根據(jù)Gartner分析師Jay Heiser表示，當(dāng)涉及信息安全時(shí)，存在很多“誤解”和“夸張化”，特別是對(duì)于企業(yè)面臨的威脅以及用來保護(hù)企業(yè)重要數(shù)據(jù)資產(chǎn)的技術(shù)。

這些錯(cuò)誤的假設(shè)形成了安全誤區(qū)，讓我們來看看這十個(gè)IT安全誤區(qū)：

誤區(qū) 1：“這不會(huì)發(fā)生在我身上”

問題：企業(yè)習(xí)慣于認(rèn)為媒體對(duì)風(fēng)險(xiǎn)過度炒作，以及讓員工“為所欲為”來避免費(fèi)用和責(zé)任。

對(duì)策：讓企業(yè)責(zé)任直面安全相關(guān)的請(qǐng)求;利用安全分類框架

誤區(qū)2：“信息安全預(yù)算占IT支出的10%”

問題：想當(dāng)然--- Gartner研究顯示預(yù)算更像是5%。

對(duì)策：獲取一些真實(shí)的數(shù)據(jù)

誤區(qū)3：“安全風(fēng)險(xiǎn)可以被量化”

問題：認(rèn)為如果可以在Excel表中證明，就可以得到安全預(yù)算，這是“以數(shù)字為導(dǎo)向文化”的常見錯(cuò)誤，其中認(rèn)為“誰擁有***的數(shù)字，誰就贏了”。

對(duì)策：試圖對(duì)風(fēng)險(xiǎn)進(jìn)行非數(shù)值式表達(dá)，并設(shè)法確保業(yè)務(wù)部門承擔(dān)其IT相關(guān)的風(fēng)險(xiǎn)

誤區(qū)4：“我們確保了物理安全(或者SSL)，所以我們的數(shù)據(jù)是安全的”

問題：對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)不足

對(duì)策：確保安全采購匹配數(shù)據(jù)要求

誤區(qū)5：“密碼過期和復(fù)雜性降低了風(fēng)險(xiǎn)”

問題：慣性。Heiser補(bǔ)充說：“我們知道密碼經(jīng)常漏洞百出，但破解并不是主要的模式，密碼并不是被破解，而是被捕獲了。”

對(duì)策：加強(qiáng)密碼保護(hù)

誤區(qū)6：“將***信息安全官放在IT外部能夠確保更好的安全性”

問題：推卸責(zé)任。Heiser補(bǔ)充說，這是“讓我們重新部署組織結(jié)構(gòu)來解決文化問題”的把戲

對(duì)策：分析安全項(xiàng)目中問題的根本問題

誤區(qū)7：“堅(jiān)持認(rèn)為所有安全做法的問題都是***信息安全官的問題”

問題：推卸責(zé)任。業(yè)務(wù)部門希望將安全風(fēng)險(xiǎn)成為別人的問題，***信息安全官應(yīng)該承擔(dān)所有責(zé)任，即使他們不覺得***信息安全官應(yīng)該能夠告訴他們?cè)撛趺醋觥?/p>

對(duì)策：建立一個(gè)信息安全程序

誤區(qū)8：“購買這個(gè)工具<某個(gè)工具>，它會(huì)解決所有的問題”

問題：試圖尋找神奇的解決方案來解決所有疑難問題

對(duì)策：風(fēng)險(xiǎn)分析和優(yōu)先級(jí)排序，制定多年的安全計(jì)劃

誤區(qū)9：“我們部署好政策，就可以不用管了”

問題：想當(dāng)然

對(duì)策：建立管理責(zé)任，并認(rèn)真選擇你的戰(zhàn)場

誤區(qū)10：“加密是保護(hù)敏感文件安全性的***方式”

問題：加密技術(shù)很強(qiáng)大，當(dāng)企業(yè)對(duì)某個(gè)技術(shù)有著“天真”的期望時(shí)，可能導(dǎo)致弊大于利;有時(shí)候，企業(yè)試圖尋找神奇的解決方案來解決疑難問題。

對(duì)策：在你做決策之前，確保你對(duì)加密技術(shù)有著豐富的經(jīng)驗(yàn)