每家企業(yè)都逃不脫安全風(fēng)險(xiǎn)的威脅，確保企業(yè)安全也就成了IT人員的首要工作。即使IT人員的安全技術(shù)運(yùn)用已經(jīng)很熟練，有時(shí)思想上的稍微一點(diǎn)松懈就有可能導(dǎo)致企業(yè)安全問(wèn)題。

國(guó)外媒體網(wǎng)站Infoworld將這些讓企業(yè)陷入風(fēng)險(xiǎn)的原因歸結(jié)為“十個(gè)安全神話(huà)”。據(jù)Gartner分析師Jay Heiser表示，當(dāng)談到信息安全時(shí)，人們對(duì)企業(yè)所面臨的威脅以及用來(lái)保護(hù)自己重要數(shù)據(jù)資產(chǎn)的技術(shù)有很多“誤解”和“夸大”。

這些錯(cuò)誤的假設(shè)都?xì)w因于受到廣泛信奉的“安全神話(huà)”。“安全神話(huà)”的信奉者包括正在試圖防止數(shù)據(jù)丟失的員工以及將違規(guī)和其他事故的責(zé)任推卸給首席信息安全人員(CISO)的業(yè)務(wù)經(jīng)理。

Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上，Heiser根據(jù)這個(gè)主題發(fā)表了其“十大安全神話(huà)”的演講：

十大安全神話(huà)一：“這種事情不會(huì)發(fā)生在我身上”

原因：習(xí)慣了對(duì)風(fēng)險(xiǎn)的大肆宣揚(yáng)，讓員工做任何他們想做的事來(lái)逃避損失和責(zé)任。

治療：將企業(yè)的責(zé)任與安全掛鉤;利用安全分類(lèi)框架的幫助。

十大安全神話(huà)二：“信息安全預(yù)算占整個(gè)IT支持的10%呢”

原因：一廂情愿地想，Gartner研究顯示預(yù)算數(shù)字更接近5%呢。

治療：獲得一些真實(shí)的數(shù)據(jù)。

十大安全神話(huà)三：“安全風(fēng)險(xiǎn)是可以量化的”

原因：你可以在一個(gè)Excel電子表格中證明你有你的安全預(yù)算，在“數(shù)據(jù)導(dǎo)向的文化”中一個(gè)普遍存在的誤解是“他的數(shù)字最大，他贏了”。

治療：開(kāi)發(fā)風(fēng)險(xiǎn)的非數(shù)字表達(dá)方式，并確保業(yè)務(wù)部門(mén)承擔(dān)自己的IT風(fēng)險(xiǎn)責(zé)任。

十大安全神話(huà)四：“我們有物理安全體系(或SSL)因此數(shù)據(jù)是安全的”

原因：理想化，不了解風(fēng)險(xiǎn)。

治療：確保安全購(gòu)買(mǎi)匹配數(shù)據(jù)要求。

十大安全神話(huà)五：“復(fù)雜性的密碼能降低風(fēng)險(xiǎn)”

原因：惰性。Heiser又補(bǔ)充說(shuō)：“我們知道密碼漏洞百出，但破解并不是主要的失效原因。密碼不是被破解的，只是小試一下就被解開(kāi)了。”

治療：設(shè)多個(gè)密碼。

十大安全神話(huà)六：“IT遠(yuǎn)離CISO自然會(huì)很安全”

原因：推卸責(zé)任。Heiser補(bǔ)充道：“這是我們通過(guò)一些改變組織的‘技巧’來(lái)解決文化問(wèn)題的方式。”

治療：針對(duì)安全程序中的弱點(diǎn)，分析問(wèn)題的根源。

十大安全神話(huà)七：“安全實(shí)踐問(wèn)題是CISO的問(wèn)題”

原因：推卸責(zé)任。業(yè)務(wù)希望安全風(fēng)險(xiǎn)是別人的問(wèn)題，即使CISO承擔(dān)所有的風(fēng)險(xiǎn)，他們也覺(jué)得CISO不應(yīng)該能夠告訴他們要做什么。

治療：建立一個(gè)信息安全項(xiàng)目。

十大安全神話(huà)八：“購(gòu)買(mǎi)這個(gè)工具就能解決所有的問(wèn)題”

原因：尋找外部的魔法來(lái)解決難題，天真的想法。

治療：進(jìn)行系統(tǒng)風(fēng)險(xiǎn)分析，制定具有優(yōu)先級(jí)的長(zhǎng)期安全計(jì)劃。

十大安全神話(huà)九：“制定合理的政策，并好好遵守”

原因：一廂情愿。

治療：確定管理責(zé)任，仔細(xì)選擇你的戰(zhàn)場(chǎng)。

十大安全神話(huà)十：“加密是保護(hù)敏感文件安全的最好辦法”

原因：加密技術(shù)正常工作時(shí)，效果很好。但對(duì)一項(xiàng)困難的技術(shù)抱有天真的期望時(shí)，往往弊大于利。有時(shí)就像用“尋找圣杯”或“魔術(shù)子彈”來(lái)解決監(jiān)管問(wèn)題。

治療：在做決定之前，確保自己有扎實(shí)的密碼技術(shù)經(jīng)驗(yàn)。

最后，Heiser指出很多這些神話(huà)的產(chǎn)生僅僅是因?yàn)樵诓皇煜さ臓顩r下人們?nèi)菀追磻?yīng)過(guò)度或同一組織中的人容易將責(zé)任推卸到別人身上。“這是官僚主義的風(fēng)險(xiǎn)管理，”Heiser指出。他說(shuō)，“CISO沒(méi)有理由干坐在那里，接受所有這些棘手的問(wèn)題”，尤其是當(dāng)員工對(duì)于消費(fèi)者計(jì)算技術(shù)時(shí)。

TechTarget中國(guó)原創(chuàng)內(nèi)容，原文鏈接：http://www.searchsv.com.cn/showcontent_74273.htm