限時免費

找戰犯,是最危險的應對方式

商周集團執行長郭奕伶

商周集團執行長郭奕伶(攝影者.張家毓)

「每次災害發生,很多公司內部都上演同一件事:每個人都在證明,這件事不是我造成的,」商周CEO50課堂上,一位專門處理500大企業資安的架構師L分享。

這一天,我們討論資安個案,為什麼台灣企業被駭客入侵是全球的3倍,為什麼越來越多公司都被勒索並付錢了事?本以為解答都將環繞在企業IT系統的架構,但我卻聽到了超乎預期的內幕。

L在這個行業超過20年了,他看到的是,公司系統被駭,第一時間應該要先找出破口,「但大家都在證明這不是我的錯。他們不是想要解決問題,而是跟老闆講,『經過充分調查,絕對不是我部門造成』。」

雖然描述的是資安場景,但讓我震撼的是,在這個千鈞一髮的時刻,公司系統當機、被勒索、客戶資料外洩,這跟失火一樣,每個人不都該齊心滅火嗎?怎麼主管們個個都只想自保;甚至為了自保,還拚命在內部找替死鬼?

一個例子,某金融機構出事後,各部門都把自己熟悉的供應商叫來,供應商們為了表示自己有多厲害,於是在行內亂鑽、隨意存取與上傳資料。「他們受害的訊息因此被公開,於是就有人開始寫分析報告,如臨現場一樣,」這引來政府單位等外部關係人爭相介入,狀況變得更複雜。

「當大家急著找戰犯時,會讓訊息外洩,加重災情,」L說。我聽得心驚膽戰的是,這是對於「缺乏安全感的組織」最極端的狀態描述。

這情況是不是常出現在我們的工作場景裡?當危機一出現、當專案失敗、當業績不如預期時,組織裡是否就會出現這種「找戰犯」、「找替死鬼」的行為?

另一真實個案,某公司正模擬演練系統被入侵,資安長應該要立刻下令斷網,「但那位主管掛在白板上五分鐘,沒有動作,我問為什麼?他說,一斷網,我就沒工作了。」

原來,那位資安長曾在另一個機構遭遇同狀況,因此得了創傷後壓力症候群未癒,「兵荒馬亂下,經理人可能會喪失判斷能力,他們的抗壓力會喪失。」

回到馬斯洛需求理論,如果一個組織缺乏安全感,成員動輒感到被威脅、面臨生存危機,「找戰犯」將成為他們面臨危機時的反射性動作,那麼,最重要的問題無法被面對,每個人都槍口對內,組織陷入內亂,最諷刺的結局將是,它最後的崩潰不是因為外部敵人,而是組織自戕的後果。

我的反省是,如果危機一出現,領導者的第一句話就是:「這是誰的責任?」可以想見,「找戰犯」將成為標準動作。因此在危機中,領導者不要先問誰犯了錯,要問的是,我們的系統出了什麼問題。

本文完
免費訂閱!
商周最新出刊報‧隨時掌握最新趨勢