企業(yè)安全主管（CSO）們的飯碗正變得越來(lái)越脆弱，他們可以正確一百次，但只要一次失誤，就足以葬送一切。

只需一個(gè)愚蠢的決定、一個(gè)簡(jiǎn)單的疏忽或是一次糟糕的溝通，一個(gè)錯(cuò)誤的假設(shè)，或者聽(tīng)信了一個(gè)錯(cuò)誤的建議，就可能導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件，讓CSO失去一切。

要想避免職場(chǎng)翻車，CSO必須了解并避免以下九大致命錯(cuò)誤：

1.過(guò)度自信

自負(fù)往往會(huì)導(dǎo)致CSO職業(yè)生涯過(guò)早終結(jié)，特別是部署未經(jīng)驗(yàn)證但媒體熱炒的安全解決方案時(shí)。

XYPRO.com的CISO Steve Tcherchian表示：

“自負(fù)會(huì)產(chǎn)生安全盲區(qū)，增加人為錯(cuò)誤的風(fēng)險(xiǎn)，并在利益相關(guān)者中產(chǎn)生虛假的安全感，直到發(fā)生重大事件，導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件?！?/p>

過(guò)度自信還會(huì)導(dǎo)致安全懈怠。Tcherchian觀察到：“當(dāng)個(gè)人或組織認(rèn)為當(dāng)前的安全流程已經(jīng)足夠時(shí)，他們會(huì)失去警惕，變得容易受到新威脅的攻擊?！苯Y(jié)果是，安全漏洞未被發(fā)現(xiàn)，防御措施也過(guò)時(shí)了。

2..增加復(fù)雜性

當(dāng)安全領(lǐng)導(dǎo)者失去對(duì)基本任務(wù)的關(guān)注，轉(zhuǎn)而被最新的技術(shù)和熱門話題所吸引時(shí)，職業(yè)生涯往往會(huì)“脫軌”。咨詢公司EY的全球和亞太區(qū)網(wǎng)絡(luò)安全咨詢負(fù)責(zé)人Richard Watson指出，結(jié)果是CSO購(gòu)買了大量技術(shù)，增加了不必要的復(fù)雜性和無(wú)謂的干擾。

復(fù)雜性帶來(lái)的挑戰(zhàn)在于它增加了成本，而此時(shí)網(wǎng)絡(luò)預(yù)算正受到越來(lái)越嚴(yán)格的審查，并且它會(huì)削弱組織的網(wǎng)絡(luò)防御?！芭c所有技術(shù)整合一樣，可能會(huì)出現(xiàn)漏洞，攻擊者正是通過(guò)這些漏洞獲得優(yōu)勢(shì)，”Watson指出。

更糟糕的是，復(fù)雜性會(huì)導(dǎo)致虛假的安全感，組織會(huì)覺(jué)得擁有最新的技術(shù)創(chuàng)新就能保護(hù)自己。Watson報(bào)告說(shuō)，EY最近對(duì)世界500強(qiáng)企業(yè)進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，頂尖的安全績(jī)效企業(yè)正在采用簡(jiǎn)化策略，向單一集成平臺(tái)靠攏。

3.忽視GRC

在沒(méi)有制定正式的治理風(fēng)險(xiǎn)與合規(guī)（GRC）計(jì)劃的情況下部署網(wǎng)絡(luò)安全技術(shù)堆棧，可能會(huì)輕易摧毀CSO的職業(yè)生涯。

無(wú)線網(wǎng)絡(luò)服務(wù)公司Velaspan的CISO Scott Hawk表示：“這個(gè)錯(cuò)誤可能是災(zāi)難性的，因?yàn)樗鼤?huì)影響業(yè)務(wù)的許多方面?！睕](méi)有堅(jiān)實(shí)的GRC計(jì)劃，安全領(lǐng)導(dǎo)者更有可能在技術(shù)上超支，產(chǎn)生虛假的安全感，錯(cuò)過(guò)關(guān)鍵的安全組件，并與業(yè)務(wù)的其他部分產(chǎn)生不對(duì)齊。

GRC框架確保風(fēng)險(xiǎn)管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中?！癎RC將創(chuàng)建一個(gè)全企業(yè)范圍內(nèi)的關(guān)于網(wǎng)絡(luò)安全的對(duì)話，有助于設(shè)定優(yōu)先級(jí)并推動(dòng)采用，”Hawk說(shuō)。GRC旨在使網(wǎng)絡(luò)安全成為業(yè)務(wù)的促進(jìn)者。

