今天以及不久的將來(lái)，信息安全面臨的最嚴(yán)重的漏洞是什么？英特爾CISO Malcolm Harkins告訴我們，信息安全面臨的最大威脅就是人們對(duì)風(fēng)險(xiǎn)的誤解。

在今年波士頓舉辦的 Forrester安全論壇上，Harkins發(fā)表了演講并向與會(huì)的信息安全研究人員發(fā)問(wèn)：認(rèn)為現(xiàn)在他們組織內(nèi)部面臨的最大的風(fēng)險(xiǎn)是什么。一些人表示內(nèi)部威脅和人為原因占一部分。Harkins也多少同意這些觀點(diǎn)。但是他辯解道，對(duì)于安全問(wèn)題的夸大化或誤解才是最大的風(fēng)險(xiǎn)。

有兩個(gè)東西導(dǎo)致了誤解：經(jīng)濟(jì)和心理。在經(jīng)濟(jì)問(wèn)題上，當(dāng)決策者受到激勵(lì)機(jī)制或資源的影響時(shí)才會(huì)做出相應(yīng)的決策。

“作為一名安全專業(yè)人員，我已經(jīng)開始思考一個(gè)問(wèn)題，我們是否是決策架構(gòu)師？我們要試圖讓人們思考一些事情并做出決策。”他說(shuō)。

從心理學(xué)的角度來(lái)看，人們獲得的利益越大，風(fēng)險(xiǎn)的可能性也就越大。例如，企業(yè)部署像云計(jì)算、虛擬化和社交媒體等技術(shù)。所有的這些對(duì)于企業(yè)來(lái)說(shuō)都意味著很大的優(yōu)勢(shì)，但同時(shí)也意味著他們面臨的安全風(fēng)險(xiǎn)的可能性加大。Harkins說(shuō)。

但是新技術(shù)的部署卻使一些事情變得復(fù)雜了，因?yàn)槿藗儗?duì)于這些技術(shù)的風(fēng)險(xiǎn)認(rèn)知存在盲區(qū)。低估風(fēng)險(xiǎn)會(huì)使人們?cè)谟龅揭粋€(gè)安全事件的時(shí)候不能做到適當(dāng)?shù)臏?zhǔn)備。高估風(fēng)險(xiǎn)意味著組織投入到一個(gè)領(lǐng)域過(guò)多的關(guān)注而忽視了其他的問(wèn)題。

“我們中有多少人經(jīng)常會(huì)收到經(jīng)理的郵件，問(wèn)一些關(guān)于風(fēng)險(xiǎn)的事情。他們總想知道我們對(duì)于風(fēng)險(xiǎn)的態(tài)度。”他說(shuō)，“這種夸大就像低估一樣讓人感到沮喪。”

人們必須要做的是平衡這兩個(gè)極端，減少對(duì)風(fēng)險(xiǎn)的誤解是客觀的、敏捷和具有影響力的。他列舉了部署這些要素到日常工作中安全專業(yè)人員需要做的4個(gè)重要事情，它們是：

預(yù)測(cè)：使用適當(dāng)?shù)墓ぞ叽_定攻擊的身份、動(dòng)機(jī)和手段。

堅(jiān)持：用手段和耐力與其他的組織內(nèi)部決策者進(jìn)行斗爭(zhēng)。

耐心：用耐心持之以恒。不要成為警告者。冷靜等待出現(xiàn)轉(zhuǎn)機(jī)的那一刻。

未雨綢繆：面對(duì)安全事件或安全漏洞，做好充分的應(yīng)對(duì)準(zhǔn)備。

“如果你做到了這些，你就會(huì)在組織內(nèi)部對(duì)人們形成持續(xù)的影響。他們將會(huì)把你看作是那些能夠?qū)酒鸬奖Ｗo(hù)作用的合作伙伴。”Harkins指出：“不要用受害者的手段去管理信息風(fēng)險(xiǎn)和安全。”