誠実さと開示が大切な環境づくり

Question

UPDATE：問題は、明確に定義された実験を使用した、非常に大規模なサンプルの人々の行動分析に基づく実際の研究を求めています。意見や臨時の観察に基づいて回答を投稿しても、質問に対応したり、質問に価値が追加されたりすることはありません。

「 VeriSign Hacked：私たちが知らないことが私たちを傷つけるかもしれない」というタイトルのPCWorldの記事を読んで、私は引用に遭遇しました：

nCircle CTO Tim ‘TK’ Keanini は、ハッキング自体が問題の核心ではないことを指摘しています。不浸透性のネットワークはなく、VeriSignと同じくらい知名度の高い会社が主なターゲットです。重要なのは、組織が正直さと開示が重視される環境を促進するためにより多くのことを行う必要があるということです。否定的な結果に対する恐れが、迅速な開示と対応を行うと、ITスタッフが違反の証拠を隠してしまう状況に陥ります。

これは、「企業間セキュリティの開示と合意」に関する私の質問の核心であったと部分的に推測します。これは、誠実さと開示の環境が基本的にビジネスを行う上で運用上の合意に達することがいかに重要であるかを示します。

とはいえ、そのような「誠実さの経済」が現実の世界でどのように機能するかは不明です。

「誠実さの経済」に関する事実に基づく意見はありますか？それが個人とその生態系の両方の安全に向けた論理的なステップであるかどうかについて洞察を提供しますか？

schroeder · Accepted Answer

ミッションは不可能ですか？
私は「誠実さの経済」を実装するための調査を行っていません。あなたが何も見つけられないことは私の理解です。「誠実さ」は道徳的価値観であり、企業が人に道徳的価値観を生み出すことは効果的ではありません。一連の「行動」を彼が「正直」と呼んだ価値体系としてまとめたキアニーニの引用に基づくと、あなたの質問は的外れだと私は思います。

行動
重要な研究がある組織が実行できることは、行動を修正することです。「行動修正」は、Keaniniの引用の目的を達成しますが、倫理的/道徳的なアプローチを期待している場合、それがあなたが探しているものかどうかはわかりません。特定のトリガーが提示されたときに、事前に選択された方法で応答するように人を訓練します。倫理と道徳は特定の方法で調整する必要はありません。

BJフォッグ
BJ Fogg には large body of work - on the subject は、組織の行動の変化にテクノロジーを取り入れています。彼の方法は、特定のトリガーへの応答に影響を与えるためにクライアントのユーザーと一緒に使用する方法です。その結果、私のユーザーは問題に対処するために謝罪、恐れ、または黙々とせずに積極的に私を探し求めますたとえ彼らがそれらを引き起こしたとしても。

パーソナルリサーチ
Foggのアプローチを使用することで、ユーザーの認識を、ITセキュリティを壊れやすいモノリシックインフラストラクチャとして見ることから、脅威に対するプロアクティブな対策の動的システムに変える。ここから、ローカルのAVポップアップイベント（システムからも警告を受けています）やフィッシングメールの受信など、特定のトリガーに応答するようにユーザーをトレーニングします。彼らの期待される応答は単純な動作です（メールを送信）。「失敗する」ことは何もありません、学ぶべき反応だけです。何らかの違反に気づいた場合、たとえそれが原因であっても、メールを送信するか、必要に応じて電話をかけます。私が作成する認識は、攻撃者は狡猾であり、したがって攻撃に屈することは彼らの責任ではなく、焦点は従業員ではなく攻撃者にあるということです。したがって、脅威は、攻撃者の狡猾さと従業員の適切な対応（私の場合、単に電子メールを送信すること）の間のユーザーの心の中での競争になります。「1つのメールで攻撃者を倒す」。私の関与レベルは非常に高いです。

目標
質問は次のとおりです。「正直な」人々、または正しいことを「行う」人々が必要ですか？

tylerl · Answer

私たちが確実に知っていることがあれば、それは人々がインセンティブに反応するです。

従業員が経営陣からミスを隠すよう奨励されている環境では、経営陣が内部の障害を特定して対応する能力が低下することは、言うまでもありません。また、内部で障害を特定して対応できない企業は、本質的にcan自身の障害を特定して対応する企業よりも信頼性が低いことも自明です。

内部の障害や問題は、原則として、埋葬されても消えません。その代わりに、問題に対処する人々が利用できる選択肢が少ないため、開示された失敗よりも成長して転移する傾向があります。私の間違いを公にしたくない場合、その間違いに対処するための私の選択肢の範囲は厳しく制限され、会社を犠牲にして自分自身を保護する最適ではないオプションを選択することになります。

つまり、正直な内部環境は全体的なセキュリティを向上させます。問題を迅速かつクリーンに処理でき、大災害を回避できます。

そして確かに、誠実さを促進する内部環境を持つ会社は、そうでない会社よりも顧客として私にとってより価値があります。しかし、すべてのマネージャー考える彼は正直な環境を育みます。彼は部下に彼に嘘をつくように励ますために故意に着手しませんでした。彼らの環境が正直を助長するかどうか経営陣に尋ねることは無意味なことでしょう。

