《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Gartner:可招致網(wǎng)絡(luò)攻擊的八種情況

Gartner:可招致網(wǎng)絡(luò)攻擊的八種情況

2021-11-30
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: Gartner 網(wǎng)絡(luò)攻擊

  許多業(yè)務(wù)領(lǐng)導(dǎo)人仍然認(rèn)為只要投入足夠的資金并聘請合適的人員運(yùn)用正確的技術(shù)知識使他們避免成為頭條新聞,就可以解決網(wǎng)絡(luò)安全問題。

事實(shí)上,使企業(yè)機(jī)構(gòu)暴露在網(wǎng)絡(luò)安全攻擊之下的往往是IT和非IT高管之間的系統(tǒng)性和文化問題,而不是技術(shù)能力或資金問題。

Gartner杰出研究副總裁Paul Proctor表示:“這些問題讓首席信息官和首席信息安全官開始重新思考如何讓非IT高管優(yōu)先考慮安全事項(xiàng)?!?nbsp;

您可以通過解決企業(yè)機(jī)構(gòu)內(nèi)部的這些主要失敗原因來減少網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

微信圖片_20211130091602.jpg

  1. 無形的系統(tǒng)性風(fēng)險(xiǎn)

  企業(yè)每天都會做出對其安全就緒性產(chǎn)生負(fù)面影響的決策:例如拒絕關(guān)閉服務(wù)器進(jìn)行適當(dāng)?shù)男扪a(bǔ)或選擇繼續(xù)使用舊的硬件和軟件以節(jié)省預(yù)算。這些未被報(bào)告的決策導(dǎo)致錯(cuò)誤的安全感并增加事件發(fā)生的可能性和嚴(yán)重性。行動:將系統(tǒng)性風(fēng)險(xiǎn)的識別、報(bào)告和討論作為日常安全治理的一部分。

 2. 文化脫節(jié)

非IT高管仍然認(rèn)為安全像空氣或水一樣“理應(yīng)存在”。也就是說,安全沒有被視為業(yè)務(wù)決策的一部分。例如,一個(gè)要求開發(fā)新應(yīng)用的企業(yè)領(lǐng)導(dǎo)人不可能將“安全就緒性”作為一項(xiàng)要求。行動:將網(wǎng)絡(luò)安全放到業(yè)務(wù)環(huán)境中,使高管們能夠看到他們的決策所帶來的影響。

3. 花錢買出路

您無法“花錢買出路”——無論您花多少錢,都無法完全保護(hù)自己免受網(wǎng)絡(luò)攻擊。試圖阻止每一個(gè)風(fēng)險(xiǎn)活動很可能會損害企業(yè)機(jī)構(gòu)的運(yùn)作能力。行動:避免在安全方面過度投資,否則會提高運(yùn)營成本,同時(shí)損害企業(yè)機(jī)構(gòu)實(shí)現(xiàn)業(yè)務(wù)成果的能力。

4. 將安全官視為“保護(hù)者”

 如果安全官被視為(并擔(dān)任)企業(yè)機(jī)構(gòu)的保護(hù)者,那么就會產(chǎn)生一種“拒絕”文化。例如他們可能會因?yàn)榘踩珕栴}而阻止一個(gè)關(guān)鍵應(yīng)用的發(fā)布,而不考慮該應(yīng)用所支持的業(yè)務(wù)成果。行動:將安全官的職能定位成平衡保護(hù)需求和業(yè)務(wù)經(jīng)營需求。

5. 不健全的問責(zé)制度

問責(zé)制度應(yīng)使接受風(fēng)險(xiǎn)的決策能夠保護(hù)關(guān)鍵的利益相關(guān)者。如果問責(zé)制度意味著一旦出了問題,有人就會被解雇,那么就沒有人會參與。行動:獎(jiǎng)勵(lì)能夠在保護(hù)需求和業(yè)務(wù)經(jīng)營需求之間實(shí)現(xiàn)最佳平衡的人員。

6. 糟糕的風(fēng)險(xiǎn)偏好聲明

企業(yè)機(jī)構(gòu)所創(chuàng)建的通用高級別風(fēng)險(xiǎn)偏好聲明不支持良好的決策。應(yīng)避免承諾只從事低風(fēng)險(xiǎn)的活動,否則可能造成無形的系統(tǒng)性風(fēng)險(xiǎn)。 行動:創(chuàng)建允許在規(guī)定參數(shù)內(nèi)接受風(fēng)險(xiǎn)的機(jī)制。

7. 不切實(shí)際的社會期望

當(dāng)發(fā)生成為新聞焦點(diǎn)的安全事件時(shí),社會只想看到“替罪羊”。雖然這并不公平,但這是幾十年來把安全問題當(dāng)作一個(gè)“黑匣子”的結(jié)果。沒有人了解它的真正運(yùn)作方式,因此當(dāng)事件發(fā)生時(shí),人們就會認(rèn)為一定是有人犯了錯(cuò)。但除非企業(yè)機(jī)構(gòu)和IT部門開始以不同的方式對待和談?wù)摪踩珕栴},否則社會就不會改變。 行動:呼吁平衡保護(hù)需求和業(yè)務(wù)經(jīng)營需求,而不是找人作替罪羊。

8. 缺乏透明度

一些董事會和高管人員根本不愿意聽到或承認(rèn)安全并不完善。董事會展示中充滿著關(guān)于安全方面已取得進(jìn)展的好消息,卻很少或幾乎不會討論差距和改進(jìn)機(jī)會。據(jù)我們所知,有一家公司甚至決定將安全問題移交給法律顧問,這樣就能對討論的內(nèi)容進(jìn)行保密。行動:為了應(yīng)對這些挑戰(zhàn),IT和非IT高管必須愿意了解和討論安全工作的現(xiàn)狀和局限性。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。