超越测谎测试(母鹿越过悬崖)

美国国家科学院对能源部的安全检查政策进行了分析,并于2003年发表了报告《测谎仪和测谎》(NAS出版社)。这篇综述指出,测谎测试是无效的,因为假阳性率高,易受行为或身体操作的影响。美国能源部致力于防止不满的科研人员、计算机分析师和其他接触敏感数据的人采取行动,多年来,它一直在求职者的背景调查和风险评估过程中使用测谎仪。这些都是合理的担忧,但能源部根据最新数据审查其政策是正确的。

然而,美国能源部的新政策并没有完全消除这种无稽之谈,而是实际上扩大了随机测谎仪评估的使用,同时减少了定期评估。这恰恰是错误的选择。

我们仍在打赌,皮肤电偶变化是恶意的准确预测?有没有人真的认为降低血压能让一个心满意足的精神病患者内心平静?测谎仪可能是一个有用的道具,一个熟练的审问者发展一个人的主观意见,但当涉及到预测人的风险或陈述的真实性,测谎仪测试的结果是统计上无法区分硬币投掷。

不过,我们确实需要一些东西。一个人不必去寻找那些可以通过简单的背景调查来避免的痛苦的例子。在我的脑海里,我能想到许多系统管理员、数据架构师和其他能够访问敏感信息的人,这些敏感信息应该经过彻底的调查和风险评估。但是什么样的人,为了什么目的?

客观指标:过去预测未来?

“背景检查”一词会让不同的人产生不同的印象(特别是讽刺的是,不同背景的人)。一些人想到信用记录和犯罪记录搜索,而另一些人则想象与邻居和大学老烟友的面谈。这两种方法都是有效的,尽管权重不同,取决于你在世界上的位置。

在美国,我们通常认为犯罪记录和信用数据是有关行为风险的良好信息来源。有贪污犯罪记录的人可能不会被委托承担经济责任,而那些负债累累的人被认为更有可能通过外界的刺激或自身的不稳定来行为不端或窃取数据。要做出这些决定,很自然地要设定一个门槛——债务负担或破产后的时间——看主体是否超过了这个门槛。

在美国和欧盟以外,信用数据可能不容易获得,因此犯罪背景调查成为金融和法律风险的信息来源。例如,印度的一些雇主要求潜在雇员出示护照,如果没有明确的联邦犯罪历史背景检查,通常无法获得护照。

刑事和财务检查包括向后看的信息,但它很容易处理,在许多情况下,过去的行为往往是未来表现的合理指标。

主观指标:垃圾进出

另一方面,如果令人担忧的事情一生中发生一到两次呢?行为趋势和法律事件分析是很好的,但受过教育和技术熟练的个人的犯罪记录和财务记录可能不是一个很好的预测因素,因为我们担心的未来行为——大规模信息盗窃、赌博灾难导致的财务错误行为,或道德或法律行为的其他根本变化——通常是罕见的或奇异的事件。在美国,宣布破产已变得相当困难,因此候选人最近没有破产可能没有意义。在一个人的一生中,有多少次政府安全管理员试图向外国实体出售身份数据?

例如,我去年在菲律宾遇到的呼叫中心或数据处理企业中,没有一家为他们的系统运营商或IT管理员进行信用检查。在这种情况下,严重依赖主观指标(实地收集的同行和社区访谈)作为未来行为的预测指标更有意义。他们也许有道理。

直接和第三方访谈的目的是了解一个人过去和未来可能的行为模式所带来的风险。在美国,主观风险评估通常是次要的,以推荐信和推荐信的形式出现,并且是人力资源部在新员工获得工作之前检查的最后一件事(通常表面上是由于对推荐信相关责任的担忧增加)。

大多数美国人在获得政府许可之前不会接受第一人称主观背景调查。前同事和经理的信件和文字对核实过去的经验很有用,但当对趋势和未来行为的信息需求足够强烈时,就会有人出去拿。

第一人称评估是一种温和的审讯形式,表现为面试或正式讨论。道具可能被用来引起承认或调查对象所说的事情或验证结果。任何一个好的测试都会以不同的方式问同一个问题,以避免偏见,面试也不例外。

然而,结果是没有参考点的行为模式。定期筛查有助于主观分析,因为一致的过程会在不存在客观因素的情况下建立一个基线——之后很容易发现畸变和趋势。

一致性

有了这些信息,我几乎可以说服自己相信,一个熟练的面试官或审问者使用测谎仪可以产生关于未来行为的有意义的信息。如果收集一个人的主观数据和客观风险数据都有价值,那么测谎仪测试有什么问题?事实上,有两种。

第一个问题是,由于技术上的不足,人们普遍反对测谎仪本身。生物反馈装置不读取思想。虽然典型的测谎仪比山达基实践中使用的“E-meter”(一种美化的皮肤电流计)稍微复杂一些,但是测谎仪结果显示陈述的准确性的假设与皮肤电阻与可识别的精神活动相关的说法是一致的。只是不是这样。

然而,有意义的信息——思想、动机、行为特征——可以通过持续的、实践的访谈和其他主观活动得到。随着时间的推移,主观指标是有用的。在没有客观依据来建立基线的情况下,一系列主观测试的平均结果本身就是基线。

随着时间的推移,对平均反应偏差的分析可以揭示目前的风险变化和即将发生的行为变化。工具或度量标准是否糟糕并不重要,重要的是它始终是糟糕的。然后将结果与以前或常见的回答进行比较,可以提供关于雇用和信任谁的真正有用的信息。

掌握在专家手中

第二个也是更大的问题是,当我们关注一个特定的工具时,人们往往倾向于将操作和结果归因于工具本身。就像一个有着自己喜爱的笔的作家一样,这支笔对个人的写作过程可能是必不可少的。然而,一个外部观察家将文学成就从笔端流到笔端本身的说法是错误的。

任何研究过心理学史和其他软科学的人都应该熟悉一个框架或解释的出现所带来的虚假安慰,而这些框架或解释是没有先例的。给定一堆松散连接的信息,不知情的人通常会依附于第一个明显的组织形式或模式。但这并不意味着它是正确的,甚至是有意义的。以测谎仪为例,过程之外的人(例如美国能源部的主管)对设备的任何信任都会鼓励对新手进行使用培训,新手用户自然会依赖他们面前的任何框架或工具。由此产生的螺旋直接导致能源部的新政策。

把测谎仪放在一个熟练的面试官或审问者手中,而把测谎仪放在一个最近受训的操作人员手中,这样的想法是错误的。甚至连L.Ron Hubbard都说,关于生物反馈装置,“在审核员和(受试者)之间使用一种机械装置进行干预,有可能使谈话变得非个性化”,而在主观评估中,重要的是谈话者和受试者之间的联系。

合适的工具

如果用测谎仪或其他道具进行风险评估面谈有一个正确的方法,那就是始终如一地进行,随着时间的推移,与一位知道结果来自他或她在面谈中的技能而不是道具的专家进行面谈。那么,为什么能源部提议只继续那些随机的、短期的测试,依赖于花哨道具决定的结果呢?

这些结果肯定是随机和无意义的,这将造成压力和失去工作的弱势能源部人员,同时疏远更精明的。我想不出一个更有效的方法来把IT和科学人才从一个研究机构中赶走。

乔恩·埃斯本希德在安全行业工作了足够多年,他变得热情、冷漠、愤世嫉俗、厌倦、满足,并再次充满热情。他最近离开了赛门铁克公司(Symantec),成为西雅图利维坦安全集团(levithansecuritygroup)的一名负责人,他的建议继续被首席执行官、审计师和系统管理员所忽视。