导致应用程序和基础设施安全性差的心理偏见


如果我现在给你 10 美元,下周给你 15 美元,你会选择哪一个? 根据你的个性,你可能会认为明显的选择是等到下周再多拿 50% 的钱,但心理学研究表明,大多数人拿了钱就跑了。

这种效应被称为跨期贴现,它在一定程度上解释了为什么我们经常听到本可以避免的安全漏洞。

跨期贴现表示,后果越远,我们“贴现”的越多。 等待一周多花 5 美元有一个明显的好处,但人们倾向于打折这 5 美元,考虑到现在 10 美元比一周内 15 美元更值钱。

考虑到这一点,想想一个需要做出决定的创业公司。他们必须决定是否花时间正确实施有助于长期保持用户数据安全的安全功能。另一种方法是实施一个面向用户的功能,该功能将立即吸引新用户。创业公司可能会选择哪个选项?

在其他条件相同的情况下,明智的选择可能是专注于安全功能。如果几年后,黑客破坏了服务并窃取了敏感的用户数据,整个项目将受到威胁。面向用户的功能的好处只是少数新用户。

但当然,企业通常会选择面向用户的功能,因为他们低估了安全漏洞对未来的影响。

在构建应用程序时,开发人员和管理人员面临着数以千计的此类决策。打折意味着很多时候,几乎没有直接利益的安全性被忽视了。

高管和经理想要立竿见影的回报:短期内的积极指标。开发人员希望开发有趣的功能,而不是不会立即提供任何回报的安全基础。

我们可以在几年前的 Ashley Madison hack 中看到一个例子。一位开发者添加了一个小便利功能,在短期内让生活变得更轻松,却造成了长期的灾难。开发人员和他的上级完全有可能知道潜在的风险,但眼前的小小收益完全掩盖了他们。

并不是开发人员和高管不关心或不了解安全性。 他们通常理解得很好。 但是在一个压力大的环境中,由于负面影响在未来会更远,而忽视安全性,因此很容易做出具有灾难性结果的决定。

公司可以做些什么来对抗这种折扣? 认真对待安全。 了解在安全的云平台上构建安全的应用程序为未来的成功奠定了基础。 让构建安全系统成为您企业文化的一部分。

折扣并不是导致安全性差的唯一因素,但如果行业要避免破坏性安全漏洞,了解折扣如何影响决策方式非常重要。