今天以及不久的将来,信息安全面临的最严重的漏洞是什么?英特尔CISO Malcolm Harkins告诉我们,信息安全面临的最大威胁就是人们对风险的误解。
在今年波士顿举办的 Forrester安全论坛上,Harkins发表了演讲并向与会的信息安全研究人员发问:认为现在他们组织内部面临的最大的风险是什么。一些人表示内部威胁和人为原因占一部分。Harkins也多少同意这些观点。但是他辩解道,对于安全问题的夸大化或误解才是最大的风险。
有两个东西导致了误解:经济和心理。在经济问题上,当决策者受到激励机制或资源的影响时才会做出相应的决策。
“作为一名安全专业人员,我已经开始思考一个问题,我们是否是决策架构师?我们要试图让人们思考一些事情并做出决策。”他说。
从心理学的角度来看,人们获得的利益越大,风险的可能性也就越大。例如,企业部署像云计算、虚拟化和社交媒体等技术。所有的这些对于企业来说都意味着很大的优势,但同时也意味着他们面临的安全风险的可能性加大。Harkins说。
但是新技术的部署却使一些事情变得复杂了,因为人们对于这些技术的风险认知存在盲区。低估风险会使人们在遇到一个安全事件的时候不能做到适当的准备。高估风险意味着组织投入到一个领域过多的关注而忽视了其他的问题。
“我们中有多少人经常会收到经理的邮件,问一些关于风险的事情。他们总想知道我们对于风险的态度。”他说,“这种夸大就像低估一样让人感到沮丧。”
人们必须要做的是平衡这两个极端,减少对风险的误解是客观的、敏捷和具有影响力的。他列举了部署这些要素到日常工作中安全专业人员需要做的4个重要事情,它们是:
预测:使用适当的工具确定攻击的身份、动机和手段。
坚持:用手段和耐力与其他的组织内部决策者进行斗争。
耐心:用耐心持之以恒。不要成为警告者。冷静等待出现转机的那一刻。
未雨绸缪:面对安全事件或安全漏洞,做好充分的应对准备。
“如果你做到了这些,你就会在组织内部对人们形成持续的影响。他们将会把你看作是那些能够对公司起到保护作用的合作伙伴。”Harkins指出:“不要用受害者的手段去管理信息风险和安全。”
