根據(jù)Gartner分析師Jay Heiser表示，當(dāng)涉及信息安全時，存在很多“誤解”和“夸張化”，特別是對于企業(yè)面臨的威脅以及用來保護企業(yè)重要數(shù)據(jù)資產(chǎn)的技術(shù)。

這些錯誤的假設(shè)形成了安全誤區(qū)，讓我們來看看這十個IT安全誤區(qū)：

誤區(qū) 1：“這不會發(fā)生在我身上”

問題：企業(yè)習(xí)慣于認為媒體對風(fēng)險過度炒作，以及讓員工“為所欲為”來避免費用和責(zé)任。

對策：讓企業(yè)責(zé)任直面安全相關(guān)的請求;利用安全分類框架

誤區(qū)2：“信息安全預(yù)算占IT支出的10%”

問題：想當(dāng)然--- Gartner研究顯示預(yù)算更像是5%。

對策：獲取一些真實的數(shù)據(jù)

誤區(qū)3：“安全風(fēng)險可以被量化”

問題：認為如果可以在Excel表中證明，就可以得到安全預(yù)算，這是“以數(shù)字為導(dǎo)向文化”的常見錯誤，其中認為“誰擁有***的數(shù)字，誰就贏了”。

對策：試圖對風(fēng)險進行非數(shù)值式表達，并設(shè)法確保業(yè)務(wù)部門承擔(dān)其IT相關(guān)的風(fēng)險

誤區(qū)4：“我們確保了物理安全(或者SSL)，所以我們的數(shù)據(jù)是安全的”

問題：對風(fēng)險認識不足

對策：確保安全采購匹配數(shù)據(jù)要求

誤區(qū)5：“密碼過期和復(fù)雜性降低了風(fēng)險”

問題：慣性。Heiser補充說：“我們知道密碼經(jīng)常漏洞百出，但破解并不是主要的模式，密碼并不是被破解，而是被捕獲了。”

對策：加強密碼保護

誤區(qū)6：“將***信息安全官放在IT外部能夠確保更好的安全性”

問題：推卸責(zé)任。Heiser補充說，這是“讓我們重新部署組織結(jié)構(gòu)來解決文化問題”的把戲

對策：分析安全項目中問題的根本問題

誤區(qū)7：“堅持認為所有安全做法的問題都是***信息安全官的問題”

問題：推卸責(zé)任。業(yè)務(wù)部門希望將安全風(fēng)險成為別人的問題，***信息安全官應(yīng)該承擔(dān)所有責(zé)任，即使他們不覺得***信息安全官應(yīng)該能夠告訴他們該怎么做。

對策：建立一個信息安全程序

誤區(qū)8：“購買這個工具<某個工具>，它會解決所有的問題”

問題：試圖尋找神奇的解決方案來解決所有疑難問題

對策：風(fēng)險分析和優(yōu)先級排序，制定多年的安全計劃

誤區(qū)9：“我們部署好政策，就可以不用管了”

問題：想當(dāng)然

對策：建立管理責(zé)任，并認真選擇你的戰(zhàn)場

誤區(qū)10：“加密是保護敏感文件安全性的***方式”

問題：加密技術(shù)很強大，當(dāng)企業(yè)對某個技術(shù)有著“天真”的期望時，可能導(dǎo)致弊大于利;有時候，企業(yè)試圖尋找神奇的解決方案來解決疑難問題。

對策：在你做決策之前，確保你對加密技術(shù)有著豐富的經(jīng)驗