4.未能將網(wǎng)絡(luò)安全與企業(yè)目標(biāo)對(duì)齊

網(wǎng)絡(luò)安全專家犯的最大錯(cuò)誤不是技術(shù)錯(cuò)誤、誤算，甚至不是未能預(yù)見(jiàn)潛在威脅，而是未能站在企業(yè)角度（背景）理解和制定網(wǎng)絡(luò)安全計(jì)劃。這也是一個(gè)常見(jiàn)的“職業(yè)殺手”錯(cuò)誤。

網(wǎng)絡(luò)安全應(yīng)在企業(yè)使命、目標(biāo)和目標(biāo)的背景下執(zhí)行。“網(wǎng)絡(luò)安全優(yōu)先級(jí)和投資的目標(biāo)是保護(hù)對(duì)企業(yè)生存最重要的東西。”網(wǎng)絡(luò)安全平臺(tái)提供商Axio的高級(jí)網(wǎng)絡(luò)安全顧問(wèn)Richard Caralli說(shuō)。

Caralli補(bǔ)充道，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要在制定和執(zhí)行網(wǎng)絡(luò)安全計(jì)劃時(shí)優(yōu)先考慮企業(yè)關(guān)鍵成功因素。未能將網(wǎng)絡(luò)安全工作與組織價(jià)值對(duì)齊，會(huì)導(dǎo)致投資失調(diào)、資源利用不善和總體糟糕的網(wǎng)絡(luò)安全結(jié)果?！?/p>

5.低估訪問(wèn)控制的重要性

許多安全領(lǐng)導(dǎo)者擔(dān)心系統(tǒng)后門而忽視了訪問(wèn)權(quán)限帶來(lái)的威脅，身份安全和治理技術(shù)提供商Zilla Security的聯(lián)合創(chuàng)始人Nitin Sonawane警告說(shuō)：“身份是系統(tǒng)的前門?！焙鲆暡话踩蚺渲缅e(cuò)誤的身份是一個(gè)大錯(cuò)誤。

企業(yè)通常未能充分管理前員工和合同工的訪問(wèn)權(quán)限，導(dǎo)致孤兒賬戶被威脅者利用。同時(shí)，現(xiàn)有員工在擔(dān)任新職責(zé)時(shí)，通常會(huì)累積對(duì)敏感系統(tǒng)和數(shù)據(jù)的訪問(wèn)權(quán)限?！斑^(guò)度授權(quán)的身份在遭受攻擊時(shí)帶來(lái)了更大的風(fēng)險(xiǎn)，”Sonawane警告說(shuō)。

Sonawane認(rèn)為，最有效的身份管理方法是使用AI。大多數(shù)組織今天都維護(hù)HR應(yīng)用程序，如Workday、Paylocity或BambooHR，作為每個(gè)用戶業(yè)務(wù)概況的真實(shí)來(lái)源。當(dāng)發(fā)生人員調(diào)動(dòng)時(shí)，企業(yè)通常希望新主管決定用戶應(yīng)保留哪些權(quán)限。“新主管具有業(yè)務(wù)背景可以做出這些決策，而AI可以幫助他們確定誰(shuí)需要哪些訪問(wèn)權(quán)限，以及哪些權(quán)限超出了業(yè)務(wù)功能范圍?！?/p>

6.忽視人的因素

安全領(lǐng)導(dǎo)者犯的最大錯(cuò)誤是完全專注于技術(shù)解決方案和流程，IT咨詢公司Presidio的現(xiàn)場(chǎng)CISO Dan Lohrmann說(shuō)。人才是最大的安全漏洞，他警告說(shuō)：“低估人際關(guān)系的安全專家將失敗?！?/p>

Lohrmann說(shuō)，員工試圖繞過(guò)安全控制措施、政策和程序的傾向會(huì)導(dǎo)致一系列內(nèi)部威脅：“這為那些試圖做壞事或偷竊的人打開(kāi)了大門，并可能導(dǎo)致聲譽(yù)和品牌損害，像勒索軟件攻擊或其他數(shù)據(jù)泄露一樣造成毀滅性打擊?！?/p>

