@信仰
2年前 提问
1个回答

企业网络安全管理失败的原因是什么

在下炳尚
2年前

企业网络安全管理失败的原因是:

  • 对网络安全的认知存在不足。大多数员工,尤其是高管们认为,网络安全只是一个技术问题。因此,确保所有用户免受各种形式的网络威胁是IT部门的职责。然而,他们也应该意识到,网络安全只由IT部门负责的日子已经过去了。网络罪犯不断更新技术,不再只专注于攻击网络和计算机系统,他们利用新技术,使得攻击变得更加复杂。黑客攻击的发生可能仅仅是因为员工点击了某个链接或者接听了某个电话,也或许是利用了企业的自携设备(Bving Your Own Device,BYOD)等政策,导致安装了恶意软件的个人设备被带入了企业。物联网设备在企业中,尤其是在生产线上被广泛使用,这也是网络安全的噩梦。

  • 员工往往无视安全政策。他们认为这是一种限制性的、耗时的以及不必要的负担。最终,旨在保障企业安全的准则并没有得到遵守。然而,员工和高管所持有的这一类观点对任何企业的未来都是消极和危险的。威胁在持续不断地增加,许多企业,无论规模大小,都将很快面临这样或那样的威胁。由于员工未经培训,而且不重视安全政策,黑客可以很容易地入侵企业。当企业遭到攻击时,依赖于计算机系统的服务将会中断,业务运营将被迫停止,企业将遭受品牌、客户和客户忠诚度的损失,此外还将面临一系列负面影响。最重要的是,企业将为此承担损失,甚至遭受黑客的勒索。因此,高管们应该意识到业务和网络安全是相互交织的,没有网络安全,企业甚至可能会破产。

  • 缺乏对网络安全措施的采纳。企业中安全管理失败的第一个原因是缺乏对网络安全措施的采纳。网络安全措施需要得到企业管理人员的采纳,才能被成功实施。高管们不会为与企业目标不一致的计划买单,因此,IT人员必须能够证明他们想要在企业中实施的计划或措施对企业的目标是有益的。高管大多没有技术背景,他们对新计划或措施的接受往往较慢。例如,对于要求所有员工使用密码管理器这一措施,他们往往难以识别出这一措施的优点,因而很可能会拒绝这一提议。因此,IT安全经理需要善于引导高管关注严重的IT问题,解释这些问题如何影响业务,然后从高管那里获得支持。

  • 缺乏组织和规划。企业中安全管理失败的另一个原因是缺乏组织和规划。据说,大多数IT项目都失败了,很少有项目能在最初计划的范围或预算之内结束。网络安全项目也缺乏适当的规划。当IT安全经理从高管那里获得支持,准备执行计划时,他们需要根据项目的可交付成果和里程碑进行准备,对结果定义不准确是IT项目失败的关键因素之一。由于技术技能在IT项目中至关重要,因此项目需要有合适的人员配置。项目还需要保持在范围内,如果出现了超出范围和预算的新需求,则不应该被添加到项目中。

  • 领导能力不足。领导能力不足也是IT项目失败的一大原因。如果没有强有力的领导者,网络安全项目可能会迅速失败。对IT项目的支持需要从初始阶段持续到完成阶段。如果某个项目是要对员工进行社会工程学攻击方面的培训,那么安全部门的领导需要有社会工程方面的经验,并且要有一个经过深思熟虑的计划来对员工进行分批培训。如果没有强有力的领导,一些初级员工甚至会认为这是在浪费时间,从而不来参加培训。如果项目在如何实施方面存在冲突,则需要强有力的领导来做出处理与决断。

  • 缺乏连续性管理计划。有效的漏洞管理计划应该是持续的,而不是偶发的。如果企业不采取持续的方法,他们将难以控制漏洞的流动并积累大量“漏洞债务”。跟踪新涌现的漏洞往往会让安全团队疲于奔命,而处理不断积压的安全问题可能会使安全运营不堪重负。因此,漏洞管理应当使用以连续和自动化漏洞识别为中心的持续方法,而不是不定期的扫描和修复。这是企业持续改进安全态势的关键措施之一。