiente in cui l'onestà e la divulgazione sono apprezzate

23

AGGIORNAMENTO: la domanda è la ricerca di una vera ricerca basata sull'analisi del comportamento di un campione di persone molto ampio che utilizza esperimenti ben definiti. La pubblicazione di risposte basate su opinioni o osservazioni ad hoc non affronta la domanda né aggiunge valore alla domanda.

Leggendo un articolo di PCWorld intitolato " VeriSign Hacked: ciò che non sappiamo potrebbe ferirci ", ho trovato una citazione:

nCircle CTO Tim ‘TK’ Keanini points out that the hack itself isn’t the crux of the problem. No network is impervious, and a company as high-profile as VeriSign is a prime target. The key is that organizations need to do more to foster an environment where honesty and disclosure are valued. If the fear of negative consequences is greater than the incentive for quick disclosure and response, you end up with a situation where IT staff would rather hide evidence of a breach.

Indovina in parte questo era il nocciolo della mia domanda su " Business "Informativa sulla sicurezza e accordo commerciale" "- è quanto sia importante raggiungere un accordo operativo laddove un ambiente di onestà e divulgazione sono essenzialmente attività commerciali.

Detto questo, non è chiaro come una tale "economia di onestà" possa funzionare nel mondo reale.

Esistono opinioni basate sui fatti su una "economia dell'onestà" che fornisce una visione approfondita se è davvero un passo logico verso la sicurezza degli individui e dei loro ecosistemi?

    
posta blunders 03.02.2012 - 05:57
fonte

7 risposte

1

Missione impossibile?
Non ho ricerche sull'implementazione di un '"economia dell'onestà" e sono consapevole che non ne troverete nessuna. "L'onestà" è un valore morale e non è efficace per un'organizzazione aziendale generare valori morali nelle persone. È mia opinione che la tua domanda manchi il marchio basato sulla citazione di Keanini, che riassume un insieme di "comportamenti" come un sistema di valori che ha chiamato "onestà".

Comportamenti
Quello che un'organizzazione può fare, per cui esiste una ricerca significativa, è modificare i comportamenti. "Modifiche comportamentali" raggiungerebbe gli obiettivi della citazione Keanini, ma non sono sicuro che sia quello che stai cercando, se speri in un approccio etico / morale. Addestra una persona a rispondere in modi pre-selezionati quando viene presentata con determinati trigger. Etica e morale non devono essere allineati in alcun modo particolare.

BJ Fogg
BJ Fogg ha un large corpo < a href="http://en.wikipedia.org/wiki/Persuasive_technology"> di lavoro su the oggetto , che incorpora la tecnologia con cambiamenti comportamentali organizzativi. I suoi metodi sono quelli che uso con gli utenti dei miei clienti per influenzare una risposta a determinati trigger. Di conseguenza, i miei utenti mi cercano attivamente senza scuse, timori o reticenze per affrontare i problemi anche se li hanno causati .

Ricerca personale
Utilizzando l'approccio di Fogg, sposto la percezione degli utenti dal vedere la sicurezza IT come una fragile infrastruttura monolitica che possono infrangere, in un sistema dinamico di contromisure proattive contro le minacce. Da qui, istruisco i miei utenti a rispondere a determinati trigger, come un evento pop-up AV locale (anche se sono avvisato dal sistema) o ricevo un'email di phishing. La loro risposta prevista è un comportamento semplice (inviare una e-mail). Non c'è niente da "fallire" a, solo una risposta da imparare. Se notano una violazione di qualsiasi tipo, anche se lo hanno causato, inviano un'email o chiamano se lo desiderano. La percezione che creo è che gli attaccanti sono astuti, quindi soccombere a un attacco non è colpa loro: l'attenzione è rivolta all'attaccante, non al dipendente. Quindi, le minacce diventano una competizione nella mente dell'utente tra l'astuzia dell'attaccante e la risposta appropriata del dipendente (che, nel mio caso, è semplicemente inviare una e-mail). "Sconfiggi un attaccante con una sola email". I miei livelli di coinvolgimento sono molto alti.

L'obiettivo La domanda è: vuoi persone "oneste" o persone che "fanno" la cosa giusta?

    
risposta data 21.08.2012 - 17:20
fonte
3

Se c'è qualcosa che sappiamo per certo, è che le persone rispondono agli incentivi .

È banalmente vero che un ambiente in cui i dipendenti sono incentivati a nascondere gli errori di gestione diminuisce la capacità del management di identificare e rispondere ai guasti interni. È anche banalmente vero che un'azienda che è internamente paralizzata in modo tale da non poter identificare e rispondere ai suoi fallimenti è intrinsecamente meno affidabile di una società che può identificare e rispondere ai propri fallimenti.

I fallimenti e i problemi interni non scompaiono, di norma, seppelliti; tendono invece a crescere e a metastatizzare più di un fallimento rivelato proprio perché le persone che si occupano del problema hanno meno opzioni a loro disposizione. Se non desidero che il mio errore diventi pubblico, la mia gamma di opzioni per affrontare questo errore è gravemente limitata e finirò per scegliere un'opzione non ottimale che mi protegga a spese dell'azienda.

Quindi sì, un ambiente interno di onestà aumenta la sicurezza generale. I problemi possono essere affrontati rapidamente e in modo pulito e le catastrofi possono essere evitate.

E certamente un'azienda che ha un ambiente interno che promuove l'onestà è più preziosa per me come cliente di una che non lo fa. Ma ogni manager pensa promuove un ambiente di onestà; non avrebbe intenzionalmente deciso di incoraggiare i suoi subordinati a mentirgli. Chiedere al management se il proprio ambiente incoraggia o meno l'onestà sarebbe un'inutilità.

