每家企業都逃不脫安全風險的威脅，確保企業安全也就成了IT人員的首要工作。即使IT人員的安全技術運用已經很熟練，有時思想上的稍微一點松懈就有可能導致企業安全問題。

國外媒體網站Infoworld將這些讓企業陷入風險的原因歸結為“十個安全神話”。據Gartner分析師Jay Heiser表示，當談到信息安全時，人們對企業所面臨的威脅以及用來保護自己重要數據資產的技術有很多“誤解”和“夸大”。

這些錯誤的假設都歸因于受到廣泛信奉的“安全神話”。“安全神話”的信奉者包括正在試圖防止數據丟失的員工以及將違規和其他事故的責任推卸給首席信息安全人員(CISO)的業務經理。

Gartner安全與風險管理峰會上，Heiser根據這個主題發表了其“十大安全神話”的演講：

十大安全神話一：“這種事情不會發生在我身上”

原因：習慣了對風險的大肆宣揚，讓員工做任何他們想做的事來逃避損失和責任。

治療：將企業的責任與安全掛鉤;利用安全分類框架的幫助。

十大安全神話二：“信息安全預算占整個IT支持的10%呢”

原因：一廂情愿地想，Gartner研究顯示預算數字更接近5%呢。

治療：獲得一些真實的數據。

十大安全神話三：“安全風險是可以量化的”

原因：你可以在一個Excel電子表格中證明你有你的安全預算，在“數據導向的文化”中一個普遍存在的誤解是“他的數字最大，他贏了”。

治療：開發風險的非數字表達方式，并確保業務部門承擔自己的IT風險責任。

十大安全神話四：“我們有物理安全體系(或SSL)因此數據是安全的”

原因：理想化，不了解風險。

治療：確保安全購買匹配數據要求。

十大安全神話五：“復雜性的密碼能降低風險”

原因：惰性。Heiser又補充說：“我們知道密碼漏洞百出，但破解并不是主要的失效原因。密碼不是被破解的，只是小試一下就被解開了。”

治療：設多個密碼。

十大安全神話六：“IT遠離CISO自然會很安全”

原因：推卸責任。Heiser補充道：“這是我們通過一些改變組織的‘技巧’來解決文化問題的方式。”

治療：針對安全程序中的弱點，分析問題的根源。

十大安全神話七：“安全實踐問題是CISO的問題”

原因：推卸責任。業務希望安全風險是別人的問題，即使CISO承擔所有的風險，他們也覺得CISO不應該能夠告訴他們要做什么。

治療：建立一個信息安全項目。

十大安全神話八：“購買這個工具就能解決所有的問題”

原因：尋找外部的魔法來解決難題，天真的想法。

治療：進行系統風險分析，制定具有優先級的長期安全計劃。

十大安全神話九：“制定合理的政策，并好好遵守”

原因：一廂情愿。

治療：確定管理責任，仔細選擇你的戰場。

十大安全神話十：“加密是保護敏感文件安全的最好辦法”

原因：加密技術正常工作時，效果很好。但對一項困難的技術抱有天真的期望時，往往弊大于利。有時就像用“尋找圣杯”或“魔術子彈”來解決監管問題。

治療：在做決定之前，確保自己有扎實的密碼技術經驗。

最后，Heiser指出很多這些神話的產生僅僅是因為在不熟悉的狀況下人們容易反應過度或同一組織中的人容易將責任推卸到別人身上。“這是官僚主義的風險管理，”Heiser指出。他說，“CISO沒有理由干坐在那里，接受所有這些棘手的問題”，尤其是當員工對于消費者計算技術時。

TechTarget中國原創內容，原文鏈接：http://www.searchsv.com.cn/showcontent_74273.htm