強化資安第二箭解決組織「習得無助感」負面思維

2016 / 12 / 27

熊掌櫃

如果你在推動資訊安全管理工作時正面臨這一些問題，覺得...
．有點疲倦，不像過去那般地投入心力與熱情。
．對於資安新聞、科技新知興趣缺缺。
．同好相聚不談資安，取而代之的是抱怨公司、主管及同事。
．資安不出事無人問，一旦出事扛責任。
．績效考核不公平。
．好像再怎麼努力提案，老闆還是不買單。
．年度資安專案能不提就不提。
．覺得沒成長，想換公司或工作。
．其他令你覺得無能為力的事情...

當出現以上徵狀時，你可能開始懷疑自己是不是入錯了行，還是進錯了公司，等等，別急著否定你過去在資安工作所付出的努力，某種程度你可能已經「習得無助感」。

「習得無助感」不僅僅是個人的一種心理狀態，糟糕的是這樣的一種負面思維會在組織內傳染蔓延，不加以處理便會造成整個團隊瀰漫著無助感及無力感，試想，這樣的團隊如何去推動一個時時面臨挑戰，得持續不斷改善的資訊安全管理工作？

※習得無助感Learned Helplessness
理論是由賓州大學心理系教授馬汀.賽利格曼（Martin Seligman）所提出，當人們有了無助感後，對人生的看法會改變，不會有動力繼續努力，認為無論如何，都無法左右或改變現況。人們的潛意識在說「何必呢？反正怎麼樣都沒差。」到最後就算解脫的機會近在眼前，也提不起精神採取行動了。

當我們在探討如何去推動資安工作時，會由強化管理階層對於資訊安全的認知、對於資安所應負起的責任，甚至於探討如何提案來說服管理階層對於資安的關注及支持等方案著手。另外對於一般使用者對於資安意識的強化也是亟待努力的方向。

然而這一切似乎都假設並期待從事推動資安工作者，不論是一般專業人員或基層主管都有著源源不絕的動力與企圖心，可以面臨任何的挫折，持續不斷。而忽略了資安工作者也是跟一般人一樣會有情緒，面對壓力有不同的處理方式，似乎我們都忽略或輕忽了人心理層面的問題可能也是影響資安管理工作推動的重要因素之一。過往在討論資安推動的方法，不論是如何提案，如何揭露資安風險，採用甚麼方法論等，筆者認為這都是「技術問題」，專家建議，專業資安服務、國際標準等都能提供解決方案，唯獨似乎很少討論心理層面問題的處理，筆者並非心理專家，也無法提供專業心理諮詢建議，只是這「習得無助感」一詞，觸發筆者思考以另一個角度方來探討資安工作推動問題，內容是回顧過往資安工作的經驗，以這個面向重新整理一些看法及觀點提供讀者、資安人一些思考方向。

習得無助感為資安部門帶來問題
當負責推動資訊安全管理工作的團隊充斥著無助感的負面思維時，可能會出現以下問題：
● 新進資安人員定著不易
「習得無助感」的影響之一，即使機會在眼前，也提不起精神採取行動，因此當資安團隊瀰漫著無助感的負面思維時，既有成員可能無意或是無法採取行動改變現狀，留在團隊虛度時日或是離開團隊另謀出路。而團隊主管若僅是基層主管，因為其權責有限，問題可能跟一般成員並無太大差異，也不易改變團隊「無助感」的負面氛圍。

當新進人員加入團隊時，很快的就能感受到這些負面思維，進而感染這負面思維或選擇離開團隊，因人力短缺而產生的工作壓力，將造成持續的惡性循環，缺乏新人的加入也使得團隊失去了可能改變的機會。

● 持續改善機制停擺
資訊安全管理本質就是個必須持續改善的運作機制，因為資安威脅無所不在，同時伴隨著科技發展與時俱進，因此資安工作是一個無止盡的工作。當資安團隊出現無助感時，團隊成員面對日常作業發現的問題，可能也不會主動提出改善之道，對於該承擔的負責，會認為責任不在自己，而試著逃避或加以隱瞞，管理階層就會錯失任何可以改善的機會。

對於新的資安威脅，團隊無心力去深入研究對策，資安問題無可避面將隨之出現，而若管理階層不明就裡因此而究責，便增強了「習得無助感」資安人員的觀點──「責任不在自己」，使問題更形惡化。

「無助感」就像是癌細胞，不去理會他並不會自動消失，會不斷轉移蔓延，最後吞噬病人。「習得無助感」同樣會摧毀一個團隊的運作。

若是公司已經取得ISO 27001（資訊安全管理系統）認證多時，就容易發現，管理審查會議、內部查核、風險評鑑等重要活動流於形式，議題不痛不癢，該是拍手鼓掌資訊安全管理作的好，還是這管理體系已經病入膏肓，起不了作用？

