每家企業(yè)都逃不脫安全風(fēng)險的威脅,確保企業(yè)安全也就成了IT人員的首要工作��。即使IT人員的安全技術(shù)運用已經(jīng)很熟練���,有時思想上的稍微一點松懈就有可能導(dǎo)致企業(yè)安全問題���。
國外媒體網(wǎng)站Infoworld將這些讓企業(yè)陷入風(fēng)險的原因歸結(jié)為“十個安全神話”���。據(jù)Gartner分析師Jay Heiser表示,當(dāng)談到信息安全時���,人們對企業(yè)所面臨的威脅以及用來保護自己重要數(shù)據(jù)資產(chǎn)的技術(shù)有很多“誤解”和“夸大”�����。
這些錯誤的假設(shè)都?xì)w因于受到廣泛信奉的“安全神話”�����。“安全神話”的信奉者包括正在試圖防止數(shù)據(jù)丟失的員工以及將違規(guī)和其他事故的責(zé)任推卸給首席信息安全人員(CISO)的業(yè)務(wù)經(jīng)理���。
Gartner安全與風(fēng)險管理峰會上,Heiser根據(jù)這個主題發(fā)表了其“十大安全神話”的演講:
十大安全神話一:“這種事情不會發(fā)生在我身上”
原因:習(xí)慣了對風(fēng)險的大肆宣揚����,讓員工做任何他們想做的事來逃避損失和責(zé)任。
治療:將企業(yè)的責(zé)任與安全掛鉤;利用安全分類框架的幫助��。
十大安全神話二:“信息安全預(yù)算占整個IT支持的10%呢”
原因:一廂情愿地想,Gartner研究顯示預(yù)算數(shù)字更接近5%呢�����。
治療:獲得一些真實的數(shù)據(jù)��。
十大安全神話三:“安全風(fēng)險是可以量化的”
原因:你可以在一個Excel電子表格中證明你有你的安全預(yù)算���,在“數(shù)據(jù)導(dǎo)向的文化”中一個普遍存在的誤解是“他的數(shù)字最大,他贏了”�����。
治療:開發(fā)風(fēng)險的非數(shù)字表達(dá)方式����,并確保業(yè)務(wù)部門承擔(dān)自己的IT風(fēng)險責(zé)任。
十大安全神話四:“我們有物理安全體系(或SSL)因此數(shù)據(jù)是安全的”
原因:理想化��,不了解風(fēng)險�。
治療:確保安全購買匹配數(shù)據(jù)要求。
十大安全神話五:“復(fù)雜性的密碼能降低風(fēng)險”
原因:惰性���。Heiser又補充說:“我們知道密碼漏洞百出��,但破解并不是主要的失效原因�。密碼不是被破解的,只是小試一下就被解開了����。”
治療:設(shè)多個密碼。
十大安全神話六:“IT遠(yuǎn)離CISO自然會很安全”
原因:推卸責(zé)任�。Heiser補充道:“這是我們通過一些改變組織的‘技巧’來解決文化問題的方式。”
治療:針對安全程序中的弱點�����,分析問題的根源�。
十大安全神話七:“安全實踐問題是CISO的問題”
原因:推卸責(zé)任。業(yè)務(wù)希望安全風(fēng)險是別人的問題���,即使CISO承擔(dān)所有的風(fēng)險�����,他們也覺得CISO不應(yīng)該能夠告訴他們要做什么��。
治療:建立一個信息安全項目�。
十大安全神話八:“購買這個工具就能解決所有的問題”
原因:尋找外部的魔法來解決難題���,天真的想法���。
治療:進行系統(tǒng)風(fēng)險分析�����,制定具有優(yōu)先級的長期安全計劃。
十大安全神話九:“制定合理的政策���,并好好遵守”
原因:一廂情愿��。
治療:確定管理責(zé)任�,仔細(xì)選擇你的戰(zhàn)場�。
十大安全神話十:“加密是保護敏感文件安全的最好辦法”
原因:加密技術(shù)正常工作時,效果很好���。但對一項困難的技術(shù)抱有天真的期望時����,往往弊大于利����。有時就像用“尋找圣杯”或“魔術(shù)子彈”來解決監(jiān)管問題��。
治療:在做決定之前���,確保自己有扎實的密碼技術(shù)經(jīng)驗。
最后�,Heiser指出很多這些神話的產(chǎn)生僅僅是因為在不熟悉的狀況下人們?nèi)菀追磻?yīng)過度或同一組織中的人容易將責(zé)任推卸到別人身上。“這是官僚主義的風(fēng)險管理���,”Heiser指出��。他說�,“CISO沒有理由干坐在那里��,接受所有這些棘手的問題”���,尤其是當(dāng)員工對于消費者計算技術(shù)時�。
