在招聘合格的安全人員時，既定的做法告訴我們要尋找一系列積極的信號。理想的同事，按照傳統智慧，應該是全面和開放的，擁有從廣泛的認證和扎實的正規教育到以前的職業成功和已知的合作精神的一切。

這尤其適用于CISO及其關鍵副手的招聘，但招聘經理應如何在招聘過程中考慮危機經驗呢？如何評估在壓力下的表現，并確保這種關鍵經驗不僅僅是學來的偏見？

有效評估個人資質中的危機經驗，風險很高。心理學研究和商業研究告訴我們，典型的危機可以帶來一系列病態行為，從隧道視野和過度自信到對群體思維的偏好——決策者傾向于依賴過去的危機時刻來應對未來的行動。

在入侵事件中，如果CISO在關鍵分析上出現缺陷，他們可能更容易忽視他們認為可以防止類似事件的新機器學習產品中的數據質量或道德問題，或者在危機期間與保險公司的積極支持經驗可能會反常地激勵與保險提供商過于舒適的關系，從而限制創新的安全思維。

網絡危機經驗不同于其他危機經驗

幸運的是，最近關于網絡安全事件和專業人員的研究揭示了網絡事件對決策的影響。傳統的危機影響觀認為，心理影響從重大事件中波及開來，從直接受影響者到最遠的受影響者，換句話說，你離得越近，主觀性和偏見的潛力越大。

然而，對于網絡事件，距離似乎是反向起作用的，危機響應者更有可能將這些事件視為特有的，充滿了需要謹慎對待的獨特變量，另一方面，對危機有興趣但沒有利益關系的決策者更有可能抓住現實中的相似之處——即使它們與網絡安全無關——并從中學習可能誤導的教訓。

關于圍繞網絡危機經驗的實際招聘問題，答案是反直覺但最終簡單的——招聘有危機經驗的人，但要警惕旁觀者！

當Julius Caesar跨越盧比孔河時，這不僅是一個政治或戰略上的不歸點——他選擇了通過向羅馬進軍并改變歷史來違反法律和幾百年的慣例，最終發動了一場內戰，使Caesar成為終身獨裁者，并開啟了羅馬帝國。

幾十年的心理學證據表明，這些跨越盧比孔河的時刻是從審慎（思考）心態轉向實施（行動）心態的結果。重要的是，這不僅僅影響歷史上著名的人物，而是影響所有人。如果CISO的工作主要由常規安全任務和危機預防組成，那么他們的心態主要會是審慎的。

即使是常規的安全決策，例如選擇新的供應商合作伙伴或應對輕微的安全事件，也由“如果……會怎樣？”的面向未來的心態定義，這種心態面向角色的核心任務。

當存在危機來襲時，無論是戰爭爆發、大規模勒索軟件攻擊還是車禍，都會跨越一個“盧比孔河”。心理學家一致認為，這是最有可能偏離客觀性的時刻。畢竟，此刻的任務不再是計劃，而是行動！

危機時刻可能導致失去客觀性

典型危機的心理影響并不一致，但它確實讓我們普遍容易失去客觀性，我們可能傾向于群體思維，過度自信于已經制定的計劃，甚至對未知因素產生毫無根據的恐懼。

然而，一般來說，決策者傾向于幾個關鍵影響——他們對新信息更新預期的接受度較低，并且傾向于對新信息產生偏見。

他們表現出比正常情況下更高的認知失調、自利評價和控制幻覺，而且，在沒有明顯障礙阻礙成功的情況下，他們對自己執行任務的能力會變得更加樂觀（或不切實際）。

這些傾向是現代行為科學中記錄最詳盡的，在更廣泛的本土和國家安全領域，它們也構成了思考安全事件暴露的基礎。

犯罪、恐怖襲擊、自然災害甚至金融災難的接近可能會造成真正的情感創傷，有時甚至是存在性的創傷。對于執法人員或類似領域的人來說，在招聘時評價危機經驗的問題變得更加慎重。

過去的事件是否導致該專業人員出現意外行為？過去的事件是否主導了他們當前的角色定位？

最重要的是，對過去事件的客觀分析是否反映在他們對新危機的反應中？如果是這樣，危機經驗可能是一個加分項。如果不是，則可能需要謹慎對待。

網絡危機響應的工作方式不同

對于那些希望雇傭新的CISO或其他關鍵網絡安全人員的人來說，這種邏輯是否成立？最近的研究表明并非如此。相反，專家們越來越指出，重大的網絡安全事件很少具有我們預期的其他類型安全事件中明顯的存在性或情感上的利害關系。

即使在看似存在風險的情況下，網絡攻擊中也很少出現物理損壞或破壞。結果是在網絡安全中，心理影響更多地出現在遠離攻擊中心的地方，而不是事件的核心。

額外的研究描述了網絡安全響應是尋找相似之處。當個人遇到危機事件時，心理學證據表明他們會使用類比和歷史來理解情況的范圍、可能的解決方案及其道德維度。

對于網絡事件，由于不熟悉，人們會尋求類似的情況，但應對網絡事件需要的是操作視角而不是戰略意識，并且在危機響應核心的人員通常擁有最多的信息，這有助于揭示特定事件的獨特細節，并阻止過度概括。

相反，普通公眾通常對網絡安全事件的特殊性了解較少，對事件進展的可見性也較低，這導致普通公民會使用歷史類比（如在試圖理解對醫院的勒索軟件攻擊時，聯想到對政府設施的恐怖襲擊），這些類比可能根本不是數字性質的。

招聘時要重視危機經驗，但要警惕旁觀者

最近的研究明確表明，在網絡安全招聘中，重視危機經歷的風險較小，潛在價值更大，這與傳統思維背道而馳。

只要候選人的履歷是可驗證的，并且在入侵事件中的貢獻是清晰的，直接的危機經歷實際上比傳統指標更能預示未來的成功。

相比之下，要警惕“旁觀者”，即那些擁有資歷但其經驗來自于在危機中的遠距離參與的人。雖然這些人可能對其組織做出積極貢獻，但在招聘中，危機經歷的角色相對于未來表現的傳統指標應被淡化。

當然，對于招聘經理和CISO來說，一個挑戰是決定什么構成了人員決策中的危機暴露。最新的研究共識是，參與響應生命周期的多個階段——受到攻擊中斷的影響或幫助準備未來響應——的經驗遠比僅僅目睹一次攻擊要好得多。

那些經歷了初始妥協或其他攻擊影響，然后進行定位、分析和緩解活動的人，更不容易出現過度概括和錯誤的信息反應。

顯然，危機經歷在網絡安全中的價值應與其他領域不同。那些在響應生命周期的各個階段接近威脅事件的人，在未來的危機中更能保持客觀性，而那些沒有這種經歷的人則更有可能從偏見的立場出發。

這表明，不僅招聘CISO時應尋找這些背景的人，還應支持能夠反映這些經驗的活動和招聘基準，如參與多樣的桌面演練或模擬設計。

研究一致支持的觀點是，不要尋找全能型人才，而是尋找多才型人才，在多樣化職業培訓和關鍵角色經驗之間取得平衡。