1.2 企業安全管理是“二級混沌系統”

筆者在與朋友閑談的時候經常將企業安全工作和保險業類比，相似之處都是想辦法讓我們的服務對象在風險尚未到來的時候投入一定的資源去控制它。但企業安全團隊的命運要更悲慘一點，因為我們的工作效果更難評估。

舉個例子，對于重疾保險來說，一旦出現相應的疾病就意味著有了一個結論，沒買的后悔，買了的慶幸。而且這些都可以當成下一次銷售保險的案例，因為這些都是很明確的結論。但是企業安全團隊面對的應該算是一個“二級混沌系統”，什么是“二級混沌系統”？我們引用《人類簡史》中的描述簡單介紹一下。

“混沌系統分成兩級，一級混沌指的是‘不會因為預測而改變’。例如天氣就屬于一級混沌系統。雖然天氣也是受到無數因素影響，但我們可以建立計算模型，不斷加入越來越多的因素，讓天氣預報也越來越準確。至于二級混沌系統，指的是‘會受到預測的影響而改變’，因此就永遠無法準確預測。例如市場就屬于二級混沌系統。”比如我們如果預測房價會下降，人們就會持幣觀望，但這種持幣觀望的現象會讓房價進一步下降。也就是說預測會影響結果。

保險銷售與否與被保人是否出險（或是否生病）沒有直接關系，所以保險銷售還算是“一級混沌系統”。再來看看我們的安全工作，安全團隊通過各種手段預測或治理了攻擊行為，會產生下面兩種情況。

一種情況是，沒發生任何安全事件，可能是我們的處置行為提高了門檻，阻擋了各種攻擊行為。也有可能是沒有任何攻擊行為，所以防御手段都浪費了。

更有可能的情況是，安全團隊布置的防線被手段更高明的入侵者突破，系統還是遭受了攻擊。企業的安全建設行為會影響攻擊者的攻擊手段。也就是說，安全團隊努力地提高入侵門檻，會導致外部入侵者行為的變化，從而采用其他方式攻擊系統。