首席信息安全官（CISO）和其他IT安全高管通常都在努力保護(hù)企業(yè)安全——以及自己的職業(yè)生涯。但一個(gè)小小的疏忽、錯(cuò)誤假設(shè)或不當(dāng)建議，就可能讓所有努力瞬間付諸東流。

如果你希望保住職位，請(qǐng)務(wù)必避免以下九種行為。

1. 高估自身能力

過(guò)度自信可能導(dǎo)致職業(yè)生涯嚴(yán)重受挫，特別是當(dāng)這種自信促使你采用那些可能流行但未經(jīng)實(shí)踐檢驗(yàn)的（安全）解決方案時(shí)。安全軟件供應(yīng)商Xypro Technology Corporation的CISO Steve Tcherchian進(jìn)一步闡述："這類(lèi)'方法'會(huì)制造安全漏洞，增加人為失誤風(fēng)險(xiǎn)，并給利益相關(guān)者帶來(lái)虛假的安全感——直到最終發(fā)生災(zāi)難性安全事件。"

Xypro的CISO還警告，過(guò)度自信也可能導(dǎo)致IT安全決策者及其團(tuán)隊(duì)陷入自滿(mǎn)："當(dāng)個(gè)人或企業(yè)認(rèn)為已經(jīng)建立了足夠的安全流程時(shí)，他們的警惕性就會(huì)降低，防護(hù)措施逐漸過(guò)時(shí)——面對(duì)新威脅的脆弱性也隨之增加。"

2. 制造復(fù)雜系統(tǒng)

那些被技術(shù)趨勢(shì)或炒作吸引，而非專(zhuān)注于角色核心任務(wù)的CISO，同樣可能面臨職業(yè)危機(jī)。企業(yè)咨詢(xún)公司EY的全球網(wǎng)絡(luò)安全咨詢(xún)負(fù)責(zé)人Richard Watson描述了這種做法的后果："結(jié)果就是采購(gòu)了大量引入不必要復(fù)雜性并分散注意力的技術(shù)。這種復(fù)雜性會(huì)在集成過(guò)程中產(chǎn)生額外成本，同時(shí)暴露出新的安全漏洞，可能被攻擊者利用。"

EY首席顧問(wèn)補(bǔ)充說(shuō)，更糟糕的是，復(fù)雜性也可能傳遞虛假的安全感——畢竟企業(yè)會(huì)認(rèn)為采用最新技術(shù)能提供更高程度的保護(hù)。

3. 忽視GRC管理

另一個(gè)可能斷送安全職業(yè)生涯的做法是：在沒(méi)有正式GRC（治理、風(fēng)險(xiǎn)與合規(guī)）計(jì)劃的情況下構(gòu)建網(wǎng)絡(luò)安全架構(gòu)。網(wǎng)絡(luò)服務(wù)提供商Velaspan的CISO Scott Hawk詳細(xì)解釋了原因："這個(gè)錯(cuò)誤可能造成毀滅性影響，因?yàn)樗婕捌髽I(yè)的多個(gè)方面。沒(méi)有健全的GRC計(jì)劃，就更可能發(fā)生技術(shù)支出過(guò)高、產(chǎn)生虛假安全感、忽視關(guān)鍵安全組件以及無(wú)法與其他業(yè)務(wù)部門(mén)協(xié)調(diào)等問(wèn)題。"

Hawk建議采用COBIT等GRC框架作為解決方案，確保風(fēng)險(xiǎn)管理、合規(guī)要求和治理融入企業(yè)整體戰(zhàn)略："GRC將使網(wǎng)絡(luò)安全成為全企業(yè)的討論話(huà)題，有助于確定優(yōu)先級(jí)并獲得認(rèn)可。通過(guò)GRC，網(wǎng)絡(luò)安全將成為業(yè)務(wù)推動(dòng)力。"

4. 偏離業(yè)務(wù)目標(biāo)

安全專(zhuān)業(yè)人士可能犯的最大錯(cuò)誤既非技術(shù)性也非財(cái)務(wù)性。平臺(tái)提供商Axio的高級(jí)網(wǎng)絡(luò)安全顧問(wèn)Richard Caralli認(rèn)為，對(duì)CISO職業(yè)生涯最具破壞性的甚至不是未能識(shí)別潛在威脅："最大的錯(cuò)誤是沒(méi)有在組織整體背景下規(guī)劃和實(shí)施網(wǎng)絡(luò)安全計(jì)劃。保護(hù)對(duì)企業(yè)生存至關(guān)重要的資產(chǎn)，應(yīng)該決定網(wǎng)絡(luò)安全的優(yōu)先事項(xiàng)和投資方向。"

Caralli強(qiáng)調(diào)，CISO的職責(zé)無(wú)疑包括制定符合企業(yè)目標(biāo)和價(jià)值觀的網(wǎng)絡(luò)安全計(jì)劃。如果缺乏這種一致性，他預(yù)測(cè)將產(chǎn)生不良后果："可能導(dǎo)致投資方向錯(cuò)誤、資源利用不足以及整體網(wǎng)絡(luò)安全效果不佳。"

