你打算保住工作嗎？那就學(xué)習(xí)以下九個(gè)需要避免的危險(xiǎn)領(lǐng)域。 

1. 過度自信 

自大可能導(dǎo)致職業(yè)的早期毀滅，特別是在部署未經(jīng)驗(yàn)證但流行的安全解決方案時(shí)。 

“這種方法會造成安全漏洞，增加人為錯(cuò)誤的風(fēng)險(xiǎn)，并導(dǎo)致利益相關(guān)者產(chǎn)生虛假的安全感——直到發(fā)生重大事件，導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件?！本W(wǎng)絡(luò)安全技術(shù)公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 說。 

過度自信還會導(dǎo)致安全懈怠?！爱?dāng)個(gè)人或企業(yè)認(rèn)為他們當(dāng)前的安全流程已經(jīng)足夠時(shí)，他們就不會保持警惕，可能會變得容易受到新威脅的攻擊。”Tcherchian 指出。因此，安全漏洞會被忽視，防御措施變得過時(shí)。 

2. 推動失控的復(fù)雜性 

當(dāng)安全負(fù)責(zé)人失去對基本任務(wù)的關(guān)注，并被最新技術(shù)和熱點(diǎn)話題分散注意力時(shí)，職業(yè)生涯往往會脫軌，商業(yè)咨詢公司安永的全球和亞太地區(qū)網(wǎng)絡(luò)安全咨詢負(fù)責(zé)人 Richard Watson 說。結(jié)果是獲得了大量技術(shù)，增加了不必要的復(fù)雜性和不必要的分心。 

復(fù)雜性帶來的挑戰(zhàn)在于，它在網(wǎng)絡(luò)預(yù)算日益受到審查的同時(shí)增加了成本，并可能使組織的網(wǎng)絡(luò)防御變得更弱。“與所有技術(shù)集成一樣，漏洞可能會出現(xiàn)，正是通過這些漏洞，攻擊者可以獲得優(yōu)勢。”Watson 指出。 

更糟糕的是，復(fù)雜性會導(dǎo)致一種虛假的安全感，組織會覺得有最新的技術(shù)創(chuàng)新在保護(hù)他們。Watson 報(bào)告稱，安永最近對全球 500 家領(lǐng)先組織進(jìn)行了一項(xiàng)研究，發(fā)現(xiàn)頂級安全表現(xiàn)者正在接受簡化，并朝著單一集成平臺方法邁進(jìn)。 

3. 缺乏 GRC（治理、風(fēng)險(xiǎn)管理和合規(guī)性） 

部署網(wǎng)絡(luò)安全堆棧而不包括正式的治理、風(fēng)險(xiǎn)管理和合規(guī)性 (GRC) 計(jì)劃，可能輕易顛覆職業(yè)生涯。 

“這個(gè)錯(cuò)誤可能是毀滅性的，因?yàn)樗鼤绊憳I(yè)務(wù)的許多方面。”無線網(wǎng)絡(luò)服務(wù)公司 Velaspan 的 CISO Scott Hawk 說。如果沒有穩(wěn)固的 GRC 計(jì)劃，安全負(fù)責(zé)人更有可能在技術(shù)上過度支出，產(chǎn)生虛假的安全感，錯(cuò)過其安全姿態(tài)的關(guān)鍵組成部分，并與業(yè)務(wù)的其他部分產(chǎn)生不一致。 

GRC 框架確保風(fēng)險(xiǎn)管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中。“GRC 將圍繞網(wǎng)絡(luò)安全創(chuàng)建一場全企業(yè)的對話，有助于設(shè)定優(yōu)先級并推動采納?！?Hawk 說，GRC 努力使網(wǎng)絡(luò)安全成為業(yè)務(wù)的推動者。 

