你打算保住工作嗎?那就學(xué)習(xí)以下九個(gè)需要避免的危險(xiǎn)領(lǐng)域。
1. 過(guò)度自信
自大可能導(dǎo)致職業(yè)的早期毀滅,特別是在部署未經(jīng)驗(yàn)證但流行的安全解決方案時(shí)。
“這種方法會(huì)造成安全漏洞,增加人為錯(cuò)誤的風(fēng)險(xiǎn),并導(dǎo)致利益相關(guān)者產(chǎn)生虛假的安全感——直到發(fā)生重大事件,導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件。”網(wǎng)絡(luò)安全技術(shù)公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 說(shuō)。
過(guò)度自信還會(huì)導(dǎo)致安全懈怠。“當(dāng)個(gè)人或企業(yè)認(rèn)為他們當(dāng)前的安全流程已經(jīng)足夠時(shí),他們就不會(huì)保持警惕,可能會(huì)變得容易受到新威脅的攻擊。”Tcherchian 指出。因此,安全漏洞會(huì)被忽視,防御措施變得過(guò)時(shí)。
2. 推動(dòng)失控的復(fù)雜性
當(dāng)安全負(fù)責(zé)人失去對(duì)基本任務(wù)的關(guān)注,并被最新技術(shù)和熱點(diǎn)話題分散注意力時(shí),職業(yè)生涯往往會(huì)脫軌,商業(yè)咨詢公司安永的全球和亞太地區(qū)網(wǎng)絡(luò)安全咨詢負(fù)責(zé)人 Richard Watson 說(shuō)。結(jié)果是獲得了大量技術(shù),增加了不必要的復(fù)雜性和不必要的分心。
復(fù)雜性帶來(lái)的挑戰(zhàn)在于,它在網(wǎng)絡(luò)預(yù)算日益受到審查的同時(shí)增加了成本,并可能使組織的網(wǎng)絡(luò)防御變得更弱。“與所有技術(shù)集成一樣,漏洞可能會(huì)出現(xiàn),正是通過(guò)這些漏洞,攻擊者可以獲得優(yōu)勢(shì)。”Watson 指出。
更糟糕的是,復(fù)雜性會(huì)導(dǎo)致一種虛假的安全感,組織會(huì)覺(jué)得有最新的技術(shù)創(chuàng)新在保護(hù)他們。Watson 報(bào)告稱,安永最近對(duì)全球 500 家領(lǐng)先組織進(jìn)行了一項(xiàng)研究,發(fā)現(xiàn)頂級(jí)安全表現(xiàn)者正在接受簡(jiǎn)化,并朝著單一集成平臺(tái)方法邁進(jìn)。
3. 缺乏 GRC(治理、風(fēng)險(xiǎn)管理和合規(guī)性)
部署網(wǎng)絡(luò)安全堆棧而不包括正式的治理、風(fēng)險(xiǎn)管理和合規(guī)性 (GRC) 計(jì)劃,可能輕易顛覆職業(yè)生涯。
“這個(gè)錯(cuò)誤可能是毀滅性的,因?yàn)樗鼤?huì)影響業(yè)務(wù)的許多方面。”無(wú)線網(wǎng)絡(luò)服務(wù)公司 Velaspan 的 CISO Scott Hawk 說(shuō)。如果沒(méi)有穩(wěn)固的 GRC 計(jì)劃,安全負(fù)責(zé)人更有可能在技術(shù)上過(guò)度支出,產(chǎn)生虛假的安全感,錯(cuò)過(guò)其安全姿態(tài)的關(guān)鍵組成部分,并與業(yè)務(wù)的其他部分產(chǎn)生不一致。
GRC 框架確保風(fēng)險(xiǎn)管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中。“GRC 將圍繞網(wǎng)絡(luò)安全創(chuàng)建一場(chǎng)全企業(yè)的對(duì)話,有助于設(shè)定優(yōu)先級(jí)并推動(dòng)采納。” Hawk 說(shuō),GRC 努力使網(wǎng)絡(luò)安全成為業(yè)務(wù)的推動(dòng)者。
4. 未能將網(wǎng)絡(luò)安全與企業(yè)目標(biāo)對(duì)齊
