根據(jù)Gartner分析師Jay Heiser表示�����,當涉及信息安全時�,存在很多“誤解”和“夸張化”,特別是對于企業(yè)面臨的威脅以及用來保護企業(yè)重要數(shù)據(jù)資產(chǎn)的技術(shù)���。
這些錯誤的假設(shè)形成了安全誤區(qū)���,讓我們來看看這十個安全誤區(qū):
誤區(qū) 1:“這不會發(fā)生在我身上”
問題:企業(yè)習慣于認為媒體對風險過度炒作,以及讓員工“為所欲為”來避免費用和責任。
對策:讓企業(yè)責任直面安全相關(guān)的請求;利用安全分類框架
誤區(qū)2:“信息安全預(yù)算占IT支出的10%”
問題:想當然--- Gartner研究顯示預(yù)算更像是5%��。
對策:獲取一些真實的數(shù)據(jù)
誤區(qū)3:“安全風險可以被量化”
問題:認為如果可以在Excel表中證明��,就可以得到安全預(yù)算���,這是“以數(shù)字為導向文化”的常見錯誤��,其中認為“誰擁有最大的數(shù)字����,誰就贏了”�����。
對策:試圖對風險進行非數(shù)值式表達,并設(shè)法確保業(yè)務(wù)部門承擔其IT相關(guān)的風險
誤區(qū)4:“我們確保了物理安全(或者SSL)�����,所以我們的數(shù)據(jù)是安全的”
問題:對風險認識不足
對策:確保安全采購匹配數(shù)據(jù)要求
誤區(qū)5:“密碼過期和復雜性降低了風險”
問題:慣性���。Heiser補充說:“我們知道密碼經(jīng)常漏洞百出�����,但破解并不是主要的模式���,密碼并不是被破解��,而是被捕獲了��。”
對策:加強密碼保護
誤區(qū)6:“將首席信息安全官放在IT外部能夠確保更好的安全性”
問題:推卸責任��。Heiser補充說�,這是“讓我們重新部署組織結(jié)構(gòu)來解決文化問題”的把戲
對策:分析安全項目中問題的根本問題
誤區(qū)七:“堅持認為所有安全做法的問題都是首席信息安全官的問題”
問題:推卸責任。業(yè)務(wù)部門希望將安全風險成為別人的問題�,首席信息安全官應(yīng)該承擔所有責任,即使他們不覺得首席信息安全官應(yīng)該能夠告訴他們該怎么做�����。
對策:建立一個信息安全程序
誤區(qū)8:“購買這個工具<某個工具>,它會解決所有的問題”
問題:試圖尋找神奇的解決方案來解決所有疑難問題
對策:風險分析和優(yōu)先級排序���,制定多年的安全計劃
誤區(qū)9:“我們部署好政策����,就可以不用管了”
問題:想當然
對策:建立管理責任��,并認真選擇你的戰(zhàn)場
誤區(qū)10:“加密是保護敏感文件安全性的最佳方式”
問題:加密技術(shù)很強大��,當企業(yè)對某個技術(shù)有著“天真”的期望時�����,可能導致弊大于利;有時候���,企業(yè)試圖尋找神奇的解決方案來解決疑難問題。
對策:在你做決策之前���,確保你對加密技術(shù)有著豐富的經(jīng)驗
