你打算保住工作吗?那就学习以下九个需要避免的危险领域。
1. 过度自信
自大可能导致职业的早期毁灭,特别是在部署未经验证但流行的安全解决方案时。
“这种方法会造成安全漏洞,增加人为错误的风险,并导致利益相关者产生虚假的安全感——直到发生重大事件,导致灾难性的网络安全事件。”网络安全技术公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 说。
过度自信还会导致安全懈怠。“当个人或企业认为他们当前的安全流程已经足够时,他们就不会保持警惕,可能会变得容易受到新威胁的攻击。”Tcherchian 指出。因此,安全漏洞会被忽视,防御措施变得过时。
2. 推动失控的复杂性
当安全负责人失去对基本任务的关注,并被最新技术和热点话题分散注意力时,职业生涯往往会脱轨,商业咨询公司安永的全球和亚太地区网络安全咨询负责人 Richard Watson 说。结果是获得了大量技术,增加了不必要的复杂性和不必要的分心。
复杂性带来的挑战在于,它在网络预算日益受到审查的同时增加了成本,并可能使组织的网络防御变得更弱。“与所有技术集成一样,漏洞可能会出现,正是通过这些漏洞,攻击者可以获得优势。”Watson 指出。
更糟糕的是,复杂性会导致一种虚假的安全感,组织会觉得有最新的技术创新在保护他们。Watson 报告称,安永最近对全球 500 家领先组织进行了一项研究,发现顶级安全表现者正在接受简化,并朝着单一集成平台方法迈进。
3. 缺乏 GRC(治理、风险管理和合规性)
部署网络安全堆栈而不包括正式的治理、风险管理和合规性 (GRC) 计划,可能轻易颠覆职业生涯。
“这个错误可能是毁灭性的,因为它会影响业务的许多方面。”无线网络服务公司 Velaspan 的 CISO Scott Hawk 说。如果没有稳固的 GRC 计划,安全负责人更有可能在技术上过度支出,产生虚假的安全感,错过其安全姿态的关键组成部分,并与业务的其他部分产生不一致。
GRC 框架确保风险管理、合规要求和治理集成到组织的整体战略中。“GRC 将围绕网络安全创建一场全企业的对话,有助于设定优先级并推动采纳。” Hawk 说,GRC 努力使网络安全成为业务的推动者。
4. 未能将网络安全与企业目标对齐
安全专家犯下的最大错误不是技术错误、误算,甚至不是未能预见潜在威胁,网络安全平台提供商 Axio 的高级网络安全顾问 Richard Caralli 说。“最大的错误是未能在其组织背景下理解和框架网络安全计划。”这也是一种潜在的职业杀手。
网络安全的存在及其执行应在企业使命、目标和宗旨的背景下进行。“保护对企业生存最重要的东西应该驱动网络安全的优先级和投资。”Caralli 说。
他补充道,制定和执行一个优先考虑企业重视的关键成功因素的网络安全计划的能力完全掌握在网络安全领导者手中。“未能将网络安全工作与企业价值对齐,会导致投资错配、资源利用不当和总体上较差的网络安全结果。”他说。
5. 低估访问控制的重要性
许多安全领导者花时间担心系统后门,而没有认识到访问权限带来的威胁,身份、安全和治理技术提供商 Zilla Security 的联合创始人 Nitin Sonawane 警告说。“身份是系统的前门,”他指出,“忽视不安全和配置错误的身份是一个大错误。”
企业往往未能充分管理前员工和合同工的访问权限,导致孤儿账户可能被威胁行为者利用。同时,现有员工在公司任职期间随着承担新职责,通常会积累对敏感系统和数据的访问权限。“过度特权的身份在发生漏洞时会带来更大的风险。”Sonawane 警告说。
Sonawane 认为,管理身份的最有效方法是使用 AI。如今大多数企业都维护 HR 应用程序,如 Workday、Paylocity 或 BambooHR,它们作为每个用户业务资料的真实来源。当发生调动时,企业通常期望用户的新主管决定用户应保留哪些权限。“新主管具有做出这些决策的业务背景,而 AI 可以帮助他们确定需要哪些访问权限以及哪些超出了其业务职能的范围。”
6. 忽视人为因素
安全领导者犯的最大错误是完全专注于技术解决方案和流程,IT 咨询公司 Presidio 的现场 CISO Dan Lohrmann 说。他警告说,最大的漏洞来自人员方面。“低估关系的安全专家会失败。”
Lohrmann 说,员工试图绕过控制并规避既定政策和程序的倾向可能导致一系列内部威胁。“这为那些试图造成伤害或盗窃的人打开了大门,并且可以像勒索软件攻击或其他数据泄露一样造成声誉和品牌损害。”他说。
Lohrmann 指出,员工和其他授权人员可以很狡猾。“我见过有人通过延迟行动、拖延时间、公开在团队中制造分歧、反对领导或既定的组织目标、冒不必要的风险,或因无能或未经培训而破坏优秀的网络安全项目。”他解释说。
人员也可能随时间发生变化。“一些曾经是出色专业人士的员工,现在因疲劳或注意力不集中而失去了专注,因为他们在做兼职或有其他分心事物,”Lohrmann 说。流氓或粗心的用户和/或合同工也可能造成混乱。
更好的招聘实践,包括彻底的背景调查,可以大大提高内部安全性,Lohrmann 说。“注意疲劳迹象也很重要。”
7. 让遗弃的数据保留
云存储中的陈旧数据可能被隐藏和遗忘,但它可能在没有警告的情况下回来破坏 CSO 的职业生涯。“遗留陈旧数据会带来重大危险,从安全漏洞到合规问题,而且这是一个重要的错误,因为它是如此可预防。”数据安全软件提供商 Metomic 的 CEO Rich Vibert 说。
未授权访问是首要问题,Vibert 表示:“如果访问控制没有得到精细的维护和更新,旧文件中包含的敏感信息很容易落入不法之徒手中。” 当前员工或外部合作者继续拥有文件访问权限时,风险会升级。
Vibert 说,当攻击者捕获遗弃文件时,数据泄露的可能性增加,包括个人信息、财务记录或机密商业数据。“这些被遗忘或未管理的数据片段通常缺乏强有力的保护,使其成为有吸引力的目标。”此外,陈旧数据可以为网络犯罪分子提供有价值的历史信息,使他们能够编写更具说服力的网络钓鱼邮件或社会工程攻击,从而增加成功入侵的可能性。
8. 不与业务部门建立联系
与非技术利益相关者的无效沟通可能导致误解和混乱,播下不信任的种子,缺乏对安全计划的支持,以及在寻求安全预算批准时遇到更多挑战,全球技术研究和咨询公司 ISG 的 Ventana Research 数字技术研究主任 Jeff Orr 说。
Orr 建议使用商业术语来传达关键的安全问题及其对业务目标的影响。“提供示例以帮助将安全概念与业务活动联系起来,”他建议 CSO 也应澄清安全报告。“审查安全决策如何与业务影响相关。”
9. 自满
最大的职业致命错误是相信一切都在控制之中。这类领导者把信任寄托在安全项目和日程表上,安全技术提供商 Radware 的 CISO Howard Taylor 说。“他们信任他们的一系列行业认证可以保护他们的业务免受网络恶棍的侵害。”
企业在遭受历史性支付交易数据泄露后,最后的话是:“我们刚通过了 PCI DSS 认证。”
