Fomentar un entorno donde se valore la honestidad y la divulgación

¿Misión imposible?
No tengo investigaciones para implementar una "economía de honestidad" y entiendo que no encontrará ninguna. La "honestidad" es un valor moral y no es eficaz para una organización empresarial generar valores morales en las personas. En mi opinión, su pregunta pierde la marca basada en la cita de Keanini, que resumió un conjunto de "comportamientos" como un sistema de valores al que llamó "honestidad".

Comportamientos
Lo que puede hacer una organización, para lo cual hay una investigación significativa, es modificar comportamientos. La "modificación del comportamiento" lograría los objetivos de la cita de Keanini, pero no estoy seguro de si es lo que está buscando, si está esperando un enfoque ético / moral. Capacite a una persona para que responda de manera preseleccionada cuando se le presentan ciertos desencadenantes. La ética y la moral no necesitan estar alineadas de ninguna manera particular.

BJ Fogg
BJ Fogg tiene una large body < a href="http://en.wikipedia.org/wiki/Persuasive_technology"> of trabajo en the subject , que incorpora tecnología con cambio de comportamiento organizacional. Sus métodos son los que uso con los usuarios de mis clientes para afectar una respuesta a ciertos desencadenantes. Como resultado, mis usuarios me buscan de forma proactiva sin disculpas, temor o reticencia para tratar los problemas incluso si los causaron .

Investigación personal
Al usar el enfoque de Fogg, cambio la percepción del usuario de ver la Seguridad de TI como una infraestructura monolítica frágil que pueden romper, en un sistema dinámico de medidas preventivas proactivas contra amenazas. Desde aquí, capacito a mis usuarios para que respondan a ciertos desencadenantes, como un evento emergente AV local (aunque el sistema también me alerta) o recibo un correo electrónico de suplantación de identidad (phishing). Su respuesta esperada es un comportamiento simple (enviar un correo electrónico). No hay nada por lo que "fallar", solo una respuesta que aprender. Si notan una violación de cualquier tipo, incluso si la causaron, envían un correo electrónico o llaman si lo desean. La percepción que creo es que los atacantes son astutos, por lo tanto, sucumbir a un ataque no es su culpa: el enfoque está en el atacante, no en el empleado. Entonces, las amenazas se convierten en una competencia en la mente del usuario entre la astucia del atacante y la respuesta adecuada del empleado (que, en mi caso, es simplemente enviar un correo electrónico). "Derrota a un atacante con un solo correo electrónico". Mis niveles de compromiso son muy altos.

El objetivo
La pregunta es: ¿quieres personas "honestas" o personas que "hacen" lo correcto?

Si hay algo que sabemos con certeza, es que las personas responden a los incentivos .

Es trivialmente cierto que un entorno en el que se incentiva a los empleados para ocultar errores de la administración disminuye la capacidad de la administración para identificar y responder a fallas internas. También es trivialmente cierto que una compañía que está internamente paralizada de tal manera que no pueden identificar y responder a sus fallas es intrínsecamente menos confiable que una compañía que puede identificar y responder a sus propias fallas.

Las fallas y los problemas internos no desaparecen, por regla general, al ser enterrados; en su lugar, tienden a crecer y metastatizarse más de lo que lo haría un fracaso dado precisamente porque las personas que enfrentan el problema tienen menos opciones disponibles. Si no quiero que mi error se convierta en público, entonces mi variedad de opciones para lidiar con ese error está muy limitada, y terminaré eligiendo una opción menos que óptima que me proteja a expensas de la empresa.

Entonces, sí, un ambiente interno de honestidad aumenta la seguridad general. Los problemas pueden tratarse de manera rápida y limpia, y las catástrofes pueden evitarse.

Y, ciertamente, una empresa que tiene un entorno interno que promueve la honestidad es más valiosa para mí como cliente que una que no lo hace. Pero todos los gerentes piensan que fomenta un ambiente de honestidad; a sabiendas, no se propondría animar a sus subordinados a mentirle. Preguntar a la gerencia si su entorno fomenta o no la honestidad sería un asunto inútil.

En su lugar, debes mirar los incentivos.

Si un empleado ve un error, quizás el suyo propio, quizás su supervisor, quizás su subordinado, quizás su compañero de trabajo, ¿cuál es su incentivo para hacer que ese error sea conocido? ¿Cuál es su incentivo para mantenerlo tranquilo? Y a la persona que le dice; ¿Cuál es el incentivo de esa persona para mantenerlo tranquilo?