5. 輕視訪(fǎng)問(wèn)控制

網(wǎng)絡(luò)安全決策者也存在"只見(jiàn)樹(shù)木不見(jiàn)森林"的情況。例如，當(dāng)CISO花費(fèi)大量時(shí)間考慮系統(tǒng)中的后門(mén)問(wèn)題時(shí)，卻忽視了訪(fǎng)問(wèn)控制這個(gè)主題。身份安全專(zhuān)家Zilla Security聯(lián)合創(chuàng)始人Nitin Sonawane警告："數(shù)字身份是系統(tǒng)的主要入口。如果保護(hù)不足或配置錯(cuò)誤，后果可能很?chē)?yán)重——特別是過(guò)度授權(quán)的身份在遭受攻擊時(shí)風(fēng)險(xiǎn)更高。"

這位安全專(zhuān)家指出，企業(yè)經(jīng)常未能妥善管理離職員工和合作伙伴的訪(fǎng)問(wèn)權(quán)限，導(dǎo)致遺留賬戶(hù)可能被威脅行為者利用。Sonawane確信，人工智能是最有效的身份管理方式："大多數(shù)企業(yè)現(xiàn)在都使用HR應(yīng)用程序作為每個(gè)用戶(hù)業(yè)務(wù)檔案的真實(shí)來(lái)源。當(dāng)發(fā)生人事變動(dòng)時(shí)，通常由用戶(hù)的新主管根據(jù)業(yè)務(wù)背景決定其所需權(quán)限。AI可以輔助這一過(guò)程。"

6. 忽視人為因素

眾所周知，IT安全決策者如果只關(guān)注技術(shù)解決方案和流程（包括職業(yè)發(fā)展方面）將難有建樹(shù)。IT咨詢(xún)公司Presidio的現(xiàn)場(chǎng)CISO Dan Lohrmann甚至認(rèn)為這是可能犯的最大錯(cuò)誤："人始終是最大的安全弱點(diǎn)。低估或忽視這一事實(shí)的安全專(zhuān)家注定會(huì)失敗。"

Lohrmann表示，員工規(guī)避控制措施、既定政策和流程的傾向可能導(dǎo)致一系列內(nèi)部威脅，他在這方面有豐富經(jīng)驗(yàn)："我見(jiàn)過(guò)員工通過(guò)不作為、制造團(tuán)隊(duì)內(nèi)部矛盾或承擔(dān)不必要風(fēng)險(xiǎn)等方式破壞優(yōu)秀的網(wǎng)絡(luò)安全計(jì)劃。需要記住的是，人也會(huì)隨時(shí)間改變：一些曾經(jīng)優(yōu)秀的員工可能因職業(yè)倦怠或生活困境而失去專(zhuān)注力，這可能造成與未經(jīng)培訓(xùn)或惡意用戶(hù)同樣大的損害。"

作為補(bǔ)救措施，這位現(xiàn)場(chǎng)CISO建議首先優(yōu)化招聘流程，包括對(duì)新員工進(jìn)行詳盡的背景調(diào)查。他認(rèn)為這能顯著提升內(nèi)部安全水平。Lohrmann補(bǔ)充說(shuō)："識(shí)別潛在職業(yè)倦怠跡象的能力同樣重要。"

7. 積壓陳舊數(shù)據(jù)

在云存儲(chǔ)中"發(fā)霉"的過(guò)時(shí)數(shù)據(jù)集可能不太顯眼，因此容易被遺忘——但它們隨時(shí)可能成為CISO職業(yè)生涯的"殺手"。

數(shù)據(jù)安全提供商Metomic CEO Rich Vibert指出問(wèn)題所在："這些數(shù)據(jù)存在從安全漏洞到合規(guī)問(wèn)題的重大風(fēng)險(xiǎn)。允許這種情況發(fā)生是特別愚蠢的錯(cuò)誤，因?yàn)樗耆梢员苊?。過(guò)時(shí)數(shù)據(jù)可能包含敏感信息，如果落入壞人之手而訪(fǎng)問(wèn)控制又不嚴(yán)格，將非常危險(xiǎn)。"

Vibert還表示，陳舊數(shù)據(jù)可能為網(wǎng)絡(luò)犯罪分子提供有價(jià)值的歷史信息，用于更有針對(duì)性的社會(huì)工程攻擊。

8. 固守信息孤島

如果與非技術(shù)領(lǐng)域的利益相關(guān)者缺乏有效溝通，不僅可能引發(fā)誤解、不信任和混亂：受影響的CISO在爭(zhēng)取安全預(yù)算時(shí)也會(huì)更加困難。

Ventana Research總監(jiān)Jeff Orr建議IT安全決策者在解釋關(guān)鍵安全問(wèn)題和業(yè)務(wù)影響時(shí)使用商業(yè)術(shù)語(yǔ)："提供將安全概念與業(yè)務(wù)活動(dòng)聯(lián)系起來(lái)的實(shí)例——并在報(bào)告過(guò)程中確保清晰度。"

9. 盲目自滿(mǎn)

最具CISO職業(yè)生涯"殺傷力"的錯(cuò)誤是認(rèn)為一切盡在掌控。安全提供商Radware的CISO Howard Taylor見(jiàn)過(guò)屈服于這種假設(shè)的人——也知道他們的職業(yè)生涯通常如何收?qǐng)觯?這類(lèi)領(lǐng)導(dǎo)者主要依賴(lài)大量認(rèn)證來(lái)防范網(wǎng)絡(luò)犯罪分子。當(dāng)企業(yè)遭遇大規(guī)模數(shù)據(jù)泄露后，他們最后的臺(tái)詞是'我們已獲得PCI DSS認(rèn)證'。"