不要让这些容易忽视的错误绊倒您的安全策略。

一些最大的违规行为可以归结为小错误。

在2021 5月的殖民管道攻击中，黑客使用泄露的密码通过虚拟专用网络访问公司网络。一个尚未修补的广为人知的漏洞是2017年Equifax攻击的入口点。Twitter上的比特币骗局始于针对Twitter员工的矛式网络钓鱼攻击。

当然，没有完美的安全计划，但这样的事件表明，网络安全团队不能忽视任何事情。

在这里，安全领导人警告说，八个容易被忽视的陷阱可能会破坏一个成功的安全战略：

谈论安全风险，而不是业务风险

联合国项目事务厅（项目厅）CISO和信息技术治理协会ISACA的董事会成员Niel Harper表示，网络安全已成为董事会一级的关注话题，但CISO和他们的高层同事往往继续将安全问题视为技术问题而非商业风险。

这看起来像纯粹的语义，但哈珀说，当企业领导人如此狭隘地看待网络安全时，确实会产生负面后果。

“当他们不将信息安全视为业务风险时，当他们只将其视为技术风险时，他们就看不到信息安全如何完全嵌入业务的各个方面，”他解释说。“因此，CISO在会议桌上没有一个完整的席位；他们不向管理层报告，而是向两层或三层报告。他们在管理层没有对战略的投入。”

哈珀说，他看到CISO通过与利益相关者建立关系来扭转局面；他们与他们接触，了解他们的风险和目标，然后向他们展示安全计划如何解决这两个问题。

过分强调遵守

典型的组织必须满足多种行业、法规和法律标准才能开展业务。其中最著名的包括支付卡行业数据安全标准（PCI DSS），用于处理信用卡的组织；美国健康保险便携性和责任法案，或HIPAA，适用于任何处理医疗记录的人；以及欧盟的一般数据保护条例（GDPR）。还有专门针对安全性的标准和框架，例如ISO/IEC 27001。

哈珀说，CISO不能忽视他们必须达到的合规标准，但他们和他们的高管同事都不应该认为达到要求的标准就证明他们是安全可靠的。

“合规性带来了一种虚假的安全感，”他补充道。“事实上，尽管许多组织遵守了法规，但违规行为仍在增加。”

哈珀并没有低估合规标准的重要性，但他表示，CISO必须始终记住并让C-suite中的其他人理解，这些要求不是动态的，因此可能无法应对新出现的威胁，也无法准确衡量组织在环境（即人员配置、技术堆栈、风险）随时间变化时的准备情况。

他说：“这是一种勾选框式的做法，并不能真正让企业了解其风险和敞口存在的真实情况。”。

动作不够快

公司正在加快数字化转型，向云端迁移、更敏捷的软件开发和对客户需求的快速响应。根据多名安全顾问的说法，并非所有的CISO都能跟上步伐，这导致了整个企业安全态势的差距。

企业团队表达了类似的担忧。例如，GitLab于2021发布的最新全球DevSecOps调查结果。在4300名响应的开发人员中，约84%的人表示他们发布代码的速度比以往任何时候都快，但近一半（42%）的人表示安全测试在此过程中进行得太晚，几乎相同比例的人表示难以识别和解决漏洞。此外，37%的人表示跟踪缺陷修复的状态具有挑战性，33%的人认为补救优先级排序困难。

“安全需要更加灵活，CISO需要从根本上以不同的方式思考如何处理网络安全，”UST的CISO兼UST公司CyberProof的首席执行官Tony Velleca说。

许多CISO似乎正在接受这一信息。GitLab报告发现，70%的团队在推动“左移”之后，将安全考虑因素移到了开发的早期。这比前一年略有上升，当时65%的团队表示他们在开发过程的早期就嵌入了安全。

总是关注紧急情况

德勤（Deloitte）负责人、该公司网络风险服务战略、防御和响应负责人安德鲁·莫里森（Andrew Morrison）表示，成功的安全计划面临的最大威胁之一是被“紧急情况的暴政”所诱捕。

他说，CISO和他们的团队可能会忙于处理他们面临的最紧迫的需求，即使它们是低层次的问题，他们没有能力解决战略优先事项；他们每天都在追逐那些突然出现的小问题，而不是加强组织中更重要的要素的安全。