Invece, devi guardare gli incentivi.

Se un impiegato vede un errore - forse il suo, forse il suo supervisore, forse il suo subordinato, forse il suo collega - allora qual è il suo incentivo a rendere noto quell'errore? Qual è il suo incentivo a tenerlo tranquillo? E la persona che dice; che motivo ha quella persona di mantenerlo tranquillo?

Il concetto di economia non riguarda solo denaro ma piuttosto incentivi . Una economia di onestà è quindi una struttura di incentivi che incoraggia l'onestà; si tratti di una struttura di incentivi interni o di una struttura di incentivi tra organizzazioni.

    
risposta data 19.08.2012 - 10:27
fonte
0

Se per "economia di onestà" la domanda si concentra sul valore economico di un comportamento aziendale etico e trasparente rispetto a comportamenti commerciali non etici e nascosti, allora i fattori economici favoriscono il primo.

Iniziamo con gli statuti legali e normativi. In questo esempio stiamo parlando di Symantec Corporation, una società quotata al NASDAQ. Hanno pubblicato il fatto nei loro archivi pubblici richiesti perché l'inosservanza di ciò costituirebbe una violazione dei loro doveri. Quel fallimento li avrebbe esposti a potenziali azioni legali da parte degli azionisti, nonché sanzioni e multe regolamentari. A questo punto abbiamo risposto alla domanda sul valore dell'onestà. Per una società quotata in borsa l'onestà supera il valore della disonestà. Enron, Tyco e WorldCom sono esempi del 21 ° secolo di questa forza in azione.

Ora ci rimane l'aspetto 'sepolto in caratteri piccoli' di questo esempio. Sembra che la piccola stampa tenga il problema a coloro che si sarebbero preoccupati degli aspetti tecnici di questo evento per oltre un anno. Bene, va bene! Noi, gente che si preoccupa dell'integrità di aziende come VeriSign e la madre Symantec, siamo ora a conoscenza del compromesso e di un metodo apparentemente meno imminente per affrontarlo. L'impatto economico di questo fatto sarà considerevole nei prossimi mesi. La fiducia in questa organizzazione ha appena preso un grande bombardamento autoindotto.

Quindi alla tua domanda sull '"economia dell'onestà" vorrei chiedere al contrario di cosa? In contrasto con il guadagno a breve termine di alcuni mesi o anni di quiete ottenuto accendendo la miccia su una bomba a orologeria segata in un rapporto trimestrale? La buona notizia è che il valore economico dell'onestà è in ottima forma.

    
risposta data 03.02.2012 - 20:29
fonte
0

Dato che hai taggato la tua domanda con "risposta agli incidenti", forse potresti trovare utile questo documento: Connesso Dare: gente comune che coordina il soccorso in caso di calamità su Internet (pdf). Si tratta di volontari che istituiscono gruppi e relazioni online ad hoc per coordinare i soccorsi dopo l'uragano Katrina.

Cerca nel documento due sezioni separate intitolate "sviluppare la fiducia". Una di queste sezioni cita molti altri articoli su aspetti specifici di questo argomento.

    
risposta data 20.08.2012 - 09:08
fonte
0

Ci sono molte ricerche sulla fiducia fatte da una prospettiva economica. A partire dalla Teoria dei giochi come Nash e il Dilemma del Prigioniero, la ricerca su come i gruppi o le persone si comportano nei giochi con n giocatori e altri esperimenti è un argomento di ricerca in corso.

Ecco un repository ricercabile - con collegamenti a una tonnellata di articoli.

La base di molti di questi sono "le persone possono fidarsi l'una dell'altra abbastanza per fare un affare rischioso ma reciprocamente vantaggioso se entrambi giocano insieme?" che è l'essenza del dilemma del prigioniero, ma presumibilmente stanno andando un po 'oltre, dal momento che il dilemman del prigioniero è un po' semplicistico per la complessità di questo tipo di ricerca.

Non sei sicuro di quanto il contesto sia vero con ciò che desideri: un ambiente in cui le persone sono più aperte sulla segnalazione di incidenti ... ma potrebbe essere un inizio.

    
risposta data 20.08.2012 - 15:40
fonte
0

Non so molto delle teorie dietro l'economia e non ho molti fatti, ma ho un'opinione che ritengo la maggior parte delle persone si riferirà a.

In primo luogo, penso che inizi all'inizio. Grandi dirigenti, amministratori delegati o qualsiasi altra cosa devono preoccuparsi meno della linea di fondo più di fare la cosa giusta e farlo bene. Le aziende che seguono il modello di business, in cui si preoccupano veramente dei loro prodotti e dei loro clienti, hanno spesso più successo (in molti modi) rispetto alle società che esistono solo per ottenere un profitto. Queste sono le aziende che rispondono bene agli incidenti

Il resto cade a posto da lì. Quando i Superiori sottolineano stabilità ed eccellenza, altri aspetti dell'ambiente aiuteranno i dipendenti a non aver paura di riportare compromessi sulla sicurezza.

modifica: ma alti che non si preoccupano solo dei profitti della loro azienda? Sono una razza che muore.

    
risposta data 20.08.2012 - 19:19
fonte
0

Ho letto un articolo in IEEE Security & ; Privacy. Gli autori hanno creato un modello per analizzare gli impatti sulle diverse politiche di divulgazione delle vulnerabilità.

Qui puoi trovare un riferimento a un altro articolo di uno degli autori, che sembra parlare più di economia. Non ho letto quest'ultimo.

Spero che ti aiuti.

    
risposta data 20.08.2012 - 23:46
fonte

Leggi altre domande sui tag