Posted on 2018年10月24日 By Security-360.Cn 管理员
当我们谈论网络安全意识时,重点几乎总是关注员工及其运营。虽然具有安全意识的员工是必不可少的,并且始终是公司网络安全防御的第一线,但不知情的高级管理人员可能会导致灾难性的后果。
尽管如此,关于网络安全的常见误解仍然存在,并且解决为什么这些观点可能被误导至关重要。虽然这些规则中有一些例外,但重要的是要建立一个强大的安全现实基础,以使整个组织与所有操作和应用程序保持在同一页面上。
6种常见的关于安全性的误解
在与许多首席执行官和IT决策者交谈时,我发现投资管理人员的安全性越高,企业的态度就越强,食物链上下的摩擦就越少。考虑到这一点,让我们仔细看看可能让商界领袖回归的六个流行神话。
1.外包安全太昂贵
随着云和软件即服务(SaaS)选项范围的扩大和成本的降低,将部分IT资源转移到异地,可以实现极具成本效益并提高运营效率。例如,安全即服务(SECaaS)市场正在显着增长。
云采用仍然存在一系列困难。据Softchoice称,96%的IT领导者表示他们的团队缺乏处理云中安全挑战所需的专业知识。外包这种应用程序管理最终可以为公司节省大量的实施和解决问题的工作时间。
2.补丁和更新都受到控制
您的首席执行官,首席信息安全官(CISO)或其他高管是否真的相信您公司的所有应用程序,工作站和设备都是最新的?不要忘记所有这些防火墙,设备,路由器,服务器,当然还有物联网(IoT)设备。
今天的网络拥有大量的连接资源,并且对它们进行修补和更新是一项艰巨的任务,尤其是当您考虑到负责更新自己设备的所有个别端点用户时。在这里没有自满,因此在日常安全操作中定期进行软件修补和审核对于主动防御策略至关重要。
3.传统的网络安全意识计划足够好
是否曾进行过网络安全意识培训?威胁和防御一直在变化。每年(甚至更少)培训您的员工并不会在这个不断发展的技术环境中削减它。具有安全意识的员工的公司往往拥有最好的防御能力并非巧合。
贵公司是否培训用户如何应对社会工程***?您的员工是否完全投资于保护您的网络?考虑诸如***测试和游戏化等策略,以使您的安全培训更具吸引力。
4.威胁演员是无与伦比的
在某些情况下,这可能是真的; 但通常情况下,***不会受到强大技能的支持。好莱坞可能将威胁演员描绘成纵容天才,但任何有互联网接入的人都可以下载预制的***工具,这种工具可以对未采取基本安全预防措施的组织造成严重损害。
威胁演员非常机会主义,几乎总是***易受***的目标。如果您的公司专注于主动降低风险,那么潜在的***者很有可能会认为针对您的网络不值得投入或冒险。可以这样想:如果你的房子是附近唯一有灯的人,窃贼可能会搬到一个无人看守的家。
5.合规性等于安全性
遵守政府和行业法规对于开展业务和建立信任至关重要,但法规只规定了最低限度。仅仅因为你的合规并不意味着你是安全的。
如果您受到***,您的合规性将大大有助于减少公众视线或法庭上的损害,以及您的利益相关者,供应商和消费者所承担的风险。但有效安全的关键不仅在于合法保护自己。在全面保护企业方面,强大的,经过良好排练的事件响应计划是不可替代的。
我们在安全方面已经花了很多钱
高级管理层必须改变其认为安全仅仅代表资产负债表上的费用的看法。管理人员必须意识到不保护其基础设施的财务后果。
我理解不愿意花更多钱在安全上。我去过那里:当你负责安全预算时,你总是想知道你是否花费太多,特别是考虑到有多少人对这些费用的效力持怀疑态度。
这里要提出的论点不是你在安全方面花费太多或太少 – 而是关于你如何花钱。有了这么多兼容的安全选项,明智地在安全预算上花费比以往更容易。也就是说,拔除杂草并确定最重要的产品和服务总是很棘手。务必根据业务需求和目标权衡您的选择,并尽可能地寻求跨多种解决方案的集成兼容性。
网络安全意识始于顶端
作为私营和公共部门的前安全分析师,我经常被要求在安全相关决策中充当高管和IT部门之间的缓冲。在这个角色中,我发现公司层次结构中存在断开的频率。从上到下清除这些误解可以大大有助于安全领导者发展更完整的安全文化和更强大,更具弹性的整体企业。