企業(yè)安全主管（CSO）們的飯碗正變得越來越脆弱，他們可以正確一百次，但只要一次失誤，就足以葬送一切。

只需一個愚蠢的決定、一個簡單的疏忽或是一次糟糕的溝通，一個錯誤的假設(shè)，或者聽信了一個錯誤的建議，就可能導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件，讓CSO失去一切。

要想避免職場翻車，CSO必須了解并避免以下九大致命錯誤：

1.過度自信

自負(fù)往往會導(dǎo)致CSO職業(yè)生涯過早終結(jié)，特別是部署未經(jīng)驗證但媒體熱炒的安全解決方案時。

XYPRO.com的CISO Steve Tcherchian表示：

“自負(fù)會產(chǎn)生安全盲區(qū)，增加人為錯誤的風(fēng)險，并在利益相關(guān)者中產(chǎn)生虛假的安全感，直到發(fā)生重大事件，導(dǎo)致災(zāi)難性的網(wǎng)絡(luò)安全事件?！?/p>

過度自信還會導(dǎo)致安全懈怠。Tcherchian觀察到：“當(dāng)個人或組織認(rèn)為當(dāng)前的安全流程已經(jīng)足夠時，他們會失去警惕，變得容易受到新威脅的攻擊。”結(jié)果是，安全漏洞未被發(fā)現(xiàn)，防御措施也過時了。

2..增加復(fù)雜性

當(dāng)安全領(lǐng)導(dǎo)者失去對基本任務(wù)的關(guān)注，轉(zhuǎn)而被最新的技術(shù)和熱門話題所吸引時，職業(yè)生涯往往會“脫軌”。咨詢公司EY的全球和亞太區(qū)網(wǎng)絡(luò)安全咨詢負(fù)責(zé)人Richard Watson指出，結(jié)果是CSO購買了大量技術(shù)，增加了不必要的復(fù)雜性和無謂的干擾。

復(fù)雜性帶來的挑戰(zhàn)在于它增加了成本，而此時網(wǎng)絡(luò)預(yù)算正受到越來越嚴(yán)格的審查，并且它會削弱組織的網(wǎng)絡(luò)防御?！芭c所有技術(shù)整合一樣，可能會出現(xiàn)漏洞，攻擊者正是通過這些漏洞獲得優(yōu)勢，”Watson指出。

更糟糕的是，復(fù)雜性會導(dǎo)致虛假的安全感，組織會覺得擁有最新的技術(shù)創(chuàng)新就能保護(hù)自己。Watson報告說，EY最近對世界500強企業(yè)進(jìn)行的一項研究發(fā)現(xiàn)，頂尖的安全績效企業(yè)正在采用簡化策略，向單一集成平臺靠攏。

3.忽視GRC

在沒有制定正式的治理風(fēng)險與合規(guī)（GRC）計劃的情況下部署網(wǎng)絡(luò)安全技術(shù)堆棧，可能會輕易摧毀CSO的職業(yè)生涯。

無線網(wǎng)絡(luò)服務(wù)公司Velaspan的CISO Scott Hawk表示：“這個錯誤可能是災(zāi)難性的，因為它會影響業(yè)務(wù)的許多方面?！睕]有堅實的GRC計劃，安全領(lǐng)導(dǎo)者更有可能在技術(shù)上超支，產(chǎn)生虛假的安全感，錯過關(guān)鍵的安全組件，并與業(yè)務(wù)的其他部分產(chǎn)生不對齊。

GRC框架確保風(fēng)險管理、合規(guī)要求和治理集成到組織的整體戰(zhàn)略中。“GRC將創(chuàng)建一個全企業(yè)范圍內(nèi)的關(guān)于網(wǎng)絡(luò)安全的對話，有助于設(shè)定優(yōu)先級并推動采用，”Hawk說。GRC旨在使網(wǎng)絡(luò)安全成為業(yè)務(wù)的促進(jìn)者。

4.未能將網(wǎng)絡(luò)安全與企業(yè)目標(biāo)對齊

網(wǎng)絡(luò)安全專家犯的最大錯誤不是技術(shù)錯誤、誤算，甚至不是未能預(yù)見潛在威脅，而是未能站在企業(yè)角度（背景）理解和制定網(wǎng)絡(luò)安全計劃。這也是一個常見的“職業(yè)殺手”錯誤。

網(wǎng)絡(luò)安全應(yīng)在企業(yè)使命、目標(biāo)和目標(biāo)的背景下執(zhí)行?！熬W(wǎng)絡(luò)安全優(yōu)先級和投資的目標(biāo)是保護(hù)對企業(yè)生存最重要的東西。”網(wǎng)絡(luò)安全平臺提供商Axio的高級網(wǎng)絡(luò)安全顧問Richard Caralli說。

Caralli補充道，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要在制定和執(zhí)行網(wǎng)絡(luò)安全計劃時優(yōu)先考慮企業(yè)關(guān)鍵成功因素。未能將網(wǎng)絡(luò)安全工作與組織價值對齊，會導(dǎo)致投資失調(diào)、資源利用不善和總體糟糕的網(wǎng)絡(luò)安全結(jié)果?！?/p>

5.低估訪問控制的重要性

許多安全領(lǐng)導(dǎo)者擔(dān)心系統(tǒng)后門而忽視了訪問權(quán)限帶來的威脅，身份安全和治理技術(shù)提供商Zilla Security的聯(lián)合創(chuàng)始人Nitin Sonawane警告說：“身份是系統(tǒng)的前門?！焙鲆暡话踩蚺渲缅e誤的身份是一個大錯誤。

