扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET至顶网CIO与应用频道 06月14日 专栏:Gartner分析师Jay Heiser认为,企业信息安全目前存在着很多“误解”和“夸张化”问题,特别是对于企业面临的威胁以及用来保护企业重要数据资产的技术。这些错误的假设形成了一些安全误区,以下为十个典型的IT安全误区:
1、“这不会发生在我身上”
问题:企业习惯于认为媒体对风险过度炒作,以及让员工“为所欲为”来避免费用和责任。
对策:让企业责任直面安全相关的请求;活用安全分类框架
2、“信息安全预算占IT支出的10%”
问题:想当然--- Gartner研究显示预算更像是5%。
对策:获取一些真实的数据
3、“安全风险可以被量化”
问题:认为如果可以在Excel表中证明,就可以得到安全预算,这是“以数字为导向文化”的常见错误,其中认为“谁拥有最大的数字,谁就赢了”。
对策:试图对风险进行非数值式表达,并设法确保业务部门承担其IT相关的风险
4、“我们确保了物理安全(或者SSL),所以我们的数据是安全的”
问题:对风险认识不足
对策:确保安全采购匹配数据要求
5、“密码过期和复杂性降低了风险”
问题:惯性。Heiser补充说:“我们知道密码经常漏洞百出,但破解并不是主要的模式,密码并不是被破解,而是被捕获了。”
对策:加强密码保护
6、“将首席信息安全官放在IT外部能够确保更好的安全性”
问题:推卸责任。Heiser补充说,这是“让我们重新部署组织结构来解决文化问题”的把戏
对策:分析安全项目中问题的根本问题
7、“坚持认为所有安全做法的问题都是首席信息安全官的问题”
问题:推卸责任。业务部门希望将安全风险成为别人的问题,首席信息安全官应该承担所有责任,即使他们不觉得首席信息安全官应该能够告诉他们该怎么做。
对策:建立一个信息安全程序
8、“购买这个工具<某个工具>,它会解决所有的问题”
问题:试图寻找神奇的解决方案来解决所有疑难问题
对策:风险分析和优先级排序,制定多年的安全计划
9、“我们部署好政策,就可以不用管了”
问题:想当然
对策:建立管理责任,并认真选择你的战场
10、“加密是保护敏感文件安全性的最佳方式”
问题:加密技术很强大,当企业对某个技术有着“天真”的期望时,可能导致弊大于利;有时候,企业试图寻找神奇的解决方案来解决疑难问题。
对策:在你做决策之前,确保你对加密技术有着丰富的经验
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者