安全專家犯下的最大錯(cuò)誤不是技術(shù)錯(cuò)誤、誤算,甚至不是未能預(yù)見(jiàn)潛在威脅,網(wǎng)絡(luò)安全平臺(tái)提供商 Axio 的高級(jí)網(wǎng)絡(luò)安全顧問(wèn) Richard Caralli 說(shuō)。“最大的錯(cuò)誤是未能在其組織背景下理解和框架網(wǎng)絡(luò)安全計(jì)劃。”這也是一種潛在的職業(yè)殺手。
網(wǎng)絡(luò)安全的存在及其執(zhí)行應(yīng)在企業(yè)使命、目標(biāo)和宗旨的背景下進(jìn)行。“保護(hù)對(duì)企業(yè)生存最重要的東西應(yīng)該驅(qū)動(dòng)網(wǎng)絡(luò)安全的優(yōu)先級(jí)和投資。”Caralli 說(shuō)。
他補(bǔ)充道,制定和執(zhí)行一個(gè)優(yōu)先考慮企業(yè)重視的關(guān)鍵成功因素的網(wǎng)絡(luò)安全計(jì)劃的能力完全掌握在網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者手中。“未能將網(wǎng)絡(luò)安全工作與企業(yè)價(jià)值對(duì)齊,會(huì)導(dǎo)致投資錯(cuò)配、資源利用不當(dāng)和總體上較差的網(wǎng)絡(luò)安全結(jié)果。”他說(shuō)。
5. 低估訪問(wèn)控制的重要性
許多安全領(lǐng)導(dǎo)者花時(shí)間擔(dān)心系統(tǒng)后門,而沒(méi)有認(rèn)識(shí)到訪問(wèn)權(quán)限帶來(lái)的威脅,身份、安全和治理技術(shù)提供商 Zilla Security 的聯(lián)合創(chuàng)始人 Nitin Sonawane 警告說(shuō)。“身份是系統(tǒng)的前門,”他指出,“忽視不安全和配置錯(cuò)誤的身份是一個(gè)大錯(cuò)誤。”
企業(yè)往往未能充分管理前員工和合同工的訪問(wèn)權(quán)限,導(dǎo)致孤兒賬戶可能被威脅行為者利用。同時(shí),現(xiàn)有員工在公司任職期間隨著承擔(dān)新職責(zé),通常會(huì)積累對(duì)敏感系統(tǒng)和數(shù)據(jù)的訪問(wèn)權(quán)限。“過(guò)度特權(quán)的身份在發(fā)生漏洞時(shí)會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。”Sonawane 警告說(shuō)。
Sonawane 認(rèn)為,管理身份的最有效方法是使用 AI。如今大多數(shù)企業(yè)都維護(hù) HR 應(yīng)用程序,如 Workday、Paylocity 或 BambooHR,它們作為每個(gè)用戶業(yè)務(wù)資料的真實(shí)來(lái)源。當(dāng)發(fā)生調(diào)動(dòng)時(shí),企業(yè)通常期望用戶的新主管決定用戶應(yīng)保留哪些權(quán)限。“新主管具有做出這些決策的業(yè)務(wù)背景,而 AI 可以幫助他們確定需要哪些訪問(wèn)權(quán)限以及哪些超出了其業(yè)務(wù)職能的范圍。”
6. 忽視人為因素
安全領(lǐng)導(dǎo)者犯的最大錯(cuò)誤是完全專注于技術(shù)解決方案和流程,IT 咨詢公司 Presidio 的現(xiàn)場(chǎng) CISO Dan Lohrmann 說(shuō)。他警告說(shuō),最大的漏洞來(lái)自人員方面。“低估關(guān)系的安全專家會(huì)失敗。”
Lohrmann 說(shuō),員工試圖繞過(guò)控制并規(guī)避既定政策和程序的傾向可能導(dǎo)致一系列內(nèi)部威脅。“這為那些試圖造成傷害或盜竊的人打開了大門,并且可以像勒索軟件攻擊或其他數(shù)據(jù)泄露一樣造成聲譽(yù)和品牌損害。”他說(shuō)。
