每家企业都逃不脱安全风险的威胁,确保企业安全也就成了IT人员的首要工作。即使IT人员的安全技术运用已经很熟练,有时思想上的稍微一点松懈就有可能导致企业安全问题。
国外媒体网站Infoworld将这些让企业陷入风险的原因归结为“十个安全神话”。据Gartner分析师Jay Heiser表示,当谈到信息安全时,人们对企业所面临的威胁以及用来保护自己重要数据资产的技术有很多“误解”和“夸大”。
这些错误的假设都归因于受到广泛信奉的“安全神话”。“安全神话”的信奉者包括正在试图防止数据丢失的员工以及将违规和其他事故的责任推卸给首席信息安全人员(CISO)的业务经理。
Gartner安全与风险管理峰会上,Heiser根据这个主题发表了其“十大安全神话”的演讲:
十大安全神话一:“这种事情不会发生在我身上”
原因:习惯了对风险的大肆宣扬,让员工做任何他们想做的事来逃避损失和责任。
治疗:将企业的责任与安全挂钩;利用安全分类框架的帮助。
十大安全神话二:“信息安全预算占整个IT支持的10%呢”
原因:一厢情愿地想,Gartner研究显示预算数字更接近5%呢。
治疗:获得一些真实的数据。
十大安全神话三:“安全风险是可以量化的”
原因:你可以在一个Excel电子表格中证明你有你的安全预算,在“数据导向的文化”中一个普遍存在的误解是“他的数字最大,他赢了”。
治疗:开发风险的非数字表达方式,并确保业务部门承担自己的IT风险责任。
十大安全神话四:“我们有物理安全体系(或SSL)因此数据是安全的”
原因:理想化,不了解风险。
治疗:确保安全购买匹配数据要求。
十大安全神话五:“复杂性的密码能降低风险”
原因:惰性。Heiser又补充说:“我们知道密码漏洞百出,但破解并不是主要的失效原因。密码不是被破解的,只是小试一下就被解开了。”
治疗:设多个密码。
十大安全神话六:“IT远离CISO自然会很安全”
原因:推卸责任。Heiser补充道:“这是我们通过一些改变组织的‘技巧’来解决文化问题的方式。”
治疗:针对安全程序中的弱点,分析问题的根源。
十大安全神话七:“安全实践问题是CISO的问题”
原因:推卸责任。业务希望安全风险是别人的问题,即使CISO承担所有的风险,他们也觉得CISO不应该能够告诉他们要做什么。
治疗:建立一个信息安全项目。
十大安全神话八:“购买这个工具就能解决所有的问题”
原因:寻找外部的魔法来解决难题,天真的想法。
治疗:进行系统风险分析,制定具有优先级的长期安全计划。
十大安全神话九:“制定合理的政策,并好好遵守”
原因:一厢情愿。
治疗:确定管理责任,仔细选择你的战场。
十大安全神话十:“加密是保护敏感文件安全的最好办法”
原因:加密技术正常工作时,效果很好。但对一项困难的技术抱有天真的期望时,往往弊大于利。有时就像用“寻找圣杯”或“魔术子弹”来解决监管问题。
治疗:在做决定之前,确保自己有扎实的密码技术经验。
最后,Heiser指出很多这些神话的产生仅仅是因为在不熟悉的状况下人们容易反应过度或同一组织中的人容易将责任推卸到别人身上。“这是官僚主义的风险管理,”Heiser指出。他说,“CISO没有理由干坐在那里,接受所有这些棘手的问题”,尤其是当员工对于消费者计算技术时。
TechTarget中国原创内容,原文链接:http://www.searchsv.com.cn/showcontent_74273.htm