企業(yè)通常未能充分管理前員工和合同工的訪問權(quán)限，導(dǎo)致孤兒賬戶被威脅者利用。同時，現(xiàn)有員工在擔(dān)任新職責(zé)時，通常會累積對敏感系統(tǒng)和數(shù)據(jù)的訪問權(quán)限?！斑^度授權(quán)的身份在遭受攻擊時帶來了更大的風(fēng)險，”Sonawane警告說。

Sonawane認(rèn)為，最有效的身份管理方法是使用AI。大多數(shù)組織今天都維護(hù)HR應(yīng)用程序，如Workday、Paylocity或BambooHR，作為每個用戶業(yè)務(wù)概況的真實來源。當(dāng)發(fā)生人員調(diào)動時，企業(yè)通常希望新主管決定用戶應(yīng)保留哪些權(quán)限。“新主管具有業(yè)務(wù)背景可以做出這些決策，而AI可以幫助他們確定誰需要哪些訪問權(quán)限，以及哪些權(quán)限超出了業(yè)務(wù)功能范圍?！?/p>

6.忽視人的因素

安全領(lǐng)導(dǎo)者犯的最大錯誤是完全專注于技術(shù)解決方案和流程，IT咨詢公司Presidio的現(xiàn)場CISO Dan Lohrmann說。人才是最大的安全漏洞，他警告說：“低估人際關(guān)系的安全專家將失敗?！?/p>

Lohrmann說，員工試圖繞過安全控制措施、政策和程序的傾向會導(dǎo)致一系列內(nèi)部威脅：“這為那些試圖做壞事或偷竊的人打開了大門，并可能導(dǎo)致聲譽和品牌損害，像勒索軟件攻擊或其他數(shù)據(jù)泄露一樣造成毀滅性打擊。”

員工和其他授權(quán)人員也可能變得狡猾，Lohrmann指出：“我見過有人通過拖延時間、公開在團(tuán)隊中制造不和、對抗領(lǐng)導(dǎo)或既定的組織目標(biāo)、冒著不必要的風(fēng)險來破壞優(yōu)秀的網(wǎng)絡(luò)安全項目。”

更好的招聘實踐，包括徹底的背景調(diào)查，可以大大提高內(nèi)部安全性，Lohrmann說道：“注意員工的倦怠跡象也同樣重要?！?/p>

7.未及時銷毀廢棄數(shù)據(jù)

存儲在云中的陳舊數(shù)據(jù)可能被隱藏和遺忘，也可能像定時炸彈一樣毫無征兆地摧毀CSO的職業(yè)生涯。數(shù)據(jù)安全軟件提供商Metomic的CEO Rich Vibert表示：“遺留陳舊數(shù)據(jù)帶來重大風(fēng)險，從安全漏洞到合規(guī)問題，這個錯誤尤為重要，因為它是完全可以預(yù)防的?！?/p>

未授權(quán)訪問是主要問題，Vibert表示：“如果未嚴(yán)格維護(hù)和更新訪問控制，舊文件中包含的敏感信息很容易落入不法之徒手中?！碑?dāng)前員工或外部合作者繼續(xù)擁有文件訪問權(quán)限時，風(fēng)險會增加。

Vibert說，當(dāng)攻擊者捕獲到廢棄文件時，數(shù)據(jù)泄露的可能性會增加，這些文件可能包含個人信息、財務(wù)記錄或機(jī)密業(yè)務(wù)數(shù)據(jù)?！斑@些被遺忘或未管理的數(shù)據(jù)片段通常缺乏強有力的保護(hù)，成為具有吸引力的攻擊目標(biāo)。”此外，陳舊數(shù)據(jù)還可以為網(wǎng)絡(luò)犯罪分子提供有價值的歷史信息，使他們能夠編寫更有說服力的釣魚郵件或社會工程攻擊，從而增加成功攻擊的可能性。

8.未能與業(yè)務(wù)建立橋梁

與非技術(shù)利益相關(guān)者的溝通不暢會導(dǎo)致誤解和混亂，播下不信任的種子，缺乏對安全計劃的支持，并在尋求安全預(yù)算批準(zhǔn)時面臨更大的挑戰(zhàn)，全球技術(shù)研究和咨詢公司ISG旗下Ventana Research的數(shù)字技術(shù)研究主管Jeff Orr說。

Orr建議使用業(yè)務(wù)術(shù)語來傳達(dá)關(guān)鍵的安全問題及其對業(yè)務(wù)目標(biāo)的影響?！疤峁┦纠詭椭鷮踩拍钆c業(yè)務(wù)活動聯(lián)系起來。”O(jiān)rr還建議CSOs在安全報告中更加清晰地闡釋：“審查如何將安全決策與業(yè)務(wù)影響相關(guān)聯(lián)?！?/p>

9.自滿

最致命的職場錯誤是認(rèn)為一切都在控制之中。這樣的領(lǐng)導(dǎo)者完全把他們的信任寄托在安全項目和時間表上，安全技術(shù)提供商Radware的CISO Howard Taylor說：“他們過度信任行業(yè)認(rèn)證能保護(hù)其業(yè)務(wù)免受網(wǎng)絡(luò)攻擊?！?/p>

例如，企業(yè)在遭遇災(zāi)難性的支付交易數(shù)據(jù)泄露后的遺言往往是：“我們剛剛通過了PCIDSS認(rèn)證?！?/p>