在网络安全形势与合规双重挑战下,制定网络安全策略成为企业计划的一个重要方面。但许多企业在制定安全策略时难免走入误区。
接下来让我们盘点企业在制定网络安全策略中的10个误区。
误区1:审计走过场
进行全面的安全审计,却忽略了结果,像是“考完试”一样,过关了就放心了。
企业口头禅:后面的工作会弥补差距,查漏补缺…
误区2:部署安全工具,却无人管理
部署许多优秀的安全产品,却只将其设置为自动模式,后期管理或维护却束之高阁。
企业口头禅:这就够了。
误区3:应付合规
随着相关网络安全法律法规的施行,企业满足等级保护及其他相关安全合规成为必选项。但为应付合规要求,企业只满足等保最低要求就完事了。殊不知最低限度的合规还远远不够……
企业口头禅:我们是合规的。
误区4:寄希望于某一个安全工具
有多少企业还停留在防火墙、IDS/IPS与杀毒软件?老三样安全工具的时代早已结束,仅靠某一个安全产品来防范网络攻击,不是天真就是无知。
企业口头禅:希望别出事。
误区5:IT人员与安全人员互相扯皮
网络安全是涵盖的领域非常广泛,既包括黑客攻击这样的技术场景,也包括普通员工遭遇社会工程学攻击、勒索软件攻击或钓鱼邮件这样的场景,还包括企业内部员工导致的数据泄露等,牵涉的部门众多,绝不仅仅是安全人员自己的职责,需要包括IT部门乃至业务部门共同协作。
企业口头禅:这是IT部门的事。
误区6:陷入营销而忽视效果
当前市场网络安全产品众多,功能同质化严重。企业在不了解技术背景的情况下,过于相信销售人员的吹嘘或迷信产品参数,而忽视了实际效果。
企业口头禅:产品看上去不错。
误区7:保持默认安全设置
看到产品的强大安全能力,却只停留在默认安全设置上,无法发挥产品的真正安全能力。
企业口头禅:这样就可以了吧。
误区8:默默无闻,不会被攻击
这种心理在小企业中普遍存在,总觉得目标太小,没有价值,不会成为被攻击目标。
企业口头禅:没人注意到我们。
误区9:对安全不够重视,在战略上存在侥幸
觉得不会受到攻击,所以继续更重要的事情,把发展重点放在其他事情上,网络安全投入过少甚至忽略不计。或者说某段时间平安无事后,就开始削减安全预算。未将网络安全放到公司发展战略的高度。
企业口头禅:太贵、太复杂了,……没钱!
误区10:完全寄希望于网络保险
觉得不需要安全投入,只需购买保险就OK了,转移风险胜于降低风险。当然,对于网络保险尚不普及的国内市场来说,这一误区似乎并不常见。
企业口头禅:保险会赔付。
结语:
网络安全需要长期战略规划,更需要包括安全人员在内的每个人的共同努力,尤其是高层管理者,并最终落实到真正的安全能力上。
最后整理收纳一些网络安全学习相关书籍的PDF有需要的可以点击这里领取