雅虎在各市場當老大已經很長時間了，但2016年9月，它又摘得一項新“桂冠”：人類歷史上***型的公開數據泄露。

數量非常龐大，對所有類型的公司企業有著地殼板塊遷移一般的潛在影響：

5億+賬戶受影響

8億美元威瑞森收購案被擱置

從雅虎開始檢測到公開披露數據泄露花了2年

幾乎翻倍了2016年已經創歷史記錄的公開承認數據泄露記錄條數——540億條

怎么發生的?

雅虎是網絡安全5大致命因素(Five Killer C：Culture、Complexity、Conflict of Interest、Cash、Complacency：文化、復雜性、利益沖突、資金、自滿)的***案例。《紐約時報》一篇文章指稱，“雅虎將防御黑客放在了次要位置”：

2012年中，瑪麗莎·梅耶爾接任這家搖搖欲墜公司的CEO帥印時，安全，就是她繼承的諸多問題其中之一。雅虎員工稱，當務之急太多，她把重點放在了讓雅虎郵箱之類服務更簡潔和開發新產品上，而將改善安全位居次席。

在雅虎，文化、復雜性、利益沖突、資金、自滿——這5大企業安全殺手均登場亮相，CEO、CFO、CISO、CIO都處理不了這牽涉整個企業的巨大問題。

有評估才有執行

商業領域基本真相之一——有評估才有執行。全世界的企業***們都想知道，自己的團隊在網絡安全方面都在做些什么。

如果他們確實能得到一個答案——雖然大多數情況下此題無解，那通常會是：我們正在購買/實現******的反病毒引擎、防火墻、沙箱技術等等。

不過，“我們在網絡安全方面在做什么?”不是一個正確的問法。正確的問題應該是：“我們當前的風險是什么?”

假如雅虎有此視角，如果網絡風險被深深烙印進這個公司，那么他們可能就會做出不同的決策——那種可以減少大規模數據泄露機會，或提升檢測和修復速度的決策。

但他們缺乏一種可以顯示其真正持續網絡風險的途徑，那種在先行指標(人)和滯后指標(技術)之間取得平衡，讓經理、董事、執行主管、部門負責人和高管得以做出戰略決策和投資的途徑。

持續性網絡風險沒有得到評估，于是，風險防范和緩解也就沒有做到。

關注人的風險

承自信息技術、工程和計算機科學的網絡安全行業中有一個偏見。這個偏見一直存在，暗中為害，有時候會被宣之于口，更多的時候是被作為一個事實深入人心：“用戶很蠢，而我們修復不了蠢病。”

網絡風險的根源是人，以及安全意識的缺乏。但公司、政府和個人卻置這一根源問題于不顧，反而去買入不斷膨脹的、又貴又難懂的大量復雜技術解決方案，真正的問題倒是被繞過了。

這并不是說在對付當前及未來網絡威脅的問題上就沒有安全技術的用武之地，安全技術當然有用，但我們目前對待網絡安全的總體態度，是有失偏頗的。

在投資技術與投資人員本身上取得平衡

當前對網絡安全的態度太過于倚重比特、字節、管道、反饋、速度、機器學習和超貴的主機。98.6%的網絡安全投資都流向了預防、檢測和響應工具/保險，僅1.4%用在改變員工行為上。這顯然是有問題的。

我們怎么知道出了問題呢?因為全球花在以技術為中心的網絡風險解決方案上的資金盡管高達數百億美元，我們仍然一直在直接或間接地因網絡犯罪而損失數千億美元。

不改變路線，未來還將重復現在及過去的情況——更多數據泄露，更多資金流失，更多人生被影響，更多對技術的信仰與信任被侵蝕。

任何類型的企業都需要關注網絡安全的人類方面——人員、過程、文化，及其在安全層次中的位置。他們需要的工具，不是繞開網絡風險根源耍把式的那些，而是能直接評估、監視和管理網絡風險的那種。

通過曝光不良行為和提供輔助培訓，這類工具不僅僅有助于提升整個企業的安全意識，還能增強對網絡不當行為的責任感。公司企業不僅需要符合各種行業標準，比如ISO 27002(信息技術—安全技術—信息安全管理實踐規范)、NIST(美國國家標準)、SANS(系統管理、審計、網絡與安全)、PCI-DSS(支付卡行業數據安全標準)等等，還要將安全作為重要組成部分融入公司各部門。