初论“安全体验”,信息安全幸福之道

  论起从技术管理到治理的北向程度,越向北,对于人的牵扯就会越来越深,也越来越复杂。

  在过去,识别和解决网络安全问题,总是从技术的角度看得比较多,从客观的攻防成败看得比较重。也就是说,我们总体来说对于健康看得比较重,对于信息系统的身体健康看得比较重。之前也初步论述过健康和幸福的区别,人的健康和幸福是两回事;而信息系统(特别是包含了人在其中的一个信息系统),其健康和幸福是两回事。我们对于信息系统的健康看得太重了,而对于幸福太忽视了。

  信息系统的安全幸福,到底是一个什么?

  信息系统的安全幸福,就是信息系统是否认为自己安全?

  因为人是信息系统的一部分,那么所谓幸福,就是信息系统中的人是否认为信息系统是安全的,并判定自己在信息系统中是否安全。

  这里说的是两句话,两个感觉(认识),一是信息系统是否安全的感觉,二是人(自己)在信息系统中是否安全的感觉(能否免责或者获利)。

  而且这里谈的人,还不是一个人,而是人组成的组织和群落,有CEO、CTO、技术负责人、VP、工程师、操作人员、业务人员等等。

  在互联网时代,让我们熟悉了一个词“体验”,用户体验。

  而信息系统的安全幸福感,就是【安全体验】。

  安全体验不像“用户体验”那么能够直接感受到,那么可以在当下就感受到,感受到方便、强大、好看、舒服、享受、低成本……

  安全体验,要包含一部分这样的方便、舒服、强大;就像现实中的安全。但是现实中的安全并不是“觉得什么都好”、“什么问题都没有”就是一个好的安全体验。想想我们对于消防安全的感觉,对于公共安全的感觉。

  安全体验必须包含一个平衡感,就是对于危险的一些感觉,比如危险迫近的远近程度、危险严重程度的轻重、危险可规避的难易程度……既不能乐观地无视危险的存在(因为概率永远不会是零),也不能让自己生活在无穷无尽的恐惧中。

  反观,我们常见的安全产品、安全平台、安全服务、安全解决方案,对用户的安全体验和安全幸福感有没有帮助,不能说一点没有。但对于用户的安全体验到底有没有有意识地努力并做了一些工作呢?自己好好反省一下?几乎是zero,是none。

  直接反应出来的情况就是,所有的安全服务项目和安全平台项目,一般导致失败的直接诱因都不是技术困难,而是项目管理问题。其实,也就是对于安全体验的管理失误,说的更直接就是对于用户的安全期望的认识、引导和管理出现重大失误。

  而安全体验,区别于普通产品的用户体验,就是这种体验除了考虑甲方的期望,乙方的能力之外,还不得不考虑甲乙两方之外的作为危害和攻击的那一方,我们管它叫“癸方”(用天干地支的最后一个字)。本来甲乙两方的体验平衡,安全体验的平衡,可能被癸方的一个信息泄露,被癸方的一个漏洞发现,而彻底地打破。

  安全体验是事关信息系统幸福感的重要的组成部分。

  安全体验就是这么复杂而有趣。

  值得去好好管理、去好好治理。

热门新闻

最新新闻