逐一破解企业十大IT安全神话

TechTarget中国 发表于:13年06月25日 10:51 [转载] TT中国

  • 分享:
[导读]即使IT人员的安全技术运用已经很熟练,有时思想上的稍微一点松懈就有可能掉入IT安全神话的陷阱,导致企业安全问题。

每家企业都逃不脱安全风险的威胁,确保企业安全也就成了IT人员的首要工作。即使IT人员的安全技术运用已经很熟练,有时思想上的稍微一点松懈就有可能导致企业安全问题。

国外媒体网站Infoworld将这些让企业陷入风险的原因归结为“十个安全神话”。据Gartner分析师Jay Heiser表示,当谈到信息安全时,人们对企业所面临的威胁以及用来保护自己重要数据资产的技术有很多“误解”和“夸大”。

这些错误的假设都归因于受到广泛信奉的“安全神话”。“安全神话”的信奉者包括正在试图防止数据丢失的员工以及将违规和其他事故的责任推卸给首席信息安全人员(CISO)的业务经理。

Gartner安全与风险管理峰会上,Heiser根据这个主题发表了其“十大安全神话”的演讲:

十大安全神话一:“这种事情不会发生在我身上”

原因:习惯了对风险的大肆宣扬,让员工做任何他们想做的事来逃避损失和责任。

治疗:将企业的责任与安全挂钩;利用安全分类框架的帮助。

十大安全神话二:“信息安全预算占整个IT支持的10%呢”

原因:一厢情愿地想,Gartner研究显示预算数字更接近5%呢。

治疗:获得一些真实的数据。

十大安全神话三:“安全风险是可以量化的”

原因:你可以在一个Excel电子表格中证明你有你的安全预算,在“数据导向的文化”中一个普遍存在的误解是“他的数字最大,他赢了”。

治疗:开发风险的非数字表达方式,并确保业务部门承担自己的IT风险责任。

十大安全神话四:“我们有物理安全体系(或SSL)因此数据是安全的”

原因:理想化,不了解风险。

治疗:确保安全购买匹配数据要求。

十大安全神话五:“复杂性的密码能降低风险”

原因:惰性。Heiser又补充说:“我们知道密码漏洞百出,但破解并不是主要的失效原因。密码不是被破解的,只是小试一下就被解开了。”

治疗:设多个密码。

十大安全神话六:“IT远离CISO自然会很安全”

原因:推卸责任。Heiser补充道:“这是我们通过一些改变组织的‘技巧’来解决文化问题的方式。”

治疗:针对安全程序中的弱点,分析问题的根源。

十大安全神话七:“安全实践问题是CISO的问题”

原因:推卸责任。业务希望安全风险是别人的问题,即使CISO承担所有的风险,他们也觉得CISO不应该能够告诉他们要做什么。

治疗:建立一个信息安全项目。

十大安全神话八:“购买这个工具就能解决所有的问题”

原因:寻找外部的魔法来解决难题,天真的想法。

治疗:进行系统风险分析,制定具有优先级的长期安全计划。

十大安全神话九:“制定合理的政策,并好好遵守”

原因:一厢情愿。

治疗:确定管理责任,仔细选择你的战场。

十大安全神话十:“加密是保护敏感文件安全的最好办法”

原因:加密技术正常工作时,效果很好。但对一项困难的技术抱有天真的期望时,往往弊大于利。有时就像用“寻找圣杯”或“魔术子弹”来解决监管问题。

治疗:在做决定之前,确保自己有扎实的密码技术经验。

最后,Heiser指出很多这些神话的产生仅仅是因为在不熟悉的状况下人们容易反应过度或同一组织中的人容易将责任推卸到别人身上。“这是官僚主义的风险管理,”Heiser指出。他说,“CISO没有理由干坐在那里,接受所有这些棘手的问题”,尤其是当员工对于消费者计算技术时。

[责任编辑:袁家驹]
福禄克网络公司于2013年6月18日宣布推出全新“威测”Versiv布线认证测试仪系列,用于帮助数据通讯安装人员更快、更准确且更能盈利地进行铜缆和光纤作业的系统验收。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.