El concepto de economía trata no solo de dinero sino de incentivos . Una economía de honestidad es, por lo tanto, una estructura de incentivos que fomenta la honestidad; ya sea una estructura interna de incentivos o una estructura de incentivos entre organizaciones.

Si por "economía de honestidad" la pregunta se centra en el valor económico del comportamiento empresarial ético y transparente en comparación con el comportamiento comercial no ético y oculto, los factores económicos favorecen al primero.

Comencemos con los estatutos legales y reglamentarios. En este ejemplo, estamos hablando de Symantec Corporation, que es una corporación que cotiza en NASDAQ. Ellos publicaron el hecho en sus presentaciones públicas requeridas porque el no hacerlo constituiría una violación de sus deberes. Ese fracaso los habría expuesto a posibles juicios por parte de los accionistas, así como a sanciones y multas reglamentarias. En este punto, hemos respondido la pregunta sobre el valor de la honestidad. Para una empresa que cotiza en bolsa, la honestidad supera el valor de la deshonestidad. Enron, Tyco y WorldCom son ejemplos del siglo XXI de esta fuerza en acción.

Ahora nos queda el aspecto 'enterrado en letra pequeña' de este ejemplo. Parece que la letra pequeña mantiene el problema de aquellos que se hubieran preocupado por los aspectos técnicos de este evento durante más de un año. Bueno, los tiempos para arriba! Nosotros, las personas que nos preocupamos por la integridad de compañías como VeriSign y Symantec matriz, ahora somos conscientes del compromiso y un método aparentemente menos que próximo para abordarlo. El impacto económico de ese hecho será considerable en los próximos meses. La confianza en esa organización acaba de tomar un gran espacio de auto-inducción.

Por lo tanto, a su pregunta sobre la "economía de honestidad", me gustaría preguntar en lugar de qué. ¿A diferencia de la ganancia a corto plazo de unos pocos meses o años de tranquilidad obtenida al encender el fusible en una bomba de relojería enterrada en un informe trimestral? La buena noticia es que el valor económico de la honestidad está en buena forma.

Como ha marcado su pregunta con "incidente-respuesta", tal vez le resulte beneficioso este documento: Conectado Giving: Ordinary People Coordinating Disaster Relief en Internet (pdf). Se trata de voluntarios que establecen grupos ad-hoc en línea y relaciones para coordinar la ayuda ante desastres después del huracán Katrina.

Busque en el documento dos secciones separadas tituladas "desarrollando confianza". Una de esas secciones cita otros artículos sobre aspectos específicos de este tema.

Hay mucha investigación sobre la confianza realizada desde una perspectiva económica. Comenzando con la teoría de juegos como Nash y el dilema del prisionero, la investigación sobre cómo se comportan los grupos o los individuos en los juegos de jugadores n y otros experimentos es un tema de investigación en curso.

Aquí hay un repositorio de búsqueda - con enlaces a una tonelada de documentos.

La base de muchos de estos son "¿pueden las personas confiar lo suficiente entre sí para lograr un acuerdo arriesgado pero mutuamente beneficioso si ambos siguen adelante?" que es la esencia del dilema del prisionero, pero presumiblemente van un poco más allá de eso, ya que el dilema del prisionero es un poco simplista por la complejidad de este tipo de investigación.

No estoy seguro de qué parte del contexto se cumple con lo que quieres: un entorno donde las personas son más abiertas a la hora de informar incidentes ... pero podría ser un comienzo.

No sé mucho acerca de las teorías detrás de la economía y no tengo muchos datos, pero tengo una opinión con la que creo que la mayoría de la gente se relacionará.

En primer lugar, creo que comienza en la parte superior. Los grandes ejecutivos, los directores ejecutivos o lo que sea, tienen que preocuparse menos por el resultado final, más por hacer lo correcto y hacerlo bien. Las compañías que siguen el modelo de negocio, donde realmente se preocupan por su producto y sus clientes, a menudo tienen más éxito (en muchos aspectos) que las compañías que solo existen para obtener ganancias. Estas son las empresas que responden bien a los incidentes

El resto cae en su lugar desde allí. Cuando los Superiores enfatizan la estabilidad y la excelencia, otros aspectos del entorno ayudarán a los empleados a no tener miedo de informar sobre compromisos de seguridad.

edit: ¿Pero a los high-ups que no solo les importa el resultado final de su compañía? Son una raza moribunda.

Leí un artículo en IEEE Security & amp ;Intimidad. Los autores construyeron un modelo para analizar los impactos en diferentes políticas de divulgación de vulnerabilidades.

Allí, puede encontrar una referencia a otra artículo de uno de los autores, que parece hablar más sobre economía. No leí ese último.

Espero que ayude.