十大IT安全误区与分析

    根据Gartner分析师Jay Heiser表示，当涉及信息安全时，存在很多“误解”和“夸张化”，特别是对于企业面临的威胁以及用来保护企业重要数据资产的技术。

    这些错误的假设形成了安全误区，让我们来看看这十个安全误区：

    误区 1：“这不会发生在我身上”

    问题：企业习惯于认为媒体对风险过度炒作，以及让员工“为所欲为”来避免费用和责任。

    对策：让企业责任直面安全相关的请求；利用安全分类框架

    误区2：“信息安全预算占IT支出的10%”

    问题：想当然--- Gartner研究显示预算更像是5%。

    对策：获取一些真实的数据

    误区3：“安全风险可以被量化”

    问题：认为如果可以在Excel表中证明，就可以得到安全预算，这是“以数字为导向文化”的常见错误，其中认为“谁拥有最大的数字，谁就赢了”。

    对策：试图对风险进行非数值式表达，并设法确保业务部门承担其IT相关的风险

    误区4：“我们确保了物理安全（或者SSL），所以我们的数据是安全的”

    问题：对风险认识不足

    对策：确保安全采购匹配数据要求

    误区5：“密码过期和复杂性降低了风险”

    问题：惯性。Heiser补充说：“我们知道密码经常漏洞百出，但破解并不是主要的模式，密码并不是被破解，而是被捕获了。”

    对策：加强密码保护

[page]    误区6：“将首席信息安全官放在IT外部能够确保更好的安全性”

    问题：推卸责任。Heiser补充说，这是“让我们重新部署组织结构来解决文化问题”的把戏

    对策：分析安全项目中问题的根本问题

    误区七：“坚持认为所有安全做法的问题都是首席信息安全官的问题”

    问题：推卸责任。业务部门希望将安全风险成为别人的问题，首席信息安全官应该承担所有责任，即使他们不觉得首席信息安全官应该能够告诉他们该怎么做。

    对策：建立一个信息安全程序

    误区8：“购买这个工具<某个工具>，它会解决所有的问题”

    问题：试图寻找神奇的解决方案来解决所有疑难问题

    对策：风险分析和优先级排序，制定多年的安全计划

    误区9：“我们部署好政策，就可以不用管了”

    问题：想当然

    对策：建立管理责任，并认真选择你的战场

    误区10：“加密是保护敏感文件安全性的最佳方式”

    问题：加密技术很强大，当企业对某个技术有着“天真”的期望时，可能导致弊大于利；有时候，企业试图寻找神奇的解决方案来解决疑难问题。

    对策：在你做决策之前，确保你对加密技术有着丰富的经验

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!