歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
洞悉破窗效應 企業安全加分
2003 / 05 / 19
文/徐子文
威爾森(James Q. Wilson)和凱林(George L. Kelling)兩個研究犯罪學家依循這項試驗,於1982年提出了「破窗理論」(Broken Windows Theory)。
破窗理論
這一理論認為:如果有人打壞了一個建築物的窗戶玻璃,而這扇窗戶又未得到及時維修,當窗戶破了沒人修理,路人經過後一定認為這個地區是沒人關心,沒人會管事,別人就可能受到暗示性的縱容去打爛更多的窗戶玻璃。因此引發更多人打破其他的窗戶,於是從這棟大樓開始蔓延到整條街,擴散到其他鄰近街道。久而久之,這些破窗戶就給人造成一種無序的感覺。
一個很乾淨的地方,人會不好意思丟垃圾,但是一旦地上有垃圾出現之後,人就會毫不猶疑的拋,絲毫不覺羞愧。一面牆,如果出現一些塗鴉沒有清洗掉,很快的,牆上就佈滿了亂七八糟,不堪入目的東西。那麼在這種公眾麻木不仁的氛圍中,犯罪就會滋生、蔓延。
紐約經驗
朱利安尼市長是怎麼著手進行?以前紐約市有一個特殊景觀:「洗車流氓」,這是一些地痞守在路口或塞車的區域,朝著你的擋風玻璃隨便噴兩下,再拿把破布或報紙擦一下,就向你要「服務費」。不給就踹門或是吐口水,常常把人嚇一跳,特別是對觀光客而言。這對大眾的心理和對紐約市的觀感有非常負面的影響。
對處理這問題,當時有很多意見,大家都認為不可行,或是不必要。長久以來,大家認為這種行為充其量只是不好,法也無明文說這是犯罪行為;就算有,也不是什麼大不了的罪,反正「微罪不舉」嘛!而且,紐約市兇殺案很多,不需要把珍貴的警力放在這種「小事」上。不過朱利安尼堅持,並且認為要整頓紐約市治安就是要從抓所謂「洗車流氓」等的「小事」開始。
在朱利安尼的堅持下,紐約警務處研究發現,雖說沒有明確法令可以處罰他們的「洗車」行為,但是他們確實也違反了交通法規,而所謂的「洗車流氓」其實也只有僅僅180人而已,就這樣,紐約警察開始從這件「小事」著手,不到一個月,「洗車流氓」幾乎銷聲匿跡,市民稱慶,而觀光客也回流。
另外,紐約市也將地鐵車廂清理乾淨,並將不買車票白搭車的人用手銬銬住排成一列站在月台上(這裡可是民權至上的美國喲!),公開向民眾宣示政府整頓的決心。之後,警察發現人們果然比較不會在乾淨的場合犯罪,又發現抓逃票很有收穫,因為每七名逃票的人中就有一名是通緝犯,二十名中就有一名攜帶武器。
剛開始時從小處著手,很容易會讓大家覺得緩不濟急;不過往往這是最有效也是最根本的方法。紐約市就這樣從最小、最容易的地方著手,因而打破了犯罪環結(chain),使這個惡性循環無法繼續下去。
企業省思
讀者看到到這裡,或許會覺得心存疑惑,這不是專門談論資訊安全的「資安人」嗎?怎麼會在這裡談論這話題?
