洞悉破窗效應　企業安全加分

文／徐子文


威爾森（James Q. Wilson）和凱林（George L. Kelling）兩個研究犯罪學家依循這項試驗，於1982年提出了「破窗理論」（Broken Windows Theory）。

破窗理論
這一理論認為：如果有人打壞了一個建築物的窗戶玻璃，而這扇窗戶又未得到及時維修，當窗戶破了沒人修理，路人經過後一定認為這個地區是沒人關心，沒人會管事，別人就可能受到暗示性的縱容去打爛更多的窗戶玻璃。因此引發更多人打破其他的窗戶，於是從這棟大樓開始蔓延到整條街，擴散到其他鄰近街道。久而久之，這些破窗戶就給人造成一種無序的感覺。


一個很乾淨的地方，人會不好意思丟垃圾，但是一旦地上有垃圾出現之後，人就會毫不猶疑的拋，絲毫不覺羞愧。一面牆，如果出現一些塗鴉沒有清洗掉，很快的，牆上就佈滿了亂七八糟，不堪入目的東西。那麼在這種公眾麻木不仁的氛圍中，犯罪就會滋生、蔓延。

紐約經驗
朱利安尼市長是怎麼著手進行？以前紐約市有一個特殊景觀：「洗車流氓」，這是一些地痞守在路口或塞車的區域，朝著你的擋風玻璃隨便噴兩下，再拿把破布或報紙擦一下，就向你要「服務費」。不給就踹門或是吐口水，常常把人嚇一跳，特別是對觀光客而言。這對大眾的心理和對紐約市的觀感有非常負面的影響。


對處理這問題，當時有很多意見，大家都認為不可行，或是不必要。長久以來，大家認為這種行為充其量只是不好，法也無明文說這是犯罪行為；就算有，也不是什麼大不了的罪，反正「微罪不舉」嘛！而且，紐約市兇殺案很多，不需要把珍貴的警力放在這種「小事」上。不過朱利安尼堅持，並且認為要整頓紐約市治安就是要從抓所謂「洗車流氓」等的「小事」開始。


在朱利安尼的堅持下，紐約警務處研究發現，雖說沒有明確法令可以處罰他們的「洗車」行為，但是他們確實也違反了交通法規，而所謂的「洗車流氓」其實也只有僅僅180人而已，就這樣，紐約警察開始從這件「小事」著手，不到一個月，「洗車流氓」幾乎銷聲匿跡，市民稱慶，而觀光客也回流。


另外，紐約市也將地鐵車廂清理乾淨，並將不買車票白搭車的人用手銬銬住排成一列站在月台上（這裡可是民權至上的美國喲！），公開向民眾宣示政府整頓的決心。之後，警察發現人們果然比較不會在乾淨的場合犯罪，又發現抓逃票很有收穫，因為每七名逃票的人中就有一名是通緝犯，二十名中就有一名攜帶武器。


剛開始時從小處著手，很容易會讓大家覺得緩不濟急；不過往往這是最有效也是最根本的方法。紐約市就這樣從最小、最容易的地方著手，因而打破了犯罪環結（chain），使這個惡性循環無法繼續下去。

企業省思
讀者看到到這裡，或許會覺得心存疑惑，這不是專門談論資訊安全的「資安人」嗎？怎麼會在這裡談論這話題？


其實，「破窗理論」在社會管理和企業管理中都有著重要的意義。企業內的活動就是一個具體而微的社會活動。「破窗理論」給我們的啟示是：必須及時修好「第一個被打碎的窗戶玻璃」。我們中國有句成語叫「防微杜漸」，說的正是這個道理。


身為企業主管，一定有不少人困擾於公司內部的「小偷小摸」、「順手牽羊」、「浮報津貼」、「公器私用」等等的一些「小事」上。一般的員工覺得不舒服，覺得不公平，當然公司主管和員工們也會覺得這些事情不光彩，也不應該讓它繼續發生。不過，因為這多少也算不上是「大事」，或甚至不是「公事」，也有一些人主張，個人物品在公司不見了，不算是公事，所以也不方便管。另外，更因為這類「小事」不好管，大家覺得是小事，所以也不願意提供資訊，結果是很難查，做了也不見得會獲得支持。「聰明人」不願意花精力在這類吃力不討好的工作，所以最後也就只能用道德勸說的方式，希望這類事情能自動消失。


杜絕鄉愿
不過常常事與願違，越不處理，積年累月的結果是問題越來越大，當中國傳統文化中的「厚道」、「得饒人處且饒人」和刑事訴訟法中「微罪不舉」為人所錯誤解釋演繹時，鄉愿的結果是始事情反而越來越嚴重。員工會因為正義不彰而怨聲載道，原本誠實的員工可能也會耳濡目染的變的不誠實，最後就是公司的紀律不彰，企業文化變質，也直接間接的產生企業安全問題。


身為安全專業人的我們，當然不願意前述事情發生囉！那麼在企業內最容易被破壞的「窗戶」在哪裡呢？以資訊安全而言，就是「未經授權存取」，也就是「非實體的偷竊或侵佔」。會發生這問題，通常是來自於對於所謂的授權允許的定義模糊，未做好資訊資產分級控制和管理，因而無相對的保護。就實際行為面，就是員工之間「分享」密碼，和「方便」、「只是幫一個小忙」把資料交付或告知給未經授權的人。


企業安全管理要能做好，企業必須要有紀律的文化；要建立良好具有紀律的企業文化，就從實踐「破窗理論」開始吧！

如何保護這片「窗戶」呢？
發佈規則：對於資訊安全之相關規定加以明訂使用者規範，並定罰則。

帳號管理：禁用共用帳號，例行專屬帳號（Unique ID）制度，隨時依現狀啟用及停止，確保不使無主帳號存在在系統上。

密碼管理：勵行定期更換密碼制度；密碼必須同時具有英數字；不得將密碼寫下；自動檢查密碼之設定，避免使用重複、具循環性（如前一密碼為JJKK01，而下一組密碼為JJKK02）和易猜測（如：英文名、帳號名，和英文單字等）等的密碼。

日誌管理：定期及不定期稽核存取日誌，發現異常隨時追查。

資訊分級：將資訊、文件、檔案、系統、資料庫等依其重要性和敏感性加以分類分級，並予以適當標示和管制。

紀律執行：發現違規使用，必須加以記錄並予以警告。破窗理論的精義並不在繁複的規定和程序，而是在執行。漠視第一次，就有可能會有第二次；漠視小事，就會發生大事。「莫非定理」（Murphy’s Law）在這裡也適用。「愛的教育、鐵的紀律」是讓中鋼成功的中國式管理的精髓，而在最近暢銷的「從A到A＋」書中所強調的更是直接，書中強調要成為一個A＋的公司不外乎就是「紀律的員工、紀律的思想，和紀律的行為」，更說「因為有紀律，所以不需要花太多時間管理。」