ด้วยความเป็นมนุษย์ มักมีหลายครั้งที่ใช้อารมณ์นำเหตุผลในการตัดสินใจ เช่น กลัวเครื่องบินตกมากกว่ารถชนตาย ทั้งๆ ที่สถิติต่างกันฟ้ากับเหว เช่นเดียวกับเรื่องความความปลอดภัยทางไอที (IT Security) ที่ส่วนใหญ่มักเลือกลงทุนกับระบบความปลอดภัย ที่มักแพงกว่า แต่ได้ผลน้อยมาก เช่น แทนที่จะแพทช์โปรแกรมให้ทันสมัย กลับไปลงทุนกับอุปกรณ์ไฟร์วอลล์ไฮโซแทน เป็นต้น
ทาง CSOonline.com ได้สรุปหลายเหตุผลที่ทำให้คนเราใช้อารมณ์นำเหตุผลทางสถิติ จนนำไปสู่การให้ความสำคัญกับระบบความปลอดภัยผิดเพี้ยนไปจนไม่ประสบผลสำเร็จ ดังต่อไปนี้
1. ตัวเลขอันตราย “ใหม่ๆ” ที่เพิ่มขึ้นอย่างรวดเร็วมาก
จากสถิติที่มีหลักฐานระบุชัดนั้น แต่ละปีจะมีอันตรายแบบใหม่เกิดขึ้น 5,000 – 7,000 แบบ หรือ 15 แบบต่อวัน นั่นคือแต่ละวันที่ผ่านไปนั้นจะมีอันตรายรูปแบบใหม่เกิดขึ้นมามากขึ้นเรื่อยๆ เพราะฉะนั้นเหล่าแอดมินผู้ดูแลระบบจะต้องให้ความสำคัญกับการอัพเดตระบบป้องกันเป็นอันดับแรก เช่น การแพ็ตช์ (ซึ่งไม่มีค่าใช้จ่าย) มากกว่าการลงทุนกับระบบใหญ่ที่ไม่ได้เน้นการอัพเดตเป็นประจำ เป็นต้น
2. การโฆษณาเชิงกระต่ายตื่นตูมของผู้จำหน่ายผลิตภัณฑ์ความปลอดภัย
แน่นอนว่าคนขายประกัน ขายระบบความปลอดภัย ต้องพยายามหาเรื่องต่างๆ มากดดันลูกค้าให้รู้สึกถึงความเสี่ยง สร้างความหวาดกลัวจนลูกค้าต้องดิ้นรนซื้อผลิตภัณฑ์ตัวเองมาใช้ นั่นคือผู้ใช้มักหวั่นไหวกับการประโคมข่าวของบรรดาผู้ผลิตทั้งหลายว่าอันตรายอันนั้น อันนี้ ทำให้ถึงขั้นโลกแตกได้ ทั้งที่จริงแล้วคุณไม่สามารถให้ความสำคัญกับอันตรายทุกแบบบนโลกได้อย่างเท่าเทียมกัน
3. การรับลูกจากฝ่ายไอทีที่มักไม่กลั่นกรองข่าวก่อน
ทั้งๆ ที่ฝ่ายไอทีของบริษัทจะต้องพิจารณาโดยใช้เหตุผลว่าองค์กรตนเองควรให้ความสำคัญกับการป้องกันอันตรายรูปแบบไหนมากที่สุดตามลำดับ แต่ที่พบส่วนใหญ่กลับกายเป็นกระบอกเสียงให้ข่าวไอทีหรือกระแสอันตรายที่กำลังอินเทรนด์ตามสื่อต่างๆ แค่นั้น
4.การกังวลกับมาตรฐานและกฎหมายมากเกิน
แม้การอ้างกับหัวหน้าว่าจำเป็นต้องทำเพื่อปฏิบัติตามกฎหมายนั้น จะเป็นเหตุผลที่ทำให้ผู้บริหารควักเงินจ่ายง่ายที่สุด แต่หลายมาตรฐานก็ไม่ได้วิ่งตามการเปลี่ยนแปลงของอันตรายในปัจจุบัน เช่น แนวทางการตั้งรหัสผ่านล่าสุดที่แนะนำฉีกโลกว่าไม่ควรบังคับเปลี่ยนรหัสผ่านบ่อยครั้ง หรือบังคับให้ตั้งรหัสซับซ้อนทั้งตัวเลขตัวใหญ่ตัวเล็กเครื่องหมายพิเศษ ซึ่งรหัสที่ผู้ใช้คิดได้มักเป็นรหัสที่ห่วยแตกเดาง่ายมากกว่า(บังคับกันมากก็ขอตั้งให้เหมือนกันทุกเว็บเลย เป็นต้น) แทนที่จะเปิดให้ตั้งรหัสยาวๆ เช่น ยาวกว่า 16 ตัวอักษรที่แฮ็กเกอร์บรูทฟอร์สเดาลำบากมาก ขณะที่กฎหมายยังบังคับรูปแบบเดิมอยู่
5. การที่มีโปรเจ็กต์มากเกินไปจนแย่งทรัพยากรไม่เหลือ
แทนที่จะเน้นให้ความสำคัญแค่หนึ่งหรือสองโครงการให้เสร็จเป็นเรื่องๆ ไป จะได้ประสิทธิภาพดีกว่า
6. การทำตามไอเดียชั่ววูบของเจ้านาย
โดยไม่ดูข้อมูลสถิติขององค์กรประกอบ ซึ่งโปรเจ็กต์สนองนี้ดงงๆ นี้ส่วนใหญ่มักทำให้องค์กรให้ความสำคัญกับอันตรายทางไซเบอร์ผิดจุด
ที่มา : CSOonline