导致CSO丢饭碗的九大致命错误

企业安全主管(CSO)们的饭碗正变得越来越脆弱,他们可以正确一百次,但只要一次失误,就足以葬送一切。

只需一个愚蠢的决定、一个简单的疏忽或是一次糟糕的沟通,一个错误的假设,或者听信了一个错误的建议,就可能导致灾难性的网络安全事件,让CSO失去一切。

要想避免职场翻车,CSO必须了解并避免以下九大致命错误:

1、过度自信

自负往往会导致CSO职业生涯过早终结,特别是部署未经验证但媒体热炒的安全解决方案时。

XYPRO.com的CISO Steve Tcherchian表示:

“自负会产生安全盲区,增加人为错误的风险,并在利益相关者中产生虚假的安全感,直到发生重大事件,导致灾难性的网络安全事件。”

过度自信还会导致安全懈怠。Tcherchian观察到:“当个人或组织认为当前的安全流程已经足够时,他们会失去警惕,变得容易受到新威胁的攻击。”结果是,安全漏洞未被发现,防御措施也过时了。

2、增加复杂性

当安全领导者失去对基本任务的关注,转而被最新的技术和热门话题所吸引时,职业生涯往往会“脱轨”。咨询公司EY的全球和亚太区网络安全咨询负责人Richard Watson指出,结果是CSO购买了大量技术,增加了不必要的复杂性和无谓的干扰。

复杂性带来的挑战在于它增加了成本,而此时网络预算正受到越来越严格的审查,并且它会削弱组织的网络防御。“与所有技术整合一样,可能会出现漏洞,攻击者正是通过这些漏洞获得优势,”Watson指出。

更糟糕的是,复杂性会导致虚假的安全感,组织会觉得拥有最新的技术创新就能保护自己。Watson报告说,EY最近对世界500强企业进行的一项研究发现,顶尖的安全绩效企业正在采用简化策略,向单一集成平台靠拢。

3、忽视GRC

在没有制定正式的治理风险与合规(GRC)计划的情况下部署网络安全技术堆栈,可能会轻易摧毁CSO的职业生涯。

无线网络服务公司Velaspan的CISO Scott Hawk表示:“这个错误可能是灾难性的,因为它会影响业务的许多方面。”没有坚实的GRC计划,安全领导者更有可能在技术上超支,产生虚假的安全感,错过关键的安全组件,并与业务的其他部分产生不对齐。

GRC框架确保风险管理、合规要求和治理集成到组织的整体战略中。“GRC将创建一个全企业范围内的关于网络安全的对话,有助于设定优先级并推动采用,”Hawk说。GRC旨在使网络安全成为业务的促进者。

4、未能将网络安全与企业目标对齐

网络安全专家犯的最大错误不是技术错误、误算,甚至不是未能预见潜在威胁,而是未能站在企业角度(背景)理解和制定网络安全计划。这也是一个常见的“职业杀手”错误。

网络安全应在企业使命、目标和目标的背景下执行。“网络安全优先级和投资的目标是保护对企业生存最重要的东西。”网络安全平台提供商Axio的高级网络安全顾问Richard Caralli说。

Caralli补充道,网络安全领导者需要在制定和执行网络安全计划时优先考虑企业关键成功因素。未能将网络安全工作与组织价值对齐,会导致投资失调、资源利用不善和总体糟糕的网络安全结果。”

5、低估访问控制的重要性

许多安全领导者担心系统后门而忽视了访问权限带来的威胁,身份安全和治理技术提供商Zilla Security的联合创始人Nitin Sonawane警告说:“身份是系统的前门。”忽视不安全或配置错误的身份是一个大错误。

企业通常未能充分管理前员工和合同工的访问权限,导致孤儿账户被威胁者利用。同时,现有员工在担任新职责时,通常会累积对敏感系统和数据的访问权限。“过度授权的身份在遭受攻击时带来了更大的风险,”Sonawane警告说。

Sonawane认为,最有效的身份管理方法是使用AI。大多数组织今天都维护HR应用程序,如Workday、Paylocity或BambooHR,作为每个用户业务概况的真实来源。当发生人员调动时,企业通常希望新主管决定用户应保留哪些权限。“新主管具有业务背景可以做出这些决策,而AI可以帮助他们确定谁需要哪些访问权限,以及哪些权限超出了业务功能范围。”

6、忽视人的因素

安全领导者犯的最大错误是完全专注于技术解决方案和流程,IT咨询公司Presidio的现场CISO Dan Lohrmann说。人才是最大的安全漏洞,他警告说:“低估人际关系的安全专家将失败。”

Lohrmann说,员工试图绕过安全控制措施、政策和程序的倾向会导致一系列内部威胁:“这为那些试图做坏事或偷窃的人打开了大门,并可能导致声誉和品牌损害,像勒索软件攻击或其他数据泄露一样造成毁灭性打击。”

员工和其他授权人员也可能变得狡猾,Lohrmann指出:“我见过有人通过拖延时间、公开在团队中制造不和、对抗领导或既定的组织目标、冒着不必要的风险来破坏优秀的网络安全项目。”

更好的招聘实践,包括彻底的背景调查,可以大大提高内部安全性,Lohrmann说道:“注意员工的倦怠迹象也同样重要。”

7、未及时销毁废弃数据

存储在云中的陈旧数据可能被隐藏和遗忘,也可能像定时炸弹一样毫无征兆地摧毁CSO的职业生涯。数据安全软件提供商Metomic的CEO Rich Vibert表示:“遗留陈旧数据带来重大风险,从安全漏洞到合规问题,这个错误尤为重要,因为它是完全可以预防的。”

未授权访问是主要问题,Vibert表示:“如果未严格维护和更新访问控制,旧文件中包含的敏感信息很容易落入不法之徒手中。”当前员工或外部合作者继续拥有文件访问权限时,风险会增加。

Vibert说,当攻击者捕获到废弃文件时,数据泄露的可能性会增加,这些文件可能包含个人信息、财务记录或机密业务数据。“这些被遗忘或未管理的数据片段通常缺乏强有力的保护,成为具有吸引力的攻击目标。”此外,陈旧数据还可以为网络犯罪分子提供有价值的历史信息,使他们能够编写更有说服力的钓鱼邮件或社会工程攻击,从而增加成功攻击的可能性。

8、未能与业务建立桥梁

与非技术利益相关者的沟通不畅会导致误解和混乱,播下不信任的种子,缺乏对安全计划的支持,并在寻求安全预算批准时面临更大的挑战,全球技术研究和咨询公司ISG旗下Ventana Research的数字技术研究主管Jeff Orr说。

Orr建议使用业务术语来传达关键的安全问题及其对业务目标的影响。“提供示例以帮助将安全概念与业务活动联系起来。”Orr还建议CSOs在安全报告中更加清晰地阐释:“审查如何将安全决策与业务影响相关联。”

9、自满

最致命的职场错误是认为一切都在控制之中。这样的领导者完全把他们的信任寄托在安全项目和时间表上,安全技术提供商Radware的CISO Howard Taylor说:“他们过度信任行业认证能保护其业务免受网络攻击。”

例如,企业在遭遇灾难性的支付交易数据泄露后的遗言往往是:“我们刚刚通过了PCIDSS认证。”

参考链接:

https://www.csoonline.com/article/2144214/9-ways-csos-lose-their-jobs.html

前一篇32%的微软SQL服务器下月“过期”
后一篇大语言模型利用零日漏洞取得重大突破