可招致網絡攻擊的八種情況

許多業務領導人仍然認為只要投入足夠的資金并聘請合適的人員運用正確的技術知識使他們避免成為頭條新聞，就可以解決網絡安全問題。

事實上，使企業機構暴露在網絡安全攻擊之下的往往是IT和非IT高管之間的系統性和文化問題，而不是技術能力或資金問題。

Gartner杰出研究副總裁Paul Proctor表示：“這些問題讓首席信息官和首席信息安全官開始重新思考如何讓非IT高管優先考慮安全事項。” 

您可以通過解決企業機構內部的這些主要失敗原因來減少網絡攻擊風險。

1. 無形的系統性風險 

企業每天都會做出對其安全就緒性產生負面影響的決策：例如拒絕關閉服務器進行適當的修補或選擇繼續使用舊的硬件和軟件以節省預算。這些未被報告的決策導致錯誤的安全感并增加事件發生的可能性和嚴重性。

行動：將系統性風險的識別、報告和討論作為日常安全治理的一部分。 

2. 文化脫節

非IT高管仍然認為安全像空氣或水一樣“理應存在”。也就是說，安全沒有被視為業務決策的一部分。例如，一個要求開發新應用的企業領導人不可能將“安全就緒性”作為一項要求。

行動：將網絡安全放到業務環境中，使高管們能夠看到他們的決策所帶來的影響。

3. 花錢買出路

您無法“花錢買出路”——無論您花多少錢，都無法完全保護自己免受網絡攻擊。試圖阻止每一個風險活動很可能會損害企業機構的運作能力。

行動：避免在安全方面過度投資，否則會提高運營成本，同時損害企業機構實現業務成果的能力。

4. 將安全官視為“保護者” 

如果安全官被視為（并擔任）企業機構的保護者，那么就會產生一種“拒絕”文化。例如他們可能會因為安全問題而阻止一個關鍵應用的發布，而不考慮該應用所支持的業務成果。

行動：將安全官的職能定位成平衡保護需求和業務經營需求。

5. 不健全的問責制度

問責制度應使接受風險的決策能夠保護關鍵的利益相關者。如果問責制度意味著一旦出了問題，有人就會被解雇，那么就沒有人會參與。

行動：獎勵能夠在保護需求和業務經營需求之間實現最佳平衡的人員。

6. 糟糕的風險偏好聲明

企業機構所創建的通用高級別風險偏好聲明不支持良好的決策。應避免承諾只從事低風險的活動，否則可能造成無形的系統性風險。 

行動：創建允許在規定參數內接受風險的機制。

7. 不切實際的社會期望

當發生成為新聞焦點的安全事件時，社會只想看到“替罪羊”。雖然這并不公平，但這是幾十年來把安全問題當作一個“黑匣子”的結果。沒有人了解它的真正運作方式，因此當事件發生時，人們就會認為一定是有人犯了錯。

但除非企業機構和IT部門開始以不同的方式對待和談論安全問題，否則社會就不會改變。 

行動：呼吁平衡保護需求和業務經營需求，而不是找人作替罪羊。

8. 缺乏透明度

一些董事會和高管人員根本不愿意聽到或承認安全并不完善。董事會展示中充滿著關于安全方面已取得進展的好消息，卻很少或幾乎不會討論差距和改進機會。據我們所知，有一家公司甚至決定將安全問題移交給法律顧問，這樣就能對討論的內容進行保密。

行動：為了應對這些挑戰，IT和非IT高管必須愿意了解和討論安全工作的現狀和局限性。