你可能招致网络安全攻击的8种方式

许多商业领袖仍然相信，网络安全是一个可以解决的问题，只要他们投入足够的资金，雇佣具备适当技术知识的合适的人，就能让他们远离新闻头条。

事实上，通常是it和非it高管之间的系统和文化问题，而不是技术能力或资金，使组织暴露于网络安全攻击。

立即下载:网络安全事件响应计划中的3个必备事项

“这些问题为cio和CISOs提供了重新思考他们如何聘用非it高管优先考虑安全。保罗•普洛克特， Gartner杰出副总裁分析师。

你可以减少网络攻击的风险通过在您的组织内解决这些失败的主要原因。

1.看不见的系统性风险

企业每天都会做出一些对其安全准备状况产生负面影响的决定:例如，拒绝关闭服务器进行适当的补丁，或者选择继续在旧的硬件和软件上工作以节省预算。这些未报告的决定导致了一种错误的安全感，并增加了事件发生的可能性和严重性。

安全的电子书:2022年领导的愿景

行动:识别、报告和讨论系统性风险，将其作为正常安全治理的一部分。

2.文化脱节

非it高管仍然将安全视为“就在那里”的东西，就像空气或水一样。这意味着它不被认为是业务决策．例如，请求新应用程序的业务负责人不太可能将“安全准备就绪”作为需求。

行动:把网络安全放在商业环境中，这样高管就可以看到他们的决定的影响。

导游:关于网络安全你需要知道的一切

3.砸钱解决问题

你不能用金钱来解决问题——无论你花多少钱，你都无法完全抵御网络攻击。试图停止每一项有风险的活动，很可能会损害组织的运作能力。

行动:避免在安全性方面的过度投资，这会增加操作成本，但会损害组织实现业务结果的能力。

4.安全是“后卫”

如果安全官员被视为(并作为)组织的维护者，这就创造了一种“不”的文化。例如，他们可能会因为安全问题而阻止关键应用程序的发布，而不考虑应用程序支持的业务结果。

行动:将安全性定位为平衡保护需求和运行业务需求的功能。

5.破碎的问责

问责制应该意味着接受风险的决定对关键利益相关者来说是合理的。如果问责制意味着一旦出了问题就会有人被解雇，那么就没有人愿意参与其中了。

行动:奖励那些在保护需要和经营业务需要之间做出最佳平衡决定的人。

6.格式糟糕的风险偏好陈述

组织创建了关于他们风险偏好的通用的高层声明，这并不支持良好的决策制定。避免承诺只从事低风险的活动，因为这可能造成无形的系统性风险。

行动:创建允许在定义参数内接受风险的机制。

7.不切实际的社会期望

当一个头条安全事故碰巧的是，社会想要人头落地。虽然这是不公平的，但这是几十年来将安全视为黑盒子的结果。没有人知道它到底是如何工作的，因此，当事件真的发生时，人们会认为一定是有人犯了错误。

然而，除非组织和IT部门开始以不同的方式对待和谈论安全，否则社会是不会改变的。

行动:要在保护的需要和经营企业的需要之间取得平衡，而不是成为替罪羊。

8.缺乏透明度

一些董事会和高管根本不想听到或承认安全措施并不完美。董事会报告都充满了安全方面取得进展的好消息，却很少或根本没有讨论改进的差距和机会。我们知道有一家公司甚至决定在法律顾问的指导下转移证券，这样讨论才有特权。

行动:为了应对这些挑战，IT和非IT高管必须愿意理解和讨论安全工作方式的现实和局限性。