今天以及不久的將來，信息安全面臨的最嚴重的漏洞是什么？英特爾CISO Malcolm Harkins告訴我們，信息安全面臨的最大威脅就是人們對風險的誤解。

在今年波士頓舉辦的 Forrester安全論壇上，Harkins發表了演講并向與會的信息安全研究人員發問：認為現在他們組織內部面臨的最大的風險是什么。一些人表示內部威脅和人為原因占一部分。Harkins也多少同意這些觀點。但是他辯解道，對于安全問題的夸大化或誤解才是最大的風險。

有兩個東西導致了誤解：經濟和心理。在經濟問題上，當決策者受到激勵機制或資源的影響時才會做出相應的決策。

“作為一名安全專業人員，我已經開始思考一個問題，我們是否是決策架構師？我們要試圖讓人們思考一些事情并做出決策。”他說。

從心理學的角度來看，人們獲得的利益越大，風險的可能性也就越大。例如，企業部署像云計算、虛擬化和社交媒體等技術。所有的這些對于企業來說都意味著很大的優勢，但同時也意味著他們面臨的安全風險的可能性加大。Harkins說。

但是新技術的部署卻使一些事情變得復雜了，因為人們對于這些技術的風險認知存在盲區。低估風險會使人們在遇到一個安全事件的時候不能做到適當的準備。高估風險意味著組織投入到一個領域過多的關注而忽視了其他的問題。

“我們中有多少人經常會收到經理的郵件，問一些關于風險的事情。他們總想知道我們對于風險的態度。”他說，“這種夸大就像低估一樣讓人感到沮喪。”

人們必須要做的是平衡這兩個極端，減少對風險的誤解是客觀的、敏捷和具有影響力的。他列舉了部署這些要素到日常工作中安全專業人員需要做的4個重要事情，它們是：

預測：使用適當的工具確定攻擊的身份、動機和手段。

堅持：用手段和耐力與其他的組織內部決策者進行斗爭。

耐心：用耐心持之以恒。不要成為警告者。冷靜等待出現轉機的那一刻。

未雨綢繆：面對安全事件或安全漏洞，做好充分的應對準備。

“如果你做到了這些，你就會在組織內部對人們形成持續的影響。他們將會把你看作是那些能夠對公司起到保護作用的合作伙伴。”Harkins指出：“不要用受害者的手段去管理信息風險和安全。”