員工和其他授權(quán)人員也可能變得狡猾，Lohrmann指出：“我見(jiàn)過(guò)有人通過(guò)拖延時(shí)間、公開(kāi)在團(tuán)隊(duì)中制造不和、對(duì)抗領(lǐng)導(dǎo)或既定的組織目標(biāo)、冒著不必要的風(fēng)險(xiǎn)來(lái)破壞優(yōu)秀的網(wǎng)絡(luò)安全項(xiàng)目?！?/p>

更好的招聘實(shí)踐，包括徹底的背景調(diào)查，可以大大提高內(nèi)部安全性，Lohrmann說(shuō)道：“注意員工的倦怠跡象也同樣重要?！?/p>

7.未及時(shí)銷毀廢棄數(shù)據(jù)

存儲(chǔ)在云中的陳舊數(shù)據(jù)可能被隱藏和遺忘，也可能像定時(shí)炸彈一樣毫無(wú)征兆地摧毀CSO的職業(yè)生涯。數(shù)據(jù)安全軟件提供商Metomic的CEO Rich Vibert表示：“遺留陳舊數(shù)據(jù)帶來(lái)重大風(fēng)險(xiǎn)，從安全漏洞到合規(guī)問(wèn)題，這個(gè)錯(cuò)誤尤為重要，因?yàn)樗峭耆梢灶A(yù)防的?！?/p>

未授權(quán)訪問(wèn)是主要問(wèn)題，Vibert表示：“如果未嚴(yán)格維護(hù)和更新訪問(wèn)控制，舊文件中包含的敏感信息很容易落入不法之徒手中?！碑?dāng)前員工或外部合作者繼續(xù)擁有文件訪問(wèn)權(quán)限時(shí)，風(fēng)險(xiǎn)會(huì)增加。

Vibert說(shuō)，當(dāng)攻擊者捕獲到廢棄文件時(shí)，數(shù)據(jù)泄露的可能性會(huì)增加，這些文件可能包含個(gè)人信息、財(cái)務(wù)記錄或機(jī)密業(yè)務(wù)數(shù)據(jù)?！斑@些被遺忘或未管理的數(shù)據(jù)片段通常缺乏強(qiáng)有力的保護(hù)，成為具有吸引力的攻擊目標(biāo)。”此外，陳舊數(shù)據(jù)還可以為網(wǎng)絡(luò)犯罪分子提供有價(jià)值的歷史信息，使他們能夠編寫更有說(shuō)服力的釣魚(yú)郵件或社會(huì)工程攻擊，從而增加成功攻擊的可能性。

8.未能與業(yè)務(wù)建立橋梁

與非技術(shù)利益相關(guān)者的溝通不暢會(huì)導(dǎo)致誤解和混亂，播下不信任的種子，缺乏對(duì)安全計(jì)劃的支持，并在尋求安全預(yù)算批準(zhǔn)時(shí)面臨更大的挑戰(zhàn)，全球技術(shù)研究和咨詢公司ISG旗下Ventana Research的數(shù)字技術(shù)研究主管Jeff Orr說(shuō)。

Orr建議使用業(yè)務(wù)術(shù)語(yǔ)來(lái)傳達(dá)關(guān)鍵的安全問(wèn)題及其對(duì)業(yè)務(wù)目標(biāo)的影響?！疤峁┦纠詭椭鷮踩拍钆c業(yè)務(wù)活動(dòng)聯(lián)系起來(lái)?！監(jiān)rr還建議CSOs在安全報(bào)告中更加清晰地闡釋：“審查如何將安全決策與業(yè)務(wù)影響相關(guān)聯(lián)?！?/p>

9.自滿

最致命的職場(chǎng)錯(cuò)誤是認(rèn)為一切都在控制之中。這樣的領(lǐng)導(dǎo)者完全把他們的信任寄托在安全項(xiàng)目和時(shí)間表上，安全技術(shù)提供商Radware的CISO Howard Taylor說(shuō)：“他們過(guò)度信任行業(yè)認(rèn)證能保護(hù)其業(yè)務(wù)免受網(wǎng)絡(luò)攻擊?！?/p>

例如，企業(yè)在遭遇災(zāi)難性的支付交易數(shù)據(jù)泄露后的遺言往往是：“我們剛剛通過(guò)了PCIDSS認(rèn)證?！?/p>