●資安事故如打地鼠
資安團隊在「習得無助感」後，最直接也可能最快出現的，就是層出不窮的資安事故。廣義地看待資安，除了惡意攻擊、資料竊取之外，公司內部資訊系統異常事故、資料存取控制、應用程式開發控制等，也是資訊安全管理體系的範疇，當資安團隊無法執行實質管理工作，或是一般資訊作業安全管控失靈，接著便是如打地鼠遊戲般，資安事故層出不窮，甚至引起高階管理階層關注事故處理，然而就像打地鼠般，打下一隻，又在其他地方出現。

而高階介入處理事故，正面的影響是會提升事故處理效率，但稍有不慎便造成管理體系、作業程序(制度)瓦解，造成資安團隊對於其原本所應負責的工作產生無法掌控的徬徨感。

如果你感同身受，也發現公司出現這樣的問題，或許公司或資安團隊正處於「習得無助感」的負面影響，而這「習得無助感」的問題，恐怕組織管理階層得負起主要的責任。

改善習得無助感累積正面能量
也許你認同上述說明，「是啊，這是老闆（主管)問題，我又不能改變甚麼?」，的確，若你只是負責資安工作的一般員工，或擔任資安團隊的主管但位階僅只是基層主管，要扭轉這種負面情緒的確不容易。但是自覺「習得無助感」時，難道只能坐視不管？不能作些什麼讓負面情緒到「我」為止？

對於解決組織「習得無助感」負面情緒，管理階層責無旁貸，以下是對於一般資安基層主管或資安工作者解決「習得無助感」的建議。
1.增進團隊交流
我們的腦袋在強大的負面壓力之下，會變得被動，失去創意思考的能力，也不再尋找解決方案面對問題，當增加團隊交流時，也許只是分享與工作無關的事，都有助於減緩壓力，發現自己並不孤單，若注意到他人也面臨同樣的困境，自己並非特例，也會讓我們心情比較平靜。在彼此負面壓力較為減緩的情況下，他人的建議也許提供了我們解決問題的思考方向。

而在團隊交流過中必須由自己做起，應避免附和負面的言論，因為負面言論看不到真相，不會越辯越明，只會讓負面情緒的影響加劇。

2.重獲控制──專注於可以控制的事
「習得無助感」是發自一種對人生、工作失去掌控的徬徨感，資安工作很多不見得都能完全掌控，例如對於資安的投資，具決策權的管理階層可能有其整體公司營運優先順序之考量，一般基層員工未必能全盤了解，因此結果也就無法完全如預期。

因此將眾多資安工作區分為哪些是可以控制，那些是不能控制的是對抗無助感很重要的解決之道，例如，不能控制的是管理階層願不願投資購買資安工具、對於風險接受的程度。可以控制的是規劃資訊安全管理制度、建立作業標準程序。利用有限的資源，蒐集並呈現資安事故資訊。或是提供資訊安全認知教育訓練。

當你將重心放在能夠控制的事物上，並且實際付出行動去執行或左右它時，所得到的回饋會加強你的掌控感，創造正向的能量循環，賦予你積極的目的感。

3.增加結構與當責
我們的腦子需要穩定性、規律性，一個可依據的結構，才能發揮最大功能。反之，若無一定章法，將會造成耗費心力卻無法成就一件事，帶來更大的挫折感，因此在規劃某件任務或目標時，若能設定一個特定的完成時間，一個明確的框架，就能大大提升成功率。

例如，在個人方面，與其設定「提升企業內部用戶端資安意識」的目標，不如明確訂定「每一季舉行一次資安宣導教育訓練」的明確目標。並且團隊成員彼此督促當責(Accountability) ，為目標達成與否當責，這麼一來，任務不會顯得太龐大，目標遙不可及，而一些小成就也能累積成信心與動力。更別說一個習得無助感的人通常已失去了目標，光是能讓他再次行動，已經是場勝仗。

以上僅是列舉幾項對個人較容易實施的解決方案，或許作了上述的努力對於公司充斥「習得無助感」的負面情緒，短時間內可能產生不了顯著的改變，但相信會為了下一個工作機會累積正面能量。

對於解決組織「習得無助感」負面情緒，管理階層責無旁貸，同時他所能產生的效果是最直接的。解決方案是什麼？或許管理階層應該先優先觀察公司、資安管理團隊是否已「習得無助感」才能對症下藥。
強化資安第一箭提升用戶端資安意識

上集 : 強化資安第一箭提升用戶端資安意識

熊掌櫃資安觀：
資安就像烹飪，不斷嘗試才能端出色香味俱全、客人滿意、信任又安心的菜餚。熊掌櫃上菜囉。