莫里森补充说：“到那时，安全不再是一个程序，它只是对正在发生的事情的一种战术反应。紧急事件取代了重要事件。”。

Morrison说，尽管将安全团队从这样的场景中解救出来具有挑战性，但CISO可以通过识别最大的风险并专注于应对这些风险，从而使安全工作与企业优先事项保持一致。这反过来将使他们和他们的团队在如何处理出现的问题上变得不那么被动，更具战略性。莫里森说：“然后他们管理事件，而不仅仅是对事件做出反应。”。

过分关注工具和技术，而不是利益相关者及其需求

同样，Forrester首席分析师Jian Budge表示，未能优先考虑利益相关者的参与可能会阻碍强有力的安全计划的实施。

“没有这些，CISO就不知道优先考虑什么，也不知道如何获得支持，”她解释道。不优先考虑利益相关者参与的CISO也更可能面临来自执行同事的阻力，甚至可能看到他们的项目资金被削减。“CISO可能会审视他们的战略，认为他们做了一切，”她说，但除非他们与利益相关者合作，共同制定和共同设计网络安全战略以及业务战略，否则他们不会全面了解企业风险。

在安全部门内保持安全

我们采访的专家表示，建立一支优秀的安全团队，但未能在整个企业中建立一种安全意识的文化，肯定会破坏成功。

统计数据证明了这一点。Verizon 2021的数据泄露调查报告发现，2020年85%的泄露涉及人为因素。

正如云技术公司Accurics的CISO和研究主管Om Moolchandani所说：“点击一个错误的链接可能会破坏整个CISO议程。”

CISO必须制定有效的安全意识和培训计划，旨在帮助所有员工了解他们在安全方面的作用。

莫里森说：“文化很重要，因为它是CISO及其组织的力量倍增器。”。“如今，几乎每一次攻击都是通过泄露凭证或违反个人信任、社会工程、网络钓鱼、获取密码来完成的。因此，有效的安全必须包括让每个目标意识到（这些风险）；必须包括让安全成为每个人的工作。”

俯瞰你自己的保安人员

同样，资深安全领导人表示，忽视团队和安全部门文化的CISO会很快发现安全计划因此受到影响。

“人们通常认为团队毒性或团队运作不良会影响个人，但它也会影响网络安全态势和风险，”Budge说，他的研究重点是使CISO角色取得成功；制定转型网络安全战略；以及建立安全意识、行为和文化计划。

她补充道：“如果你的团队忙于战斗，如果他们打电话给人力资源部，他们没有创新，他们没有自动化，他们没有考虑更大的图景或战略。所有这些都会导致一个无法运作的安全团队。”

不快乐的工人也更可能离开。这可能会使CISO不仅人手不足，而且面临更难获得新的安全专家。毕竟，当有很多工作机会的时候，哪位保安人员愿意加入一个不快乐的团队呢？

她说，这也会对更广泛的组织产生负面影响。“这进一步增加了对安全的负面印象（其他员工会认为），'我们不能和他们说话，他们甚至不能彼此说话。'”

Budge说，如果CISO发现自己处于一种有毒的文化中，他们需要调动自己的领导技能来实施管理和工作场所战略，如团队建设计划和培训计划，这可以让他们的部门走上更好的道路。

爱上新事物

CISO选择了越来越多的新兴技术和流程，如扩展检测和响应（XDR）、行为分析、威胁搜寻和零信任模型。但是，如果CISO不能在可靠安全程序的更基本元素上完美执行，如果他们没有根据自己组织的具体需求调整所有这些高级选项，那么这些高级选项将不会带来真正的安全收益。

Moolchandani说：“我们最近看到，当我们对违规行为进行分析时，对手利用了技术漏洞或安全漏洞。”。

他说，为了真正有效，组织需要针对其特定风险和最可能的威胁源制定安全计划。例如，与小型零售商相比，公用事业更可能成为黑客活动者和民族国家行为者的目标，而他们都容易受到机会攻击。了解这些要点的CISO根据组织的特定要求调整安全策略。用Moolchandani的话来说，专注于完善网络安全的基础可以“即使在有限的预算下也能提供最大的价值。”

本文：https://cioctocdo.com/8-pitfalls-undermine-security-program-success