Keresés

Közösség

Feedek

XML

Linkblog

Címkék

adatmentés (1) adatvédelem (2) aliceesbob (2) android (2) audit (2) aws (3) búcsú (1) cloud (4) cpp (1) dokumentumok (2) esemény (3) esettanulmány (8) ethical hacking (6) facebook (1) felhasználókezelés (2) fraud (2) gépházból jelentjük (11) gondolatka (16) hacking (10) hacktivity (3) hétpecsét (2) hirdetés (2) ibir (1) incidenskezelés (3) infojog (2) információszivárgás (2) iso27001 (1) itbusiness (1) itscc2010 (4) java (1) jelszó (2) kezdő dba (2) kitekintés (2) kockázatkezelés (2) könyvajánló (3) lockpicking (1) mobil biztonság (1) mobil kommunikáció (1) msword (1) naplóelemzés (2) népszámlálás (1) oracle (2) oscp (1) pebkac (1) poénka (4) programozás (6) pszichológia (2) rackspace (1) rendelkezésre állás (2) rootkit (2) sajtófigyelés (2) scam (3) sdlc (2) social engineering (3) szabályzat (1) tanácsadás (3) tanácsadóbeszél (2) technika (1) tedx (1) termékvédelem (1) teszt (2) történet (6) vagyonleltár (1) verseny (2) virtualizáció (1) vírus (1) vizsga (1) wall of sheep (2) wifi (2) Címkefelhő

How risky is it, really?

2011.03.11. 06:51 | aliceesbob | Szólj hozzá!

Címkék: pszichológia könyvajánló kockázatkezelés

Az IT biztonság azért is egy érdekes terület, mert olyan témák felé sodorja az érdeklődésemet, amikre programozóként szinte biztos, hogy soha nem figyeltem volna fel. Az IT biztonságnak köszönhetem ezt a könyvet is. A történeti lánc valami ilyesmi volt: Security Engineering (Ross Andersontól) -> Psychology and Security Resource Page -> pszichológia és szociálpszichológia könyvek -> How Risky Is It, Really?

A könyv írója David Ropeik 22 évig újságíróként kereste kenyerét, ami nem is tett rosszat a könyvnek, jó olvasmányos, történetmesélős lett. Látszik az is, hogy a szerző már nem az újságírásból, hanem a tanácsadásból él. Így az információtartalommal sincs baj.

A könyv témája az ember veszélyértékelési folyamata, vagyis milyen hatások játszanak abban közre, hogy az ember a veszélyek értékelésekor sokszor a kevésbé veszélyes dolgokat tekinti kockázatosabbnak, mint kellene, máskor viszont éppen fordítva jár el. Szándékosan írtam általánosan embereket, mivel a leírt folyamatok és hatások egy része pszichológiai, evolúciós eredetű, másik része társadalmi beidegződések következménye.

A könyv a biológiai gyökerekkel indít, itt tanultam meg, hogy van a fejemben valami amigdala, ami a félelemérzetben fontos szerepet játszik (ez nálam elég csökevényes lehet, mert józsi nem fél). Ezután a könyv sok sok példán keresztül bemutatja azokat a mechanizmusokat, jelenségeket, amelyek befolyásolják a veszélyekre adott válaszainkat. Kifejezetten jó húzás a könyvben, hogy keretes részben időről időre próbára tehetjük, egy adott helyzetben hogyan reagálnánk. Ebből kiderült számomra, hogy én is ember vagyok, ami jó hír, mert már mondták az ellenkezőjét is (józsi te egy állat vagy).

A könyv vége felé természetesen nem kerülhetjük el, hogy konkrét megoldási javaslatokat adjon, amik közül nekem a legfontosabb újdonság az volt, hogy a kockázat kommunikáció (risk communication) is egy önálló terület, vagy legalább is igyekeznek emberek ebből megélni.

Nem bántam meg, hogy elolvastam a könyvet, mert jó áttekintést adott a témáról. A legtöbb dolgot már részleteiben, más csomagolásban, csoportosításban olvastam korábban (talán az amigdalás rész volt újdonság), de jól összeszedte a legfontosabb eredményeket és sok érdekes és hasznos anekdotával gazdagított, ami segít a témát internalizálnom (jó kifejezés mi?).

A könyvben olvasottak talán meglepő módon, de nagyon jól hasznosíthatóak a biztonsági tanácsadásban, különösen kockázatértékelés környékén érdekes látni, amint az amigdala akcióba lendül.

A könyvet mindenkinek ajánlom, akit érdekel, hogy az ember hogyan gondolkodik, milyen rövidzárlataink vannak. Ajánlom annak, aki hajlandó szembenézni azzal, hogy ő maga távolról sem racionálisan hozza a döntéseket, nem annyira vagyunk tökéletesek, mint ahogy gondolnánk. A könyv a kockázatelemzéssel foglalkozó embereknek is hasznos lehet, mert segítheti őket, hogy a különböző módszertanokban az ember szerepét jobban helyre tegyék. A gondolkodás működésének ismerete lehetőség is a kockázatok hatékonyabb kommunikálásában.

