你打算保住工作嗎?那就學習以下九個需要避免的危險領域。
1. 過度自信
自大可能導致職業(yè)的早期毀滅,特別是在部署未經(jīng)驗證但流行的安全解決方案時。
“這種方法會造成安全漏洞,增加人為錯誤的風險,并導致利益相關者產(chǎn)生虛假的安全感——直到發(fā)生重大事件,導致災難性的網(wǎng)絡安全事件。”網(wǎng)絡安全技術公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 說。
過度自信還會導致安全懈怠。“當個人或企業(yè)認為他們當前的安全流程已經(jīng)足夠時,他們就不會保持警惕,可能會變得容易受到新威脅的攻擊。”Tcherchian 指出。因此,安全漏洞會被忽視,防御措施變得過時。
2. 推動失控的復雜性
當安全負責人失去對基本任務的關注,并被最新技術和熱點話題分散注意力時,職業(yè)生涯往往會脫軌,商業(yè)咨詢公司安永的全球和亞太地區(qū)網(wǎng)絡安全咨詢負責人 Richard Watson 說。結果是獲得了大量技術,增加了不必要的復雜性和不必要的分心。
復雜性帶來的挑戰(zhàn)在于,它在網(wǎng)絡預算日益受到審查的同時增加了成本,并可能使組織的網(wǎng)絡防御變得更弱。“與所有技術集成一樣,漏洞可能會出現(xiàn),正是通過這些漏洞,攻擊者可以獲得優(yōu)勢。”Watson 指出。
更糟糕的是,復雜性會導致一種虛假的安全感,組織會覺得有最新的技術創(chuàng)新在保護他們。Watson 報告稱,安永最近對全球 500 家領先組織進行了一項研究,發(fā)現(xiàn)頂級安全表現(xiàn)者正在接受簡化,并朝著單一集成平臺方法邁進。
3. 缺乏 GRC(治理、風險管理和合規(guī)性)
部署網(wǎng)絡安全堆棧而不包括正式的治理、風險管理和合規(guī)性 (GRC) 計劃,可能輕易顛覆職業(yè)生涯。
“這個錯誤可能是毀滅性的,因為它會影響業(yè)務的許多方面。”無線網(wǎng)絡服務公司 Velaspan 的 CISO Scott Hawk 說。如果沒有穩(wěn)固的 GRC 計劃,安全負責人更有可能在技術上過度支出,產(chǎn)生虛假的安全感,錯過其安全姿態(tài)的關鍵組成部分,并與業(yè)務的其他部分產(chǎn)生不一致。
GRC 框架確保風險管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中。“GRC 將圍繞網(wǎng)絡安全創(chuàng)建一場全企業(yè)的對話,有助于設定優(yōu)先級并推動采納。” Hawk 說,GRC 努力使網(wǎng)絡安全成為業(yè)務的推動者。
4. 未能將網(wǎng)絡安全與企業(yè)目標對齊
安全專家犯下的最大錯誤不是技術錯誤、誤算,甚至不是未能預見潛在威脅,網(wǎng)絡安全平臺提供商 Axio 的高級網(wǎng)絡安全顧問 Richard Caralli 說。“最大的錯誤是未能在其組織背景下理解和框架網(wǎng)絡安全計劃。”這也是一種潛在的職業(yè)殺手。
網(wǎng)絡安全的存在及其執(zhí)行應在企業(yè)使命、目標和宗旨的背景下進行。“保護對企業(yè)生存最重要的東西應該驅(qū)動網(wǎng)絡安全的優(yōu)先級和投資。”Caralli 說。
他補充道,制定和執(zhí)行一個優(yōu)先考慮企業(yè)重視的關鍵成功因素的網(wǎng)絡安全計劃的能力完全掌握在網(wǎng)絡安全領導者手中。“未能將網(wǎng)絡安全工作與企業(yè)價值對齊,會導致投資錯配、資源利用不當和總體上較差的網(wǎng)絡安全結果。”他說。
5. 低估訪問控制的重要性
許多安全領導者花時間擔心系統(tǒng)后門,而沒有認識到訪問權限帶來的威脅,身份、安全和治理技術提供商 Zilla Security 的聯(lián)合創(chuàng)始人 Nitin Sonawane 警告說。“身份是系統(tǒng)的前門,”他指出,“忽視不安全和配置錯誤的身份是一個大錯誤。”
企業(yè)往往未能充分管理前員工和合同工的訪問權限,導致孤兒賬戶可能被威脅行為者利用。同時,現(xiàn)有員工在公司任職期間隨著承擔新職責,通常會積累對敏感系統(tǒng)和數(shù)據(jù)的訪問權限。“過度特權的身份在發(fā)生漏洞時會帶來更大的風險。”Sonawane 警告說。