4. 未能將網(wǎng)絡(luò)安全與企業(yè)目標(biāo)對齊 

安全專家犯下的最大錯(cuò)誤不是技術(shù)錯(cuò)誤、誤算，甚至不是未能預(yù)見潛在威脅，網(wǎng)絡(luò)安全平臺提供商 Axio 的高級網(wǎng)絡(luò)安全顧問 Richard Caralli 說。“最大的錯(cuò)誤是未能在其組織背景下理解和框架網(wǎng)絡(luò)安全計(jì)劃。”這也是一種潛在的職業(yè)殺手。 

網(wǎng)絡(luò)安全的存在及其執(zhí)行應(yīng)在企業(yè)使命、目標(biāo)和宗旨的背景下進(jìn)行?！氨Ｗo(hù)對企業(yè)生存最重要的東西應(yīng)該驅(qū)動網(wǎng)絡(luò)安全的優(yōu)先級和投資?！盋aralli 說。 

他補(bǔ)充道，制定和執(zhí)行一個(gè)優(yōu)先考慮企業(yè)重視的關(guān)鍵成功因素的網(wǎng)絡(luò)安全計(jì)劃的能力完全掌握在網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者手中。“未能將網(wǎng)絡(luò)安全工作與企業(yè)價(jià)值對齊，會導(dǎo)致投資錯(cuò)配、資源利用不當(dāng)和總體上較差的網(wǎng)絡(luò)安全結(jié)果。”他說。 

5. 低估訪問控制的重要性

 許多安全領(lǐng)導(dǎo)者花時(shí)間擔(dān)心系統(tǒng)后門，而沒有認(rèn)識到訪問權(quán)限帶來的威脅，身份、安全和治理技術(shù)提供商 Zilla Security 的聯(lián)合創(chuàng)始人 Nitin Sonawane 警告說?！吧矸菔窍到y(tǒng)的前門，”他指出，“忽視不安全和配置錯(cuò)誤的身份是一個(gè)大錯(cuò)誤。” 

企業(yè)往往未能充分管理前員工和合同工的訪問權(quán)限，導(dǎo)致孤兒賬戶可能被威脅行為者利用。同時(shí)，現(xiàn)有員工在公司任職期間隨著承擔(dān)新職責(zé)，通常會積累對敏感系統(tǒng)和數(shù)據(jù)的訪問權(quán)限。“過度特權(quán)的身份在發(fā)生漏洞時(shí)會帶來更大的風(fēng)險(xiǎn)。”Sonawane 警告說。 

Sonawane 認(rèn)為，管理身份的最有效方法是使用 AI。如今大多數(shù)企業(yè)都維護(hù) HR 應(yīng)用程序，如 Workday、Paylocity 或 BambooHR，它們作為每個(gè)用戶業(yè)務(wù)資料的真實(shí)來源。當(dāng)發(fā)生調(diào)動時(shí)，企業(yè)通常期望用戶的新主管決定用戶應(yīng)保留哪些權(quán)限?！靶轮鞴芫哂凶龀鲞@些決策的業(yè)務(wù)背景，而 AI 可以幫助他們確定需要哪些訪問權(quán)限以及哪些超出了其業(yè)務(wù)職能的范圍。” 

6. 忽視人為因素 

安全領(lǐng)導(dǎo)者犯的最大錯(cuò)誤是完全專注于技術(shù)解決方案和流程，IT 咨詢公司 Presidio 的現(xiàn)場 CISO Dan Lohrmann 說。他警告說，最大的漏洞來自人員方面?！暗凸狸P(guān)系的安全專家會失敗?！?nbsp;

Lohrmann 說，員工試圖繞過控制并規(guī)避既定政策和程序的傾向可能導(dǎo)致一系列內(nèi)部威脅?！斑@為那些試圖造成傷害或盜竊的人打開了大門，并且可以像勒索軟件攻擊或其他數(shù)據(jù)泄露一樣造成聲譽(yù)和品牌損害?！彼f。 

Lohrmann 指出，員工和其他授權(quán)人員可以很狡猾?！拔乙娺^有人通過延遲行動、拖延時(shí)間、公開在團(tuán)隊(duì)中制造分歧、反對領(lǐng)導(dǎo)或既定的組織目標(biāo)、冒不必要的風(fēng)險(xiǎn)，或因無能或未經(jīng)培訓(xùn)而破壞優(yōu)秀的網(wǎng)絡(luò)安全項(xiàng)目?！彼忉屨f。 

