在决策过程中，我们并不总是像自己想象的那么明智。这一点在日常生活中体现得非常明显，从午餐吃什么之类微不足道的小事，到买什么类型的车，选什么地方定居之类的人生大事，谁能保证每一个决定都是理性而明智的呢?

　　有些认知偏差，或者偏离理性的判断，会影响我们决策的方方面面。如果认为此类不理性思维不会导致网络安全风险视角扭曲，或者不会在企业系统防护上做出失策判断，那就真是太蠢了。以下便是安全人员应该特别注意的9种认知误区：

　　1. 可得性启发法
 

　　大脑中容易走的通路，我们自己容易想到的事情也会认为它在世界也上容易发生，自己的经历被我们投射到了世界。这是我们过于依赖最先出现在脑海的东西而产生的偏见。容易陷入可得性启发的人，会将注意力放在最近的事件上，无论最近的事件是蠕虫攻击(比如00年代早期发生的那些)、勒索软件(现在流行的)、僵尸网络、拒绝服务攻击，还是什么最近的趋势。这是赶场救火的好方式，却是打造可持续风险管理项目的最烂方式。

　　2. 确认偏差
 

　　这种偏差发生在我们寻找和解释新信息以证实当前观点的时候，忽视了与观点相悖的数据或意见。信息安全领域中，这种现象多见于高管们认为技术可以提供大部分防御，只看到设备的成功之处，忽视其中缺陷，导致夸大真实有效性的时候。

　　3. 信息偏差
 

　　若有信息偏倚，安全人员就会发生评估失误或信息错误。在着手威胁研究、公司评估，或新安全控制有效性测评的时候，常会出现此种现象。或许有高管认为信息越多越好，却不知道哪些信息更具价值，也不知道不完全的信息也可能得出强力决策。这也被称为观察偏倚 。

　　4. 鸵鸟效应
 

　　日常生活中很常见的一种现象。比如，不能面对谈及自身财务状况的痛苦，不愿听到自家熊孩子的斑斑劣迹。网络安全界也没什么不同，软件厂商不想知道被安全研究人员发现的漏洞，企业高管不想处理漏洞扫描的结果。

　　5. 创新支持倾向
 

　　这是一种只要是新技术就要推广使用的误区。技术领域一直是这样，一种新解决方案或新技术在市场上冒头，交易展会和媒体疯狂报道推介，然后这个概念就炒热了。在安全领域，大数据、威胁情报、云安全之类的技术，或者随便什么当前趋势，就把创新支持偏见体现得非常明显了。要注意的是，那些推介最新创新的人，或许自己也是被创新支持偏见蒙蔽而没看到其中局限性的人。

　　6. 幸存者偏差
 

　　幸存者偏差是一种选择偏差。生活中的某些方面可见，比如，只看到别人的成功，不看别人之前的失败，觉得别人成功创业，自己也能轻松成功。这种思维方式，会影响到风险管理决策。比如，看着别家公司没遭受公开的毁灭性的数据泄露，就自动以为自家公司遭数据泄露的几率也非常小。

　　7. 零风险偏好
 

　　社会上的零风险偏好那真是看得多了，尤其是在看待恐怖主义、犯罪和司法，以及公共安全问题上。困难与挑战往往是在彻底清除犯罪和风险的框架下讨论的。这明显很荒谬。犯罪和风险可被管理或最小化，但不可能彻底清除。网络安全上也是如此。但是，听听人们怎么谈论信息安全的。根本不是在可接受的风险减小的框架下，而是要绝对的减少风险。

　　8. 跟风随大流
 

　　厂商和安全高管间常见随大流效应。某年的主要安全会议上，大家谈论的全都是大数据，之前一年是管理、风险和合规的仪表板。咱们还是不要跟风炒作，把注意力集中在公司具体的需求上吧。

　　9. 自动化偏见
 

　　我们已经被计算机产生的仪表盘和控制台淹没了。目前的趋势就是要信任这些系统上显示的信息，而自动化偏见，正是这一信任此类系统的趋势。我们很容易就忽视掉其他可能性，而专宠机器显示的东西。维基百科的自动化偏见条目解释为：“该偏见以排拒与纳入上的失误呈现：排拒上的自动化偏见，发生在人们依赖自动化系统，但系统根本暴露不出问题时;纳入上的自动化偏见，则发生在人们基于自动化系统传递的错误建议做决策的时候。

(责任编辑：宋编辑)