Sonawane 認為,管理身份的最有效方法是使用 AI。如今大多數(shù)企業(yè)都維護 HR 應用程序,如 Workday、Paylocity 或 BambooHR,它們作為每個用戶業(yè)務資料的真實來源。當發(fā)生調(diào)動時,企業(yè)通常期望用戶的新主管決定用戶應保留哪些權限。“新主管具有做出這些決策的業(yè)務背景,而 AI 可以幫助他們確定需要哪些訪問權限以及哪些超出了其業(yè)務職能的范圍。”
6. 忽視人為因素
安全領導者犯的最大錯誤是完全專注于技術解決方案和流程,IT 咨詢公司 Presidio 的現(xiàn)場 CISO Dan Lohrmann 說。他警告說,最大的漏洞來自人員方面。“低估關系的安全專家會失敗。”
Lohrmann 說,員工試圖繞過控制并規(guī)避既定政策和程序的傾向可能導致一系列內(nèi)部威脅。“這為那些試圖造成傷害或盜竊的人打開了大門,并且可以像勒索軟件攻擊或其他數(shù)據(jù)泄露一樣造成聲譽和品牌損害。”他說。
Lohrmann 指出,員工和其他授權人員可以很狡猾。“我見過有人通過延遲行動、拖延時間、公開在團隊中制造分歧、反對領導或既定的組織目標、冒不必要的風險,或因無能或未經(jīng)培訓而破壞優(yōu)秀的網(wǎng)絡安全項目。”他解釋說。
人員也可能隨時間發(fā)生變化。“一些曾經(jīng)是出色專業(yè)人士的員工,現(xiàn)在因疲勞或注意力不集中而失去了專注,因為他們在做兼職或有其他分心事物,”Lohrmann 說。流氓或粗心的用戶和/或合同工也可能造成混亂。
更好的招聘實踐,包括徹底的背景調(diào)查,可以大大提高內(nèi)部安全性,Lohrmann 說。“注意疲勞跡象也很重要。”
7. 讓遺棄的數(shù)據(jù)保留
云存儲中的陳舊數(shù)據(jù)可能被隱藏和遺忘,但它可能在沒有警告的情況下回來破壞 CSO 的職業(yè)生涯。“遺留陳舊數(shù)據(jù)會帶來重大危險,從安全漏洞到合規(guī)問題,而且這是一個重要的錯誤,因為它是如此可預防。”數(shù)據(jù)安全軟件提供商 Metomic 的 CEO Rich Vibert 說。
未授權訪問是首要問題,Vibert 表示:“如果訪問控制沒有得到精細的維護和更新,舊文件中包含的敏感信息很容易落入不法之徒手中。” 當前員工或外部合作者繼續(xù)擁有文件訪問權限時,風險會升級。
Vibert 說,當攻擊者捕獲遺棄文件時,數(shù)據(jù)泄露的可能性增加,包括個人信息、財務記錄或機密商業(yè)數(shù)據(jù)。“這些被遺忘或未管理的數(shù)據(jù)片段通常缺乏強有力的保護,使其成為有吸引力的目標。”此外,陳舊數(shù)據(jù)可以為網(wǎng)絡犯罪分子提供有價值的歷史信息,使他們能夠編寫更具說服力的網(wǎng)絡釣魚郵件或社會工程攻擊,從而增加成功入侵的可能性。
8. 不與業(yè)務部門建立聯(lián)系
與非技術利益相關者的無效溝通可能導致誤解和混亂,播下不信任的種子,缺乏對安全計劃的支持,以及在尋求安全預算批準時遇到更多挑戰(zhàn),全球技術研究和咨詢公司 ISG 的 Ventana Research 數(shù)字技術研究主任 Jeff Orr 說。
Orr 建議使用商業(yè)術語來傳達關鍵的安全問題及其對業(yè)務目標的影響。“提供示例以幫助將安全概念與業(yè)務活動聯(lián)系起來,”他建議 CSO 也應澄清安全報告。“審查安全決策如何與業(yè)務影響相關。”
9. 自滿
最大的職業(yè)致命錯誤是相信一切都在控制之中。這類領導者把信任寄托在安全項目和日程表上,安全技術提供商 Radware 的 CISO Howard Taylor 說。“他們信任他們的一系列行業(yè)認證可以保護他們的業(yè)務免受網(wǎng)絡惡棍的侵害。”
企業(yè)在遭受歷史性支付交易數(shù)據(jù)泄露后,最后的話是:“我們剛通過了 PCI DSS 認證。”
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號