https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

洞悉破窗效應 企業安全加分

2003 / 05 / 19
洞悉破窗效應 企業安全加分

文/徐子文


威爾森(James Q. Wilson)和凱林(George L. Kelling)兩個研究犯罪學家依循這項試驗,於1982年提出了「破窗理論」(Broken Windows Theory)。

破窗理論
這一理論認為:如果有人打壞了一個建築物的窗戶玻璃,而這扇窗戶又未得到及時維修,當窗戶破了沒人修理,路人經過後一定認為這個地區是沒人關心,沒人會管事,別人就可能受到暗示性的縱容去打爛更多的窗戶玻璃。因此引發更多人打破其他的窗戶,於是從這棟大樓開始蔓延到整條街,擴散到其他鄰近街道。久而久之,這些破窗戶就給人造成一種無序的感覺。


一個很乾淨的地方,人會不好意思丟垃圾,但是一旦地上有垃圾出現之後,人就會毫不猶疑的拋,絲毫不覺羞愧。一面牆,如果出現一些塗鴉沒有清洗掉,很快的,牆上就佈滿了亂七八糟,不堪入目的東西。那麼在這種公眾麻木不仁的氛圍中,犯罪就會滋生、蔓延。

紐約經驗
朱利安尼市長是怎麼著手進行?以前紐約市有一個特殊景觀:「洗車流氓」,這是一些地痞守在路口或塞車的區域,朝著你的擋風玻璃隨便噴兩下,再拿把破布或報紙擦一下,就向你要「服務費」。不給就踹門或是吐口水,常常把人嚇一跳,特別是對觀光客而言。這對大眾的心理和對紐約市的觀感有非常負面的影響。


對處理這問題,當時有很多意見,大家都認為不可行,或是不必要。長久以來,大家認為這種行為充其量只是不好,法也無明文說這是犯罪行為;就算有,也不是什麼大不了的罪,反正「微罪不舉」嘛!而且,紐約市兇殺案很多,不需要把珍貴的警力放在這種「小事」上。不過朱利安尼堅持,並且認為要整頓紐約市治安就是要從抓所謂「洗車流氓」等的「小事」開始。


在朱利安尼的堅持下,紐約警務處研究發現,雖說沒有明確法令可以處罰他們的「洗車」行為,但是他們確實也違反了交通法規,而所謂的「洗車流氓」其實也只有僅僅180人而已,就這樣,紐約警察開始從這件「小事」著手,不到一個月,「洗車流氓」幾乎銷聲匿跡,市民稱慶,而觀光客也回流。


另外,紐約市也將地鐵車廂清理乾淨,並將不買車票白搭車的人用手銬銬住排成一列站在月台上(這裡可是民權至上的美國喲!),公開向民眾宣示政府整頓的決心。之後,警察發現人們果然比較不會在乾淨的場合犯罪,又發現抓逃票很有收穫,因為每七名逃票的人中就有一名是通緝犯,二十名中就有一名攜帶武器。


剛開始時從小處著手,很容易會讓大家覺得緩不濟急;不過往往這是最有效也是最根本的方法。紐約市就這樣從最小、最容易的地方著手,因而打破了犯罪環結(chain),使這個惡性循環無法繼續下去。

企業省思
讀者看到到這裡,或許會覺得心存疑惑,這不是專門談論資訊安全的「資安人」嗎?怎麼會在這裡談論這話題?


其實,「破窗理論」在社會管理和企業管理中都有著重要的意義。企業內的活動就是一個具體而微的社會活動。「破窗理論」給我們的啟示是:必須及時修好「第一個被打碎的窗戶玻璃」。我們中國有句成語叫「防微杜漸」,說的正是這個道理。


身為企業主管,一定有不少人困擾於公司內部的「小偷小摸」、「順手牽羊」、「浮報津貼」、「公器私用」等等的一些「小事」上。一般的員工覺得不舒服,覺得不公平,當然公司主管和員工們也會覺得這些事情不光彩,也不應該讓它繼續發生。不過,因為這多少也算不上是「大事」,或甚至不是「公事」,也有一些人主張,個人物品在公司不見了,不算是公事,所以也不方便管。另外,更因為這類「小事」不好管,大家覺得是小事,所以也不願意提供資訊,結果是很難查,做了也不見得會獲得支持。「聰明人」不願意花精力在這類吃力不討好的工作,所以最後也就只能用道德勸說的方式,希望這類事情能自動消失。


杜絕鄉愿
不過常常事與願違,越不處理,積年累月的結果是問題越來越大,當中國傳統文化中的「厚道」、「得饒人處且饒人」和刑事訴訟法中「微罪不舉」為人所錯誤解釋演繹時,鄉愿的結果是始事情反而越來越嚴重。員工會因為正義不彰而怨聲載道,原本誠實的員工可能也會耳濡目染的變的不誠實,最後就是公司的紀律不彰,企業文化變質,也直接間接的產生企業安全問題。


身為安全專業人的我們,當然不願意前述事情發生囉!那麼在企業內最容易被破壞的「窗戶」在哪裡呢?以資訊安全而言,就是「未經授權存取」,也就是「非實體的偷竊或侵佔」。會發生這問題,通常是來自於對於所謂的授權允許的定義模糊,未做好資訊資產分級控制和管理,因而無相對的保護。就實際行為面,就是員工之間「分享」密碼,和「方便」、「只是幫一個小忙」把資料交付或告知給未經授權的人。


企業安全管理要能做好,企業必須要有紀律的文化;要建立良好具有紀律的企業文化,就從實踐「破窗理論」開始吧!

如何保護這片「窗戶」呢?
發佈規則:對於資訊安全之相關規定加以明訂使用者規範,並定罰則。

帳號管理:禁用共用帳號,例行專屬帳號(Unique ID)制度,隨時依現狀啟用及停止,確保不使無主帳號存在在系統上。

密碼管理:勵行定期更換密碼制度;密碼必須同時具有英數字;不得將密碼寫下;自動檢查密碼之設定,避免使用重複、具循環性(如前一密碼為JJKK01,而下一組密碼為JJKK02)和易猜測(如:英文名、帳號名,和英文單字等)等的密碼。

日誌管理:定期及不定期稽核存取日誌,發現異常隨時追查。

資訊分級:將資訊、文件、檔案、系統、資料庫等依其重要性和敏感性加以分類分級,並予以適當標示和管制。

紀律執行:發現違規使用,必須加以記錄並予以警告。破窗理論的精義並不在繁複的規定和程序,而是在執行。漠視第一次,就有可能會有第二次;漠視小事,就會發生大事。「莫非定理」(Murphy’s Law)在這裡也適用。「愛的教育、鐵的紀律」是讓中鋼成功的中國式管理的精髓,而在最近暢銷的「從A到A+」書中所強調的更是直接,書中強調要成為一個A+的公司不外乎就是「紀律的員工、紀律的思想,和紀律的行為」,更說「因為有紀律,所以不需要花太多時間管理。」