你打算保住工作嗎？那就學習以下九個需要避免的危險領域。 

1. 過度自信 

自大可能導致職業的早期毀滅，特別是在部署未經驗證但流行的安全解決方案時。 

“這種方法會造成安全漏洞，增加人為錯誤的風險，并導致利益相關者產生虛假的安全感——直到發生重大事件，導致災難性的網絡安全事件。”網絡安全技術公司 XYPRO.com 的首席信息安全官 (CISO) Steve Tcherchian 說。 

過度自信還會導致安全懈怠。“當個人或企業認為他們當前的安全流程已經足夠時，他們就不會保持警惕，可能會變得容易受到新威脅的攻擊。”Tcherchian 指出。因此，安全漏洞會被忽視，防御措施變得過時。 

2. 推動失控的復雜性 

當安全負責人失去對基本任務的關注，并被最新技術和熱點話題分散注意力時，職業生涯往往會脫軌，商業咨詢公司安永的全球和亞太地區網絡安全咨詢負責人 Richard Watson 說。結果是獲得了大量技術，增加了不必要的復雜性和不必要的分心。 

復雜性帶來的挑戰在于，它在網絡預算日益受到審查的同時增加了成本，并可能使組織的網絡防御變得更弱。“與所有技術集成一樣，漏洞可能會出現，正是通過這些漏洞，攻擊者可以獲得優勢。”Watson 指出。 

更糟糕的是，復雜性會導致一種虛假的安全感，組織會覺得有最新的技術創新在保護他們。Watson 報告稱，安永最近對全球 500 家領先組織進行了一項研究，發現頂級安全表現者正在接受簡化，并朝著單一集成平臺方法邁進。 

3. 缺乏 GRC（治理、風險管理和合規性） 

部署網絡安全堆棧而不包括正式的治理、風險管理和合規性 (GRC) 計劃，可能輕易顛覆職業生涯。 

“這個錯誤可能是毀滅性的，因為它會影響業務的許多方面。”無線網絡服務公司 Velaspan 的 CISO Scott Hawk 說。如果沒有穩固的 GRC 計劃，安全負責人更有可能在技術上過度支出，產生虛假的安全感，錯過其安全姿態的關鍵組成部分，并與業務的其他部分產生不一致。 

GRC 框架確保風險管理、合規要求和治理集成到組織的整體戰略中。“GRC 將圍繞網絡安全創建一場全企業的對話，有助于設定優先級并推動采納。” Hawk 說，GRC 努力使網絡安全成為業務的推動者。 

4. 未能將網絡安全與企業目標對齊 

安全專家犯下的最大錯誤不是技術錯誤、誤算，甚至不是未能預見潛在威脅，網絡安全平臺提供商 Axio 的高級網絡安全顧問 Richard Caralli 說。“最大的錯誤是未能在其組織背景下理解和框架網絡安全計劃。”這也是一種潛在的職業殺手。 

網絡安全的存在及其執行應在企業使命、目標和宗旨的背景下進行。“保護對企業生存最重要的東西應該驅動網絡安全的優先級和投資。”Caralli 說。 

他補充道，制定和執行一個優先考慮企業重視的關鍵成功因素的網絡安全計劃的能力完全掌握在網絡安全領導者手中。“未能將網絡安全工作與企業價值對齊，會導致投資錯配、資源利用不當和總體上較差的網絡安全結果。”他說。 

5. 低估訪問控制的重要性

 許多安全領導者花時間擔心系統后門，而沒有認識到訪問權限帶來的威脅，身份、安全和治理技術提供商 Zilla Security 的聯合創始人 Nitin Sonawane 警告說。“身份是系統的前門，”他指出，“忽視不安全和配置錯誤的身份是一個大錯誤。” 

企業往往未能充分管理前員工和合同工的訪問權限，導致孤兒賬戶可能被威脅行為者利用。同時，現有員工在公司任職期間隨著承擔新職責，通常會積累對敏感系統和數據的訪問權限。“過度特權的身份在發生漏洞時會帶來更大的風險。”Sonawane 警告說。 