其實,「破窗理論」在社會管理和企業管理中都有著重要的意義。企業內的活動就是一個具體而微的社會活動。「破窗理論」給我們的啟示是:必須及時修好「第一個被打碎的窗戶玻璃」。我們中國有句成語叫「防微杜漸」,說的正是這個道理。
身為企業主管,一定有不少人困擾於公司內部的「小偷小摸」、「順手牽羊」、「浮報津貼」、「公器私用」等等的一些「小事」上。一般的員工覺得不舒服,覺得不公平,當然公司主管和員工們也會覺得這些事情不光彩,也不應該讓它繼續發生。不過,因為這多少也算不上是「大事」,或甚至不是「公事」,也有一些人主張,個人物品在公司不見了,不算是公事,所以也不方便管。另外,更因為這類「小事」不好管,大家覺得是小事,所以也不願意提供資訊,結果是很難查,做了也不見得會獲得支持。「聰明人」不願意花精力在這類吃力不討好的工作,所以最後也就只能用道德勸說的方式,希望這類事情能自動消失。
杜絕鄉愿
不過常常事與願違,越不處理,積年累月的結果是問題越來越大,當中國傳統文化中的「厚道」、「得饒人處且饒人」和刑事訴訟法中「微罪不舉」為人所錯誤解釋演繹時,鄉愿的結果是始事情反而越來越嚴重。員工會因為正義不彰而怨聲載道,原本誠實的員工可能也會耳濡目染的變的不誠實,最後就是公司的紀律不彰,企業文化變質,也直接間接的產生企業安全問題。
身為安全專業人的我們,當然不願意前述事情發生囉!那麼在企業內最容易被破壞的「窗戶」在哪裡呢?以資訊安全而言,就是「未經授權存取」,也就是「非實體的偷竊或侵佔」。會發生這問題,通常是來自於對於所謂的授權允許的定義模糊,未做好資訊資產分級控制和管理,因而無相對的保護。就實際行為面,就是員工之間「分享」密碼,和「方便」、「只是幫一個小忙」把資料交付或告知給未經授權的人。
企業安全管理要能做好,企業必須要有紀律的文化;要建立良好具有紀律的企業文化,就從實踐「破窗理論」開始吧!
如何保護這片「窗戶」呢?
發佈規則:
對於資訊安全之相關規定加以明訂使用者規範,並定罰則。
帳號管理:
禁用共用帳號,例行專屬帳號(Unique ID)制度,隨時依現狀啟用及停止,確保不使無主帳號存在在系統上。
密碼管理:
勵行定期更換密碼制度;密碼必須同時具有英數字;不得將密碼寫下;自動檢查密碼之設定,避免使用重複、具循環性(如前一密碼為JJKK01,而下一組密碼為JJKK02)和易猜測(如:英文名、帳號名,和英文單字等)等的密碼。
日誌管理:
定期及不定期稽核存取日誌,發現異常隨時追查。
資訊分級:
將資訊、文件、檔案、系統、資料庫等依其重要性和敏感性加以分類分級,並予以適當標示和管制。
紀律執行:
發現違規使用,必須加以記錄並予以警告。破窗理論的精義並不在繁複的規定和程序,而是在執行。漠視第一次,就有可能會有第二次;漠視小事,就會發生大事。「莫非定理」(Murphy’s Law)在這裡也適用。「愛的教育、鐵的紀律」是讓中鋼成功的中國式管理的精髓,而在最近暢銷的「從A到A+」書中所強調的更是直接,書中強調要成為一個A+的公司不外乎就是「紀律的員工、紀律的思想,和紀律的行為」,更說「因為有紀律,所以不需要花太多時間管理。」
破窗理論
最新活動
2025.10.15
2025 金融資安發展論壇
2025.09.18
「密碼規範越嚴,反而更危險?」從稽核角度解讀帳號管理誤區與最佳實務
2025.09.23
漢昕科技X線上資安黑白講【零信任資安防線|FortiSIEM×FortiDLP打造全方位監控與資料防護】2025/9/23開講!
2025.09.24
資安攻防演練
2025.09.24
產品資安論壇:共築產品資安責任鏈
2025.09.25
面對勒索病毒威脅,資料遺失怎麼辦?3 招讓備份真的能用
2025.10.09
從駭客視角看社交工程:沒有演練,勒索病毒代價有多高?
2025.10.13
關鍵基礎設施-電力系統資安系列課程I(沙崙 X 成大太陽能系統)
2025.10.14
關鍵基礎設施-電力系統資安系列課程II(沙崙 X 成大饋線自動化系統)
2025.10.27
關鍵基礎設施-電力系統資安系列課程III(沙崙 X 成大 電驛系統)
2025.10.31
【雲端安全入門】CCSK 雲端安全知識證照培訓班
看更多活動
大家都在看
資安院發布「資安週報」 數據驅動台灣資安治理新模式
中國支持的新APT組織GhostRedirector,入侵全球Windows伺服器
Microsoft 推出 2025年9月 Patch Tuesday 每月例行更新修補包
AI驅動的惡意軟體攻擊「s1ngularity」已入侵2180個GitHub帳戶
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露
資安人科技網
文章推薦
「資安雙認證」正夯!安永揭密SOC 2與ISO 27001企業必備資安評估標準
Palo Alto Networks 推出 Prisma Browser 防護高隱匿性威脅
Progress Software 發布 SaaS RAG 平台,助力各企業導入值得信賴且可驗證的生成式 AI