Lohrmann 指出,員工和其他授權(quán)人員可以很狡猾。“我見(jiàn)過(guò)有人通過(guò)延遲行動(dòng)、拖延時(shí)間、公開在團(tuán)隊(duì)中制造分歧、反對(duì)領(lǐng)導(dǎo)或既定的組織目標(biāo)、冒不必要的風(fēng)險(xiǎn),或因無(wú)能或未經(jīng)培訓(xùn)而破壞優(yōu)秀的網(wǎng)絡(luò)安全項(xiàng)目。”他解釋說(shuō)。
人員也可能隨時(shí)間發(fā)生變化。“一些曾經(jīng)是出色專業(yè)人士的員工,現(xiàn)在因疲勞或注意力不集中而失去了專注,因?yàn)樗麄冊(cè)谧黾媛毣蛴衅渌中氖挛铮?rdquo;Lohrmann 說(shuō)。流氓或粗心的用戶和/或合同工也可能造成混亂。
更好的招聘實(shí)踐,包括徹底的背景調(diào)查,可以大大提高內(nèi)部安全性,Lohrmann 說(shuō)。“注意疲勞跡象也很重要。”
7. 讓遺棄的數(shù)據(jù)保留
云存儲(chǔ)中的陳舊數(shù)據(jù)可能被隱藏和遺忘,但它可能在沒(méi)有警告的情況下回來(lái)破壞 CSO 的職業(yè)生涯。“遺留陳舊數(shù)據(jù)會(huì)帶來(lái)重大危險(xiǎn),從安全漏洞到合規(guī)問(wèn)題,而且這是一個(gè)重要的錯(cuò)誤,因?yàn)樗侨绱丝深A(yù)防。”數(shù)據(jù)安全軟件提供商 Metomic 的 CEO Rich Vibert 說(shuō)。
未授權(quán)訪問(wèn)是首要問(wèn)題,Vibert 表示:“如果訪問(wèn)控制沒(méi)有得到精細(xì)的維護(hù)和更新,舊文件中包含的敏感信息很容易落入不法之徒手中。” 當(dāng)前員工或外部合作者繼續(xù)擁有文件訪問(wèn)權(quán)限時(shí),風(fēng)險(xiǎn)會(huì)升級(jí)。
Vibert 說(shuō),當(dāng)攻擊者捕獲遺棄文件時(shí),數(shù)據(jù)泄露的可能性增加,包括個(gè)人信息、財(cái)務(wù)記錄或機(jī)密商業(yè)數(shù)據(jù)。“這些被遺忘或未管理的數(shù)據(jù)片段通常缺乏強(qiáng)有力的保護(hù),使其成為有吸引力的目標(biāo)。”此外,陳舊數(shù)據(jù)可以為網(wǎng)絡(luò)犯罪分子提供有價(jià)值的歷史信息,使他們能夠編寫更具說(shuō)服力的網(wǎng)絡(luò)釣魚郵件或社會(huì)工程攻擊,從而增加成功入侵的可能性。
8. 不與業(yè)務(wù)部門建立聯(lián)系
與非技術(shù)利益相關(guān)者的無(wú)效溝通可能導(dǎo)致誤解和混亂,播下不信任的種子,缺乏對(duì)安全計(jì)劃的支持,以及在尋求安全預(yù)算批準(zhǔn)時(shí)遇到更多挑戰(zhàn),全球技術(shù)研究和咨詢公司 ISG 的 Ventana Research 數(shù)字技術(shù)研究主任 Jeff Orr 說(shuō)。
Orr 建議使用商業(yè)術(shù)語(yǔ)來(lái)傳達(dá)關(guān)鍵的安全問(wèn)題及其對(duì)業(yè)務(wù)目標(biāo)的影響。“提供示例以幫助將安全概念與業(yè)務(wù)活動(dòng)聯(lián)系起來(lái),”他建議 CSO 也應(yīng)澄清安全報(bào)告。“審查安全決策如何與業(yè)務(wù)影響相關(guān)。”
9. 自滿
最大的職業(yè)致命錯(cuò)誤是相信一切都在控制之中。這類領(lǐng)導(dǎo)者把信任寄托在安全項(xiàng)目和日程表上,安全技術(shù)提供商 Radware 的 CISO Howard Taylor 說(shuō)。“他們信任他們的一系列行業(yè)認(rèn)證可以保護(hù)他們的業(yè)務(wù)免受網(wǎng)絡(luò)惡棍的侵害。”
企業(yè)在遭受歷史性支付交易數(shù)據(jù)泄露后,最后的話是:“我們剛通過(guò)了 PCI DSS 認(rèn)證。”
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。