企業(yè)安全主管（CSO）們的飯碗正變得越來越脆弱，他們可以正確一百次，但只要一次失誤，就足以葬送一切。

只需一個愚蠢的決定、一個簡單的疏忽或是一次糟糕的溝通，一個錯誤的假設，或者聽信了一個錯誤的建議，就可能導致災難性的網絡安全事件，讓CSO失去一切。

要想避免職場翻車，CSO必須了解并避免以下九大致命錯誤：

1.過度自信

自負往往會導致CSO職業(yè)生涯過早終結，特別是部署未經驗證但媒體熱炒的安全解決方案時。

XYPRO.com的CISO Steve Tcherchian表示：

“自負會產生安全盲區(qū)，增加人為錯誤的風險，并在利益相關者中產生虛假的安全感，直到發(fā)生重大事件，導致災難性的網絡安全事件。”

過度自信還會導致安全懈怠。Tcherchian觀察到：“當個人或組織認為當前的安全流程已經足夠時，他們會失去警惕，變得容易受到新威脅的攻擊。”結果是，安全漏洞未被發(fā)現，防御措施也過時了。

2..增加復雜性

當安全領導者失去對基本任務的關注，轉而被最新的技術和熱門話題所吸引時，職業(yè)生涯往往會“脫軌”。咨詢公司EY的全球和亞太區(qū)網絡安全咨詢負責人Richard Watson指出，結果是CSO購買了大量技術，增加了不必要的復雜性和無謂的干擾。

復雜性帶來的挑戰(zhàn)在于它增加了成本，而此時網絡預算正受到越來越嚴格的審查，并且它會削弱組織的網絡防御。“與所有技術整合一樣，可能會出現漏洞，攻擊者正是通過這些漏洞獲得優(yōu)勢，”Watson指出。

更糟糕的是，復雜性會導致虛假的安全感，組織會覺得擁有最新的技術創(chuàng)新就能保護自己。Watson報告說，EY最近對世界500強企業(yè)進行的一項研究發(fā)現，頂尖的安全績效企業(yè)正在采用簡化策略，向單一集成平臺靠攏。

3.忽視GRC

在沒有制定正式的治理風險與合規(guī)（GRC）計劃的情況下部署網絡安全技術堆棧，可能會輕易摧毀CSO的職業(yè)生涯。

無線網絡服務公司Velaspan的CISO Scott Hawk表示：“這個錯誤可能是災難性的，因為它會影響業(yè)務的許多方面。”沒有堅實的GRC計劃，安全領導者更有可能在技術上超支，產生虛假的安全感，錯過關鍵的安全組件，并與業(yè)務的其他部分產生不對齊。

GRC框架確保風險管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中。“GRC將創(chuàng)建一個全企業(yè)范圍內的關于網絡安全的對話，有助于設定優(yōu)先級并推動采用，”Hawk說。GRC旨在使網絡安全成為業(yè)務的促進者。

4.未能將網絡安全與企業(yè)目標對齊

網絡安全專家犯的最大錯誤不是技術錯誤、誤算，甚至不是未能預見潛在威脅，而是未能站在企業(yè)角度（背景）理解和制定網絡安全計劃。這也是一個常見的“職業(yè)殺手”錯誤。

網絡安全應在企業(yè)使命、目標和目標的背景下執(zhí)行。“網絡安全優(yōu)先級和投資的目標是保護對企業(yè)生存最重要的東西。”網絡安全平臺提供商Axio的高級網絡安全顧問Richard Caralli說。

Caralli補充道，網絡安全領導者需要在制定和執(zhí)行網絡安全計劃時優(yōu)先考慮企業(yè)關鍵成功因素。未能將網絡安全工作與組織價值對齊，會導致投資失調、資源利用不善和總體糟糕的網絡安全結果。”

5.低估訪問控制的重要性

許多安全領導者擔心系統(tǒng)后門而忽視了訪問權限帶來的威脅，身份安全和治理技術提供商Zilla Security的聯(lián)合創(chuàng)始人Nitin Sonawane警告說：“身份是系統(tǒng)的前門。”忽視不安全或配置錯誤的身份是一個大錯誤。

