文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

CISO反复踩坑的七大风险管理认知错误

2024-11-28 16:20

关注

有效的风险管理不仅是确保企业免受潜在网络攻击的前提,更是维持业务连续性、保护公司声誉和法律合规的重要保障。然而,尽管许多CISO具备丰富经验和良好意图,许多人在风险管理实践中仍会反复踩坑,以下是CISO最常犯的七个风险管理认知错误:

1.陷入“救火模式”

许多CISO常常陷入日常琐事和紧急问题的处理,忽视了制定明确的风险管理目标。德勤网络安全专家Kristi Preuss指出,CISO应避免陷入“灭火模式”,而应通过建立明确的安全计划来保持企业战略的清晰性和前瞻性。CISO应摆脱“被动式”管理,定期评估和更新安全计划,确保信息安全投资到位,降低企业的整体网络风险。

2.过度依赖风险评估

有些CISO陷入了过度控制和频繁风险评估的困境。谷歌云CISO办公室的全球负责人Nick Godfrey提醒说,虽然初期的风险评估有助于发现漏洞,但长期频繁的评估反而会导致资源浪费,忽视了其他更有价值的投资机会。CISO应平衡资源分配,在保障低风险的同时,将更多精力投入提高效率和能力建设,优化风险控制措施。

3.忽视企业安全文化建设

建立良好的企业安全文化至关重要,但CISO往往认为这是安保部门的责任。NCC集团的风险管理主管Sourya Biswas强调,安全文化应该从企业高层传递,CISO必须确保企业各级人员都理解并实践安全文化,而不仅仅停留在口头上。高层领导的行为和态度对安全文化的形成至关重要,员工只有看到领导真正遵循安全原则时,才会跟随效仿。

4.过度自信导致防护失效

CISO最大的失误之一就是过度相信既有的安全策略和认证。Radware的CISO Howard Taylor提醒,网络威胁不断变化,CISO应时刻保持警惕,不断改进和验证安全防护措施。过于依赖过去的安全方案,尤其是长时间未更新的策略,可能导致企业在面对新型攻击时毫无防备。

5.追求合规而非真正的安全

许多CISO将合规与安全划等号,陷入了“打勾心态”。ISG研究公司数字技术主管Jeff Orr指出,CISO往往只关注合规性,忽视了实际的安全威胁。CISO应采取基于风险的安全管理方法,定期重新评估现有安全策略的有效性,确保应对不断变化的威胁,而非仅仅满足监管要求。

6.缺乏有效的度量与治理模型

Tufin公司首席技术官Erez Tadmor建议,CISO不仅要依赖安全工具,还要构建并定期审查有效的度量和治理模型。这些模型有助于确保安全政策与监管要求、行业最佳实践和企业自身需求保持一致。没有明确的度量指标和治理框架,CISO很难衡量安全计划的成效,也无法及时发现潜在的配置错误。

7.忽视运营弹性计划

最后,CISO需要建立强大的运营弹性计划,以应对网络攻击带来的业务中断风险。Semperis公司的CISO Jim Doggett指出,运营弹性计划应涵盖企业整个生态系统,包括供应商、合作伙伴和其他相关方。CISO应确保全企业参与运营弹性计划的制定和执行,而不是仅由安全团队独自承担。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