每家企業(yè)都逃不脫安全風(fēng)險(xiǎn)的威脅����,確保企業(yè)安全也就成了IT人員的首要工作�。即使IT人員的安全技術(shù)運(yùn)用已經(jīng)很熟練,有時(shí)思想上的稍微一點(diǎn)松懈就有可能導(dǎo)致企業(yè)安全問題����。
國外媒體網(wǎng)站Infoworld將這些讓企業(yè)陷入風(fēng)險(xiǎn)的原因歸結(jié)為“十個(gè)安全神話”。據(jù)Gartner分析師Jay Heiser表示���,當(dāng)談到信息安全時(shí)���,人們對(duì)企業(yè)所面臨的威脅以及用來保護(hù)自己重要數(shù)據(jù)資產(chǎn)的技術(shù)有很多“誤解”和“夸大”。
這些錯(cuò)誤的假設(shè)都?xì)w因于受到廣泛信奉的“安全神話”�����。“安全神話”的信奉者包括正在試圖防止數(shù)據(jù)丟失的員工以及將違規(guī)和其他事故的責(zé)任推卸給首席信息安全人員(CISO)的業(yè)務(wù)經(jīng)理���。
Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上����,Heiser根據(jù)這個(gè)主題發(fā)表了其“十大安全神話”的演講:
十大安全神話一:“這種事情不會(huì)發(fā)生在我身上”
原因:習(xí)慣了對(duì)風(fēng)險(xiǎn)的大肆宣揚(yáng),讓員工做任何他們想做的事來逃避損失和責(zé)任����。
治療:將企業(yè)的責(zé)任與安全掛鉤;利用安全分類框架的幫助。
十大安全神話二:“信息安全預(yù)算占整個(gè)IT支持的10%呢”
原因:一廂情愿地想����,Gartner研究顯示預(yù)算數(shù)字更接近5%呢。
治療:獲得一些真實(shí)的數(shù)據(jù)��。
十大安全神話三:“安全風(fēng)險(xiǎn)是可以量化的”
原因:你可以在一個(gè)Excel電子表格中證明你有你的安全預(yù)算���,在“數(shù)據(jù)導(dǎo)向的文化”中一個(gè)普遍存在的誤解是“他的數(shù)字最大����,他贏了”�����。
治療:開發(fā)風(fēng)險(xiǎn)的非數(shù)字表達(dá)方式�����,并確保業(yè)務(wù)部門承擔(dān)自己的IT風(fēng)險(xiǎn)責(zé)任。
十大安全神話四:“我們有物理安全體系(或SSL)因此數(shù)據(jù)是安全的”
原因:理想化�,不了解風(fēng)險(xiǎn)。
治療:確保安全購買匹配數(shù)據(jù)要求�����。
十大安全神話五:“復(fù)雜性的密碼能降低風(fēng)險(xiǎn)”
原因:惰性����。Heiser又補(bǔ)充說:“我們知道密碼漏洞百出�����,但破解并不是主要的失效原因����。密碼不是被破解的,只是小試一下就被解開了�。”
治療:設(shè)多個(gè)密碼。
十大安全神話六:“IT遠(yuǎn)離CISO自然會(huì)很安全”
原因:推卸責(zé)任���。Heiser補(bǔ)充道:“這是我們通過一些改變組織的‘技巧’來解決文化問題的方式�����。”
治療:針對(duì)安全程序中的弱點(diǎn)�,分析問題的根源。
十大安全神話七:“安全實(shí)踐問題是CISO的問題”
原因:推卸責(zé)任���。業(yè)務(wù)希望安全風(fēng)險(xiǎn)是別人的問題�,即使CISO承擔(dān)所有的風(fēng)險(xiǎn)�,他們也覺得CISO不應(yīng)該能夠告訴他們要做什么。
治療:建立一個(gè)信息安全項(xiàng)目���。
十大安全神話八:“購買這個(gè)工具就能解決所有的問題”
原因:尋找外部的魔法來解決難題����,天真的想法����。
治療:進(jìn)行系統(tǒng)風(fēng)險(xiǎn)分析,制定具有優(yōu)先級(jí)的長期安全計(jì)劃���。
十大安全神話九:“制定合理的政策����,并好好遵守”
原因:一廂情愿�。
治療:確定管理責(zé)任�����,仔細(xì)選擇你的戰(zhàn)場�����。
十大安全神話十:“加密是保護(hù)敏感文件安全的最好辦法”
原因:加密技術(shù)正常工作時(shí)����,效果很好�。但對(duì)一項(xiàng)困難的技術(shù)抱有天真的期望時(shí)���,往往弊大于利����。有時(shí)就像用“尋找圣杯”或“魔術(shù)子彈”來解決監(jiān)管問題���。
治療:在做決定之前��,確保自己有扎實(shí)的密碼技術(shù)經(jīng)驗(yàn)�。
最后�����,Heiser指出很多這些神話的產(chǎn)生僅僅是因?yàn)樵诓皇煜さ臓顩r下人們?nèi)菀追磻?yīng)過度或同一組織中的人容易將責(zé)任推卸到別人身上。“這是官僚主義的風(fēng)險(xiǎn)管理����,”Heiser指出。他說�����,“CISO沒有理由干坐在那里�,接受所有這些棘手的問題”,尤其是當(dāng)員工對(duì)于消費(fèi)者計(jì)算技術(shù)時(shí)��。
