大多数人都知道人类是会犯错的, 但对于那些需要保护生命或财产的人来说,这一事实可能会带来可怕的后果. 在网络领域, 内部人员往往要对网络安全事件负责, 从而产生了一个价值数十亿美元的安全意识计算机培训市场.1 许多供应商声称支持众所周知的人类防火墙, 但仅靠意识训练是不够的. 人们越来越重视利用人类心理学来积极影响最终用户的行为,2 尤其是在组织文化的背景下, 多年来,在信息安全计划中没有妥善解决人为因素.3
在之前的一篇专栏文章中,我注意到围绕职场道德的讨论有所增加. 这并不奇怪,因为网络安全人员软技能不足的首要问题已经超过了技术技能不足的问题.4 在这样的谈话中,一个可能出现的话题是“做正确的事”的概念.从表面上看,这听起来不难练习. 就我个人而言,我可以诚实地说,我并不是一辈子都循规蹈矩的. 事实上,我以前的职业生涯的某些方面需要在众所周知的灰色地带进行操作. 在我年轻的时候,我很容易和自己相处, 直到在美国海军获得里程碑式的晋升,我才开始欣赏和模仿更好的行为,并采取经常不受欢迎的做法, 尽管是必要的, 对某些问题的立场.
定义伦理、道德和价值观
为了更好地理解职场道德的细微差别, 重要的是要注意道德, 道德和价值观并不是同义词,而是根据不同的文化而有所不同, 这是可以改变的.5 辛辛那提大学(美国俄亥俄州)的一篇文章对这些术语的定义如下:
- 道德规范一个群体适当行为的有组织的原则体系, 包括职业道德等活动, 同情, 承诺, 合作
- 道德社会的对与错的标准,非常类似于伦理
- 值-个人接受的对与错的标准 6
下面是一个独特的例子,说明为什么区分这些术语是很重要的. 在我加入ISACA之前®我有机会坐下来接受全测谎仪测试7 需要在美国情报界获得更多的就业机会. 测谎仪并不罕见, 美国情报界的成员通常会受到三种变体中的一种的影响, 取决于他们的位置, 每5年一次. 我没有通过测谎仪, 这一点也不奇怪,因为我(和无数其他人)经常必须多次重新测试,然后考官才认为我们有可接受的风险. 值得注意的, 科学界和美国最高法院质疑测谎技术的可靠性和有效性.8 对我来说,每次考试都让我少活了5年. 最让我震惊的是, 虽然, 考官告诉我,如果我想通过考试,我需要找到一种方法来“检查我的道德”. 想想看. 我的个人价值观——被考官误以为是道德——让我感到焦虑,因为我对过去的个人轻率行为感到后悔(从来没有造成法律上的麻烦)。. 然而,他们, 引申开来, I, 在某种程度上,与那些参加同样的测试,从不为错误感到矛盾,也对自我提升感兴趣的人相比,他们被视为更大的负担.
重新思考组织文化
之间的道德, 道德与价值观, 只有道德才能被明确地编纂成法典, 例如,通过相关的行为守则(i.e.(道德政策). 这就引出了一个问题,在更大的IT行业中,证书泛滥——所有这些证书都需要证明一些行为准则,其中包括道德行为——为什么一致性会面临挑战? 我认为这可以归结为组织文化.
在我职业生涯的早期, 我曾担任信息安全经理,并领导一个相当大的组织的计算机网络防御. 在早期, 我接受了适当的教育,知道领导层对制定和执行标准的兴趣有限. 在很多情况下,一个雇员, 由于他们的位置, 是否会过度影响违反政策的后果. 真是太令人沮丧了. 从那以后的几年里, 我参与并见证了管理层与员工关系的积极变化 相对于 政策执行,但太多的人仍然分享着类似的故事. 作为一个职业,我们能够而且必须做得更好.