代わりに、インセンティブを確認する必要があります。

従業員が間違いを見つけた場合-おそらく自分、上司、部下、同僚など-その間違いを知らせようとする動機は何でしょうか。それを静かに保つ彼の動機は何ですか？そして彼が言う人;それは何ですかそれそれを静かに保つための人の動機？

economyの概念はmoneyだけでなくincentivesも扱います。 誠実さの経済は、したがって、誠実さを奨励するインセンティブ構造です。内部のインセンティブ構造または組織間のインセンティブの構造であること。

M&#39;vy · Answer

IEEE Security＆Privacyの article を読みました。著者は、さまざまな脆弱性開示ポリシーへの影響を分析するモデルを構築しました。

そこでは、経済学についてもっと話しているように見える、著者の別の記事への参照を見つけることができます。私はその最後のものを読みませんでした。

それが役に立てば幸い。

zedman9991 · Answer

「誠実さの経済」によって、非倫理的で隠されたビジネス行動と比較して、倫理的で透明なビジネス行動の経済的価値に質問が集中している場合、経済的要因は前者を支持します。

法的および規制上の法令から始めましょう。この例では、NASDAQ上場企業であるSymantec Corporationについて話しています。彼らがそうしなければ彼らの義務の違反を構成するので、彼らは彼らの必要な公的書類に事実を投稿しました。その失敗はそれらを株主による訴訟の可能性と同様に規制制裁と罰金にさらしたでしょう。この時点で、正直さの価値についての質問に答えました。上場企業にとって、正直さは不正直さの価値よりも優先されます。エンロン、タイコ、ワールドコムは、この勢力の21世紀の実例です。

これで、この例の「小さな印刷物に埋もれる」という側面が残りました。 1年以上にわたってこのイベントの技術的な側面について悩んだであろう人々には、小さな活字が問題を抑えているようです。まあ、タイムアップ！私たち、VeriSignや親Symantecのような企業の誠実さについて悩んでいる人々は、この妥協点に気づき、それに対処するための次の方法とは思えないようです。その事実の経済的影響は、今後数ヶ月でかなりのものになるでしょう。その組織への信頼は、大規模な自己誘導のシェラックをとっただけです。

それで、「正直の経済」についてのあなたの質問に対して、私は何に対してではなく尋ねますか？四半期報告書に埋められた時限爆弾でヒューズを照らすことによって得られる数ヶ月または数年の静かな短期的な利益とは対照的に？良いニュースは、誠実さの経済的価値がうまく機能していることです。

Luke Sheppard · Answer

質問に「インシデント対応」のタグを付けたので、おそらくこのペーパーは有益だと思うかもしれません： Connected Giving：Ordinary People Coordinating Disaster Relief on the Internet （pdf）。ハリケーンカトリーナ後の災害救援を調整するために、ボランティアが臨時のオンライングループと関係を確立することについてです。

「信頼の開発」というタイトルの2つの個別のセクションのドキュメントを検索します。それらのセクションの1つは、この主題の特定の側面に関する他のいくつかの論文を引用しています。

bethlakshmi · Answer

経済の観点から行われた信頼に関する多くの研究があります。ナッシュや囚人のジレンマのようなゲーム理論から始めて、グループや個人がnプレーヤーゲームやその他の実験でどのように動作するかを調査することは、進行中の研究トピックです。

これが searchable repository -大量の論文へのリンクです。

これらの多くの基礎は、「両方がうまくいけば、リスクを伴うが相互に有益な取引をするのに十分なほど人々を信頼できるか」ということです。これは囚人のジレンマの本質ですが、おそらく囚人のジレンマはこのタイプの研究の複雑さを少し単純化しているので、それをかなり上回っています。

コンテキストがどれだけあなたの望むものに当てはまるかわからない-インシデントの報告について人々がよりオープンになる環境...それは出発点かもしれません。

user11869 · Answer

私は経済学の背後にある理論についてはあまり知りませんし、多くの事実も持っていませんが、ほとんどの人が関係すると思う意見があります。

まずは一番上からだと思います。大きな幹部やCEOなどは、正しいことを行うことと、それをうまく行うことについて、最終的な収益を心配する必要はありません。彼らが真に製品と顧客を重視するビジネスモデルに従う企業は、利益を上げるためだけに存在する企業よりも（多くの点で）多くの場合成功しています。 これらはインシデントに適切に対応する企業です

残りはそこから落ちてきます。上層部が安定性と卓越性を強調する場合、環境の他の側面は、従業員がセキュリティの侵害を報告することを恐れないようにするのに役立ちます。

編集：しかし、会社の収益だけを気にしていないハイアップですか？彼らは死にかけている品種です。