工业与组织心理学专家目前已经发现的问题有保安的更新问题。通常每年保安更新率在40%~400%之间。麦当劳公司每年保安的更新率在35%~40%之间,因此比起那些不断寻找适当人员并死抓住不放的安全方式来说,麦当劳公司的工作做得更好些。有许多企业在更新率上表现极好,付出的报酬也不高。在过去的20多年中,工业与组织心理学专家已开发出多种方法来帮助企业,但这些工具从未应用在安全领域。工业与组织心理学专家涉及的内容很多,比如:了解你所雇佣的人员,对他们心中是怎么对待这份工作的有一个实际概念。如果你将这一方面真正落实到位的话,更换率肯定会直线下降。
刚开始时,我们只是更多考虑到如何将工业与组织心理学应用到漏洞评估中的。毕竟它总的来说还是一个公开领域。我们所考虑的一个问题是应用于货物安全的防篡改标志封印。经验告诉我们,有些人在识别封印是否已被人擅自动过这方面极为擅长,有些则并不行。不过,对于这其中的原因,我们并不了解。我们要做的事情,就是对那些表现好的人加以研究,了解他们的工作步骤以及有什么特点能使他们有如此好的表现。眼动研究(eye-tracking study)是我们想做的其中一个研究,不过我们还未找到赞助商。我们想要观察一下封印检查员所查看的内容。通过让他们戴上类似眼镜类的工具,这种工具会告诉我们这些检查员的眼睛正在查看的内容。一直以来,这种技术是用于判断电视广告的;广告商用这一工具观察看广告的观众,看看他们是在看广告中的产品还是在看背景中的漂亮女孩。而我们想要应用这种技术,来了解那些能有效地发现已被人擅自动过的封印的人员在查看封印时所观察的地方。这样一来,也许我们就能为人们提供更好的解决方案,也许还能进行一次筛选练习来发现谁在这一方面真正擅长。
向用户披露安全漏洞
Johnston的小组已创建了一个漏洞披露索引(VDI),其中标明一旦真正发现一个漏洞所要采取的措施。Johnston说:“发现漏洞后紧跟的问题之一是,明确你要将它告诉哪些人?所发现的漏洞都是要详细告诉漏洞评估的赞助人。这是无可厚非的,如果他们为漏洞评估提供资助,所有发现结果告诉他们是理所当然的,这并不存在什么问题。不过,我们所评估的成果通常拥有更普遍的可用性。现在问题在于,你要怎么做呢?一个典型例子是,如何骗过全球定位系统(GPS)。每个人都将焦点放在干扰GPS设备上,但这没什么意思,因为GPS接收器知道它未从空中接收到卫星信号。不过,骗过GPS却是出乎意料地容易,你将虚假合作信息提供给GPS接收器即可。
大量网络(比如,用于金融交易的网络)通过GPS卫星信号实现他们关键的时间同步。如果有人提供了GPS虚假信息,那么网络可在几毫秒就受到冲击,其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题,不过在我们的观念中,GPS的欺诈问题更严重得多,且这一情况还未得到人们的广泛认识。我们是要讨论一下这个问题吗?我们要将这一问题写入报告吗?或者我们只是口上说说而已?
|
服 务 CIO 推 进 信 息 化 