Sonawane 認為，管理身份的最有效方法是使用 AI。如今大多數企業都維護 HR 應用程序，如 Workday、Paylocity 或 BambooHR，它們作為每個用戶業務資料的真實來源。當發生調動時，企業通常期望用戶的新主管決定用戶應保留哪些權限。“新主管具有做出這些決策的業務背景，而 AI 可以幫助他們確定需要哪些訪問權限以及哪些超出了其業務職能的范圍。” 

6. 忽視人為因素 

安全領導者犯的最大錯誤是完全專注于技術解決方案和流程，IT 咨詢公司 Presidio 的現場 CISO Dan Lohrmann 說。他警告說，最大的漏洞來自人員方面。“低估關系的安全專家會失敗。” 

Lohrmann 說，員工試圖繞過控制并規避既定政策和程序的傾向可能導致一系列內部威脅。“這為那些試圖造成傷害或盜竊的人打開了大門，并且可以像勒索軟件攻擊或其他數據泄露一樣造成聲譽和品牌損害。”他說。 

Lohrmann 指出，員工和其他授權人員可以很狡猾。“我見過有人通過延遲行動、拖延時間、公開在團隊中制造分歧、反對領導或既定的組織目標、冒不必要的風險，或因無能或未經培訓而破壞優秀的網絡安全項目。”他解釋說。 

人員也可能隨時間發生變化。“一些曾經是出色專業人士的員工，現在因疲勞或注意力不集中而失去了專注，因為他們在做兼職或有其他分心事物，”Lohrmann 說。流氓或粗心的用戶和/或合同工也可能造成混亂。 

更好的招聘實踐，包括徹底的背景調查，可以大大提高內部安全性，Lohrmann 說。“注意疲勞跡象也很重要。” 

7. 讓遺棄的數據保留 

云存儲中的陳舊數據可能被隱藏和遺忘，但它可能在沒有警告的情況下回來破壞 CSO 的職業生涯。“遺留陳舊數據會帶來重大危險，從安全漏洞到合規問題，而且這是一個重要的錯誤，因為它是如此可預防。”數據安全軟件提供商 Metomic 的 CEO Rich Vibert 說。 

未授權訪問是首要問題，Vibert 表示：“如果訪問控制沒有得到精細的維護和更新，舊文件中包含的敏感信息很容易落入不法之徒手中。” 當前員工或外部合作者繼續擁有文件訪問權限時，風險會升級。 

Vibert 說，當攻擊者捕獲遺棄文件時，數據泄露的可能性增加，包括個人信息、財務記錄或機密商業數據。“這些被遺忘或未管理的數據片段通常缺乏強有力的保護，使其成為有吸引力的目標。”此外，陳舊數據可以為網絡犯罪分子提供有價值的歷史信息，使他們能夠編寫更具說服力的網絡釣魚郵件或社會工程攻擊，從而增加成功入侵的可能性。 

8. 不與業務部門建立聯系 

與非技術利益相關者的無效溝通可能導致誤解和混亂，播下不信任的種子，缺乏對安全計劃的支持，以及在尋求安全預算批準時遇到更多挑戰，全球技術研究和咨詢公司 ISG 的 Ventana Research 數字技術研究主任 Jeff Orr 說。 

Orr 建議使用商業術語來傳達關鍵的安全問題及其對業務目標的影響。“提供示例以幫助將安全概念與業務活動聯系起來，”他建議 CSO 也應澄清安全報告。“審查安全決策如何與業務影響相關。” 

9. 自滿 

最大的職業致命錯誤是相信一切都在控制之中。這類領導者把信任寄托在安全項目和日程表上，安全技術提供商 Radware 的 CISO Howard Taylor 說。“他們信任他們的一系列行業認證可以保護他們的業務免受網絡惡棍的侵害。” 

企業在遭受歷史性支付交易數據泄露后，最后的話是：“我們剛通過了 PCI DSS 認證。”