企業(yè)通常未能充分管理前員工和合同工的訪問權限，導致孤兒賬戶被威脅者利用。同時，現有員工在擔任新職責時，通常會累積對敏感系統(tǒng)和數據的訪問權限。“過度授權的身份在遭受攻擊時帶來了更大的風險，”Sonawane警告說。

Sonawane認為，最有效的身份管理方法是使用AI。大多數組織今天都維護HR應用程序，如Workday、Paylocity或BambooHR，作為每個用戶業(yè)務概況的真實來源。當發(fā)生人員調動時，企業(yè)通常希望新主管決定用戶應保留哪些權限。“新主管具有業(yè)務背景可以做出這些決策，而AI可以幫助他們確定誰需要哪些訪問權限，以及哪些權限超出了業(yè)務功能范圍。”

6.忽視人的因素

安全領導者犯的最大錯誤是完全專注于技術解決方案和流程，IT咨詢公司Presidio的現場CISO Dan Lohrmann說。人才是最大的安全漏洞，他警告說：“低估人際關系的安全專家將失敗。”

Lohrmann說，員工試圖繞過安全控制措施、政策和程序的傾向會導致一系列內部威脅：“這為那些試圖做壞事或偷竊的人打開了大門，并可能導致聲譽和品牌損害，像勒索軟件攻擊或其他數據泄露一樣造成毀滅性打擊。”

員工和其他授權人員也可能變得狡猾，Lohrmann指出：“我見過有人通過拖延時間、公開在團隊中制造不和、對抗領導或既定的組織目標、冒著不必要的風險來破壞優(yōu)秀的網絡安全項目。”

更好的招聘實踐，包括徹底的背景調查，可以大大提高內部安全性，Lohrmann說道：“注意員工的倦怠跡象也同樣重要。”

7.未及時銷毀廢棄數據

存儲在云中的陳舊數據可能被隱藏和遺忘，也可能像定時炸彈一樣毫無征兆地摧毀CSO的職業(yè)生涯。數據安全軟件提供商Metomic的CEO Rich Vibert表示：“遺留陳舊數據帶來重大風險，從安全漏洞到合規(guī)問題，這個錯誤尤為重要，因為它是完全可以預防的。”

未授權訪問是主要問題，Vibert表示：“如果未嚴格維護和更新訪問控制，舊文件中包含的敏感信息很容易落入不法之徒手中。”當前員工或外部合作者繼續(xù)擁有文件訪問權限時，風險會增加。

Vibert說，當攻擊者捕獲到廢棄文件時，數據泄露的可能性會增加，這些文件可能包含個人信息、財務記錄或機密業(yè)務數據。“這些被遺忘或未管理的數據片段通常缺乏強有力的保護，成為具有吸引力的攻擊目標。”此外，陳舊數據還可以為網絡犯罪分子提供有價值的歷史信息，使他們能夠編寫更有說服力的釣魚郵件或社會工程攻擊，從而增加成功攻擊的可能性。

8.未能與業(yè)務建立橋梁

與非技術利益相關者的溝通不暢會導致誤解和混亂，播下不信任的種子，缺乏對安全計劃的支持，并在尋求安全預算批準時面臨更大的挑戰(zhàn)，全球技術研究和咨詢公司ISG旗下Ventana Research的數字技術研究主管Jeff Orr說。

Orr建議使用業(yè)務術語來傳達關鍵的安全問題及其對業(yè)務目標的影響。“提供示例以幫助將安全概念與業(yè)務活動聯(lián)系起來。”O(jiān)rr還建議CSOs在安全報告中更加清晰地闡釋：“審查如何將安全決策與業(yè)務影響相關聯(lián)。”

9.自滿

最致命的職場錯誤是認為一切都在控制之中。這樣的領導者完全把他們的信任寄托在安全項目和時間表上，安全技術提供商Radware的CISO Howard Taylor說：“他們過度信任行業(yè)認證能保護其業(yè)務免受網絡攻擊。”

例如，企業(yè)在遭遇災難性的支付交易數據泄露后的遺言往往是：“我們剛剛通過了PCIDSS認證。”