**קריאה חובה לכל החברים שלי שבונים בתחום האבטחה (אז, כל החברים שלי) הוא הניוזלטר של [Ross] מאתמול.

הנקודה המרכזית: אנשים תמיד יעשו את מה שהם ממורצים לעשות.

אני אובססיבית לתזה הזאת כבר שנים, ורוס זיקק את זה בצורה מושלמת לסייבר: כמעט אף אחד לא ממש ממורץ על ידי שיטות אבטחה.

איך אפשר לדעת מה התמריצים של מישהו? שאלו את עצמכם שאלה פשוטה: מה גורם להם לקבל קידום? להיות מפוטרים? לצעוק עליהם?

קל להדגים את זה עם צוותי אבטחה. בדומה לצוותי IT, הם ממורצים לסגור כמה שיותר טיקטים, כמה שיותר מהר, בלי לעצבן אנשים. ה-KPI שלהם הוא “מהירות פתרון טיקטים”, לא “צמצום משטח התקיפה”. זה בעצם כיבוי שריפות, לא מניעת שריפות.

שינוי אמיתי דורש התאמה של תמריצים ברחבי הארגון, מה שקורה רק לעיתים רחוקות עד שאירוע משמעותי כופה סדרי עדיפויות חדשים. זה יכול להיות פרצת אבטחה, אבל יכול להיות גם “בואו נהיה יותר מונחי נתונים” או “חייבים שיהיה לנו AI במוצר!”

במירוץ לאימוץ AI, אנחנו רואים את אותו הדפוס. ארגונים ממהרים ליישם AI, לעיתים קרובות בלי כלים או תשתית מתאימה כדי לוודא שהם עושים את זה באופן אחראי. זה לא בגלל שהמהנדסים שלהם לא טובים, אלא בגלל שאין להם תמריצים לעשות את זה בצורה בטוחה יותר.

השאלה האמיתית: איך אנחנו יכולים ליישר מחדש באופן רדיקלי את התמריצים העסקיים עם אבטחה ובטיחות, כשכל כוח אחר דוחף בכיוון ההפוך.

שלב ראשון - להכיר בכך שתמריצים הם המלך האמיתי היחיד. שלב שני יהיה ללמוד איך להשתמש בהם.

https://ventureinsecurity.net/p/not-getting-incentives-right-can?publication_id=746596&post_id=178623070&isFreemail=true&r=1m87zp&triedRedirect=true