人員也可能隨時(shí)間發(fā)生變化?！耙恍┰?jīng)是出色專業(yè)人士的員工，現(xiàn)在因疲勞或注意力不集中而失去了專注，因?yàn)樗麄冊谧黾媛毣蛴衅渌中氖挛?，”Lohrmann 說。流氓或粗心的用戶和/或合同工也可能造成混亂。 

更好的招聘實(shí)踐，包括徹底的背景調(diào)查，可以大大提高內(nèi)部安全性，Lohrmann 說?！白⒁馄谯E象也很重要?！?nbsp;

7. 讓遺棄的數(shù)據(jù)保留 

云存儲中的陳舊數(shù)據(jù)可能被隱藏和遺忘，但它可能在沒有警告的情況下回來破壞 CSO 的職業(yè)生涯。“遺留陳舊數(shù)據(jù)會帶來重大危險(xiǎn)，從安全漏洞到合規(guī)問題，而且這是一個(gè)重要的錯(cuò)誤，因?yàn)樗侨绱丝深A(yù)防?！睌?shù)據(jù)安全軟件提供商 Metomic 的 CEO Rich Vibert 說。 

未授權(quán)訪問是首要問題，Vibert 表示：“如果訪問控制沒有得到精細(xì)的維護(hù)和更新，舊文件中包含的敏感信息很容易落入不法之徒手中。” 當(dāng)前員工或外部合作者繼續(xù)擁有文件訪問權(quán)限時(shí)，風(fēng)險(xiǎn)會升級。 

Vibert 說，當(dāng)攻擊者捕獲遺棄文件時(shí)，數(shù)據(jù)泄露的可能性增加，包括個(gè)人信息、財(cái)務(wù)記錄或機(jī)密商業(yè)數(shù)據(jù)。“這些被遺忘或未管理的數(shù)據(jù)片段通常缺乏強(qiáng)有力的保護(hù)，使其成為有吸引力的目標(biāo)?！贝送猓惻f數(shù)據(jù)可以為網(wǎng)絡(luò)犯罪分子提供有價(jià)值的歷史信息，使他們能夠編寫更具說服力的網(wǎng)絡(luò)釣魚郵件或社會工程攻擊，從而增加成功入侵的可能性。 

8. 不與業(yè)務(wù)部門建立聯(lián)系 

與非技術(shù)利益相關(guān)者的無效溝通可能導(dǎo)致誤解和混亂，播下不信任的種子，缺乏對安全計(jì)劃的支持，以及在尋求安全預(yù)算批準(zhǔn)時(shí)遇到更多挑戰(zhàn)，全球技術(shù)研究和咨詢公司 ISG 的 Ventana Research 數(shù)字技術(shù)研究主任 Jeff Orr 說。 

Orr 建議使用商業(yè)術(shù)語來傳達(dá)關(guān)鍵的安全問題及其對業(yè)務(wù)目標(biāo)的影響。“提供示例以幫助將安全概念與業(yè)務(wù)活動聯(lián)系起來，”他建議 CSO 也應(yīng)澄清安全報(bào)告?！皩彶榘踩珱Q策如何與業(yè)務(wù)影響相關(guān)?！?nbsp;

9. 自滿 

最大的職業(yè)致命錯(cuò)誤是相信一切都在控制之中。這類領(lǐng)導(dǎo)者把信任寄托在安全項(xiàng)目和日程表上，安全技術(shù)提供商 Radware 的 CISO Howard Taylor 說。“他們信任他們的一系列行業(yè)認(rèn)證可以保護(hù)他們的業(yè)務(wù)免受網(wǎng)絡(luò)惡棍的侵害?！?nbsp;

企業(yè)在遭受歷史性支付交易數(shù)據(jù)泄露后，最后的話是：“我們剛通過了 PCI DSS 認(rèn)證?！?/p>