逐一破解企业十大IT安全神话
Gartner安全与风险管理峰会上,Heiser根据这个主题发表了其“十大安全神话”的演讲:
Gartner安全与风险管理峰会上,Heiser根据这个主题发表了其“十大安全神话”的演讲:
十大安全神话一:“这种事情不会发生在我身上”
原因:习惯了对风险的大肆宣扬,让员工做任何他们想做的事来逃避损失和责任。
治疗:将企业的责任与安全挂钩;利用安全分类框架的帮助。
十大安全神话二:“信息安全预算占整个IT支持的10%呢”
原因:一厢情愿地想,Gartner研究显示预算数字更接近5%呢。
治疗:获得一些真实的数据。
十大安全神话三:“安全风险是可以量化的”
原因:你可以在一个Excel电子表格中证明你有你的安全预算,在“数据导向的文化”中一个普遍存在的误解是“他的数字最大,他赢了”。
治疗:开发风险的非数字表达方式,并确保业务部门承担自己的IT风险责任。
十大安全神话四:“我们有物理安全体系(或SSL)因此数据是安全的”
原因:理想化,不了解风险。
治疗:确保安全购买匹配数据要求。
十大安全神话五:“复杂性的密码能降低风险”
原因:惰性。Heiser又补充说:“我们知道密码漏洞百出,但破解并不是主要的失效原因。密码不是被破解的,只是小试一下就被解开了。”
治疗:设多个密码。
十大安全神话六:“IT远离CISO自然会很安全”
原因:推卸责任。Heiser补充道:“这是我们通过一些改变组织的‘技巧’来解决文化问题的方式。”
治疗:针对安全程序中的弱点,分析问题的根源。
十大安全神话七:“安全实践问题是CISO的问题”
原因:推卸责任。业务希望安全风险是别人的问题,即使CISO承担所有的风险,他们也觉得CISO不应该能够告诉他们要做什么。
治疗:建立一个信息安全项目。
十大安全神话八:“购买这个工具就能解决所有的问题”
原因:寻找外部的魔法来解决难题,天真的想法。
治疗:进行系统风险分析,制定具有优先级的长期安全计划。
十大安全神话九:“制定合理的政策,并好好遵守”
原因:一厢情愿。
治疗:确定管理责任,仔细选择你的战场。
十大安全神话十:“加密是保护敏感文件安全的最好办法”
原因:加密技术正常工作时,效果很好。但对一项困难的技术抱有天真的期望时,往往弊大于利。有时就像用“寻找圣杯”或“魔术子弹”来解决监管问题。
治疗:在做决定之前,确保自己有扎实的密码技术经验。
十大安全神话一:“这种事情不会发生在我身上”
原因:习惯了对风险的大肆宣扬,让员工做任何他们想做的事来逃避损失和责任。
治疗:将企业的责任与安全挂钩;利用安全分类框架的帮助。
十大安全神话二:“信息安全预算占整个IT支持的10%呢”
原因:一厢情愿地想,Gartner研究显示预算数字更接近5%呢。
治疗:获得一些真实的数据。
十大安全神话三:“安全风险是可以量化的”
原因:你可以在一个Excel电子表格中证明你有你的安全预算,在“数据导向的文化”中一个普遍存在的误解是“他的数字最大,他赢了”。
治疗:开发风险的非数字表达方式,并确保业务部门承担自己的IT风险责任。
十大安全神话四:“我们有物理安全体系(或SSL)因此数据是安全的”
原因:理想化,不了解风险。
治疗:确保安全购买匹配数据要求。
十大安全神话五:“复杂性的密码能降低风险”
原因:惰性。Heiser又补充说:“我们知道密码漏洞百出,但破解并不是主要的失效原因。密码不是被破解的,只是小试一下就被解开了。”
治疗:设多个密码。
十大安全神话六:“IT远离CISO自然会很安全”
原因:推卸责任。Heiser补充道:“这是我们通过一些改变组织的‘技巧’来解决文化问题的方式。”
治疗:针对安全程序中的弱点,分析问题的根源。
十大安全神话七:“安全实践问题是CISO的问题”
原因:推卸责任。业务希望安全风险是别人的问题,即使CISO承担所有的风险,他们也觉得CISO不应该能够告诉他们要做什么。
治疗:建立一个信息安全项目。
十大安全神话八:“购买这个工具就能解决所有的问题”
原因:寻找外部的魔法来解决难题,天真的想法。
治疗:进行系统风险分析,制定具有优先级的长期安全计划。
十大安全神话九:“制定合理的政策,并好好遵守”
原因:一厢情愿。
治疗:确定管理责任,仔细选择你的战场。
十大安全神话十:“加密是保护敏感文件安全的最好办法”
原因:加密技术正常工作时,效果很好。但对一项困难的技术抱有天真的期望时,往往弊大于利。有时就像用“寻找圣杯”或“魔术子弹”来解决监管问题。
治疗:在做决定之前,确保自己有扎实的密码技术经验。
关于作者
评论0次