在決策過程中，我們并不總是像自己想象的那么明智。這一點在日常生活中體現得非常明顯，從午餐吃什么之類微不足道的小事，到買什么類型的車，選什么地方定居之類的人生大事，誰能保證每一個決定都是理性而明智的呢?

有些認知偏差，或者偏離理性的判斷，會影響我們決策的方方面面。如果認為此類不理性思維不會導致網絡安全風險視角扭曲，或者不會在企業系統防護上做出失策判斷，那就真是太蠢了。以下便是安全人員應該特別注意的9種認知誤區：

1. 可得性啟發法

大腦中容易走的通路，我們自己容易想到的事情也會認為它在世界也上容易發生，自己的經歷被我們投射到了世界。這是我們過于依賴最先出現在腦海的東西而產生的偏見。容易陷入可得性啟發的人，會將注意力放在最近的事件上，無論最近的事件是蠕蟲攻擊(比如00年代早期發生的那些)、勒索軟件(現在流行的)、僵尸網絡、拒絕服務攻擊，還是什么最近的趨勢。這是趕場救火的好方式，卻是打造可持續風險管理項目的最爛方式。

2. 確認偏差

這種偏差發生在我們尋找和解釋新信息以證實當前觀點的時候，忽視了與觀點相悖的數據或意見。信息安全領域中，這種現象多見于高管們認為技術可以提供大部分防御，只看到設備的成功之處，忽視其中缺陷，導致夸大真實有效性的時候。

3. 信息偏差

若有信息偏倚，安全人員就會發生評估失誤或信息錯誤。在著手威脅研究、公司評估，或新安全控制有效性測評的時候，常會出現此種現象。或許有高管認為信息越多越好，卻不知道哪些信息更具價值，也不知道不完全的信息也可能得出強力決策。這也被稱為觀察偏倚 。

4. 鴕鳥效應

日常生活中很常見的一種現象。比如，不能面對談及自身財務狀況的痛苦，不愿聽到自家熊孩子的斑斑劣跡。網絡安全界也沒什么不同，軟件廠商不想知道被安全研究人員發現的漏洞，企業高管不想處理漏洞掃描的結果。

5. 創新支持傾向

這是一種只要是新技術就要推廣使用的誤區。技術領域一直是這樣，一種新解決方案或新技術在市場上冒頭，交易展會和媒體瘋狂報道推介，然后這個概念就炒熱了。在安全領域，大數據、威脅情報、云安全之類的技術，或者隨便什么當前趨勢，就把創新支持偏見體現得非常明顯了。要注意的是，那些推介最新創新的人，或許自己也是被創新支持偏見蒙蔽而沒看到其中局限性的人。

6. 幸存者偏差

幸存者偏差是一種選擇偏差。生活中的某些方面可見，比如，只看到別人的成功，不看別人之前的失敗，覺得別人成功創業，自己也能輕松成功。這種思維方式，會影響到風險管理決策。比如，看著別家公司沒遭受公開的毀滅性的數據泄露，就自動以為自家公司遭數據泄露的幾率也非常小。

7. 零風險偏好

社會上的零風險偏好那真是看得多了，尤其是在看待恐怖主義、犯罪和司法，以及公共安全問題上。困難與挑戰往往是在徹底清除犯罪和風險的框架下討論的。這明顯很荒謬。犯罪和風險可被管理或最小化，但不可能徹底清除。網絡安全上也是如此。但是，聽聽人們怎么談論信息安全的。根本不是在可接受的風險減小的框架下，而是要絕對的減少風險。

8. 跟風隨大流

廠商和安全高管間常見隨大流效應。某年的主要安全會議上，大家談論的全都是大數據，之前一年是管理、風險和合規的儀表板。咱們還是不要跟風炒作，把注意力集中在公司具體的需求上吧。

9. 自動化偏見

我們已經被計算機產生的儀表盤和控制臺淹沒了。目前的趨勢就是要信任這些系統上顯示的信息，而自動化偏見，正是這一信任此類系統的趨勢。我們很容易就忽視掉其他可能性，而專寵機器顯示的東西。維基百科的自動化偏見條目解釋為：“該偏見以排拒與納入上的失誤呈現：排拒上的自動化偏見，發生在人們依賴自動化系統，但系統根本暴露不出問題時;納入上的自動化偏見，則發生在人們基于自動化系統傳遞的錯誤建議做決策的時候。