我意识到有很多人在做众所周知的正确的事情,并采取果断的行动, 即使面对可能相互冲突的工作场所政策,也要采取道德行动. 如果组织环境支持“正确”的决策, 显然没有冲突. 然而,来自前线的许多故事描绘了一幅不同的画面. 在工作场所,说出来9 或者做出不受欢迎的决定可能表现为被动攻击, 石墙, 报复甚至终止雇佣关系.10, 11 而劳动法是有影响的因素, 仅仅因为某件事是允许的,并不意味着它就是道德的. 尽管有些人可能会寻求立法行动来强制执行道德行为, 我认为认为道德可以在所有情况下有效地立法是naïve. 如果一个人认为道德的定义是一个群体的适当行为, 文化因素包括个人, 社会和组织的影响开始发挥作用. 这些在不同澳门赌场官方下载和不同地区之间的表现会有什么不同.
回到伦理学的定义上来, 道德与价值观, 后者适用于个人,道德与社会息息相关, 而伦理则确立了群体的预期行为. 价值观通常是从别人那里获得的,12 因此,标准制定机构和组织文化可以塑造一个人的价值观,这是理所当然的. 在经历了COVID-19大流行的影响以及组织面临的所需技术缓解措施之后,许多人更加重视人际关系.
但仍有工作要做. 为了进一步改善组织文化,我最好的建议是依靠数据. 数据驱动的决策和手段和方法的透明度可以分散情绪反应. 根据我的经验,很少有领导的决定能受到全体员工的欢迎. 长期以来,技术领域一直在努力适应商业焦点. 简而言之,澳门赌场官方下载领导者使用数据做出投资回报(ROI)决策. 或者被视为风险vs. 奖励, 许多人问自己的问题是, “当面对让我们感到不舒服的政策或情况时,个人诚信和遵守行为准则在履行职责时应该占多大的比重??”
结论
IT行业充斥着可接受的使用策略, 旨在指导适当行为的协议条款和行为准则——其中许多并没有统一执行. 那些处于策略执行位置的人可能会认为用户被告知他们可以澳门赌场官方软件或不可以澳门赌场官方软件, 违规者会得到他们应得的惩罚. 相反, 屡教不厌的人不断地把别人置于危险之中,却没有追索权. 没有简单的答案, 但在逆境面前, 即使你孤身一人,你愿意做正确的事吗?
尾注
1 Sjouwerman,年代.; ”一些有趣的安全意识计算机为基础的培训数字, KnowBe4, 2021年5月30日
2 哥伦比亚南方大学,奥兰治海滩,阿拉巴马州,美国人类行为如何影响网络安全,《澳门赌场官方软件》,2021年2月5日
3 贵族,C.; “澳门赌场官方下载网络安全中的人为因素,《澳门赌场官方下载》,卷. 9日,国际空间站. 3, 2018
4 ISACA®, 2021年网络安全状况,第1部分:全球劳动力更新, 美国,2021年
5 Rieselman D.; “什么是价值?” 加州大学杂志,美国俄亥俄州辛辛那提大学,2005年8月
6 同前.
7 ClearanceJobs。”反情报、生活方式和全范围测谎仪的区别, 2018年11月
8 EveryCRSReport.com”,美国.S. 情报委员会:选定的跨领域问题, 2016年4月12日
9 Boogaard K.; “为什么在工作中畅所欲言很重要?《澳门赌场官方软件》,2018年11月15日
10 冈萨雷斯,E.; “《职场报复:小澳门赌场官方下载需要知道的事,” 蓝图2021年1月2日
11 德克萨斯州的一个&美国科珀斯克里斯蒂大学如何处理职场道德问题, 2021年10月26日
12 泰勒,J.; “个人成长:你的价值观,你的生活,” 今日心理学2012年5月7日
乔纳森·勃兰特,CISM, CDPSE, ciso, csp, CSAP, PMP
是ISACA的专业实践和创新主管吗®. 在这个角色中, 他领导着信息技术, 信息安全, 与ISACA专业团体相关的隐私和风险思想领导倡议. 他是ISACA部门的信息安全主题专家,并领导创新的劳动力准备解决方案和相关绩效评估. 勃兰特是一名非常有成就的美国海军老兵,拥有近30年的多学科安全经验, 网络操作和技术人员的发展. 在加入ISACA之前, 勃兰特是全球机密关键基础设施项目的项目经理.