A könyvből én az alábbi jegyzeteket készítettem (nem mindenre tudok magyar fordítást, ezért a fontosabb koncepciókat meghagyom angolul):

  • Az amigdala (agy része valahol középen) fontos szerepe van abban, hogy az ember először megretten és csak utána gondolkodik (fear first think second).
  • Rettegés három F válasza: fight, flight, freeze (harcolj, menekülj, ne moccanj).
  • Csináltak olyan vizsgálatot, amikor 3*3-as mátrixban arcokat mutattak az alanyoknak és 8 pozitív mellett az egy mérges arcot előbb kiszúrták, mint a 8 mérges mellett az egy pozitívot (MRI-vel).
  • Perception Gap, amikor az ember egy kevésbé fontos veszélytől jobban fél, mint egy nagyobbtól. A PG rossz döntésekhez vezet (egyéni és társadalmi szinten). Ha tudjuk, hogyan működik jobb döntéseket tudunk hozni.
  • Affective risk response. Az ember döntéseiben a racionális érvek mellett az érzelmi szempontok is mindig jelen vannak. Nincs racionális döntés. Home rationalis helyett Homo naturalis
  • Bounded rationality. Folyamatosan úgy hozunk döntéseket, úgy ítélkezünk, hogy nem áll minden információ rendelkezésünkre, vagy nem vagyunk a döntéshez, ítélkezéshez szükséges mentális képességek birtokában.
    • A koncepciót Herbert Simon vezette be.
    • Mental shortcutokat alkalmazunk: heurisztika és bias (magyarul?)
      • (bias) Framing effect. A döntés és érzet függ attól, hogy vannak az információk prezentálva. Ugyanaz másként elmondva, más döntéshez vezethet.
        Megj. Esetleg ez security-ban is hasznos lehet: van vírusirtó, 80% eséllyel nem kapsz vírust, vagy ha nincs vírusirtód 20% eséllyel vírust kapsz. Talán más lesz a válasz? Erre figyelni kell!
      • (heuristic) representativness effect. Általános gyakoriságokat, ismereteket alkalmazunk speciális helyzetben.
        • Kis minta esetén hibás következtetés levonása (MMR oltás körüli botrány -> Lancet tanulmány)
        • Feltételes valószínűséget nem kezeljük jól (false pozitív). Terrorista kiszűrése egy 99%-os pontosságú teszttel is nagyon sok hibás azonosítást fog adni (Bayes tétel)
        • Véletlen sorozatban is lehet lokális szabályosság, de az ember a véletlenbe ezt nem látja bele (TFTFTFTF, TTTTFFFF ugyanolyan valószínűek)
      • (bias) Loss aversion. Az ember veszteségkerülő vagy minimalizáló.
      • Optimism bias. Velem ilyen nem történhet jellegű dolgok csak másokkal.
    • A veszélyérzet számos nem racionális elemtől függ (risk perception factor), akár egyszerre többtől is
      • ha hasznos akkor nagyobb kockázatot vállalunk,
      • ha a mi kontrollunk alatt van akkor ok,
      • ha van választásunk, akkor is ok (telefonálás vezetés közben, dohányzás)
      • a természetes veszélyeket jobban elfogadjuk, mint az ember alkotta veszélyeket (sugárzás ha természetes ok, de ha atomerőmű, akkor már rossz)
      • a bizonytalanságot nem szeretjük,
      • a hirtelen nagy bajt jobban utáljuk mint a krónikus dolgokat (félünk a repülőgépkatasztrófától, de sokkal többen halnak meg szívinfarktusban vagy az utakon évente),
      • ha nem velem történik rendben van,
      • az ismeretlen veszélytől jobban félünk, mint az ismerttől (pl. madárinfluenza szemben sima influenza).
  • A veszélyérzet függ a társadalmi helyzettől is
  • Perception Gap kezelési stratégiák
    • Ne zsigeri döntést hozzunk, hagyjunk időt a döntésre, gyűjtsünk információkat, független forrásokat keressünk, biasokra figyelni.
  • További olvasnivalók
    • Risk Communication (Önálló terület, érdemes utána olvasni). 
    • Zajonc, „Feeling and Thinking, Preferences Need No Inferences”
    • Matthew Adler, „Fear: Assessment: Cost-Benefit Analysis and the Pricing of Fear and Anxiety
    • Szeptember 11 utáni autós halálozási statisztikának utánanézni. Állítólag több (300 és 1000 között) ember halt meg az utakon, mert a repülés helyett az autózást választották.

Végezetül egy video, ahol ugyanerről beszél.

-- tibjoz

Facebook Tumblr Tweet Pinterest Tetszik
0

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://aliceesbob.blog.hu/api/trackback/id/tr572729825

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása