會給網(wǎng)絡(luò)安全帶來不利影響的7種心態(tài)以及如何避免

責(zé)任編輯:cres

作者:Matthew

2023-04-20 13:55:07

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

首席信息安全官和其他網(wǎng)絡(luò)安全人員有時會從消極的角度看待問題,考慮到他們工作的性質(zhì),這是可以理解的。糾正他們對網(wǎng)絡(luò)安全工作的心態(tài)和看法可以帶來更積極的結(jié)果。

網(wǎng)絡(luò)安全工作讓人精疲力竭,這不是什么秘密。高壓的工作環(huán)境似乎每天都在增加網(wǎng)絡(luò)安全專業(yè)人員的工作和要求。造成這種情況的原因有很多,最根本的原因是人們對網(wǎng)絡(luò)安全的看法。通過有意識地認(rèn)識到一些破壞網(wǎng)絡(luò)安全的心態(tài),可以避免或改變它們,更好地為網(wǎng)絡(luò)安全的成功做好準(zhǔn)備。
 
為什么心態(tài)很重要
 
網(wǎng)絡(luò)安全是一個技術(shù)性很強的領(lǐng)域。在某種程度上,這是一門硬科學(xué)。在另一方面,這是一場非常人性化的戰(zhàn)斗,由心理和士氣驅(qū)動。網(wǎng)絡(luò)安全人員的工作效率取決于他們的精神狀態(tài),這受到了企業(yè)對網(wǎng)絡(luò)安全及其在業(yè)務(wù)中的作用的一些假設(shè)的影響。
 
以下是會給網(wǎng)絡(luò)安全帶來不利影響的7個心態(tài),網(wǎng)絡(luò)安全人員需要將其心態(tài)轉(zhuǎn)變?yōu)楦辛α亢椭С中缘男拍?,以便建立更健康的網(wǎng)絡(luò)安全環(huán)境:
 
1.安全是目的地
 
也許關(guān)于網(wǎng)絡(luò)安全的一個潛意識是,網(wǎng)絡(luò)安全是最終的目的地,只要到達(dá),就可以將網(wǎng)絡(luò)安全擱置一邊。這并不是刻意的想法,因為網(wǎng)絡(luò)安全人員知道保護(hù)數(shù)字業(yè)務(wù)是一項持續(xù)的努力。但是他們可能下意識地認(rèn)為完成了網(wǎng)絡(luò)安全的工作,至少在一段時間內(nèi)能夠放松。
 
這只會給每個人帶來不必要的壓力。當(dāng)網(wǎng)絡(luò)安全人員認(rèn)為網(wǎng)絡(luò)安全的努力是有限的,并且發(fā)現(xiàn)總是有更多的事情要做時,就會產(chǎn)生失望感或失敗感。無論是什么原因,都會認(rèn)為是他們的錯,他們從來沒有到達(dá)目的地。
 
網(wǎng)絡(luò)安全工作是一個持續(xù)的過程,網(wǎng)絡(luò)安全人員需要認(rèn)清現(xiàn)實,并消除額外的壓力,即當(dāng)達(dá)到網(wǎng)絡(luò)安全完整性時,他們似乎從未達(dá)到解決問題或一勞永逸的目的。其答案是不要在難以解決問題的情況下承擔(dān)壓力。與其相反,需要將網(wǎng)絡(luò)安全看作是一次穿越各種地形的冒險活動:有時上山,有時下山;有時輕松,有時費力。在旅途中會有許多休息的地方,在休息之處繼續(xù)前行。
 
2.網(wǎng)絡(luò)安全主要由網(wǎng)絡(luò)安全人員負(fù)責(zé)
 
通常情況,人們認(rèn)為網(wǎng)絡(luò)安全人員應(yīng)該承擔(dān)網(wǎng)絡(luò)安全的主要責(zé)任,但這種想法是不正確的,這導(dǎo)致了兩個不幸的結(jié)果:首先,這似乎讓其他人都擺脫了網(wǎng)絡(luò)安全責(zé)任。其次,它巧妙地孤立了安全人員,就好像他們在孤軍奮戰(zhàn)一樣。
 
軟件開發(fā)人員應(yīng)該在軟件生命周期的每一個階段都考慮安全性,而不是在交付之前一直忽視它。其他人也應(yīng)該如此。只有記住這一點,人們才能隨時準(zhǔn)備發(fā)現(xiàn)網(wǎng)絡(luò)釣魚和其他攻擊。
 
當(dāng)然,網(wǎng)絡(luò)安全人員是網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和向?qū)В罱K,網(wǎng)絡(luò)安全是每個人的責(zé)任,企業(yè)每個員工都應(yīng)該感到有能力為企業(yè)的整體安全態(tài)勢做出貢獻(xiàn)。通過將網(wǎng)絡(luò)安全視為每個人的責(zé)任,作為一種協(xié)作的努力,將建立一個更強大的社區(qū)。
 
3.網(wǎng)絡(luò)安全問題只會變得越來越難
 
沒有什么比無休止的任務(wù)變得更加困難更令人沮喪的事情了。有時候,保護(hù)企業(yè)的網(wǎng)絡(luò)安全就像大力士西西弗斯把巨石推到山上,只不過巨石每天都在變大。網(wǎng)絡(luò)犯罪分子如今變得更加狡猾老練,使用更好的工具和技術(shù),而網(wǎng)絡(luò)安全人員必須保護(hù)的數(shù)字基礎(chǔ)設(shè)施變得更加龐大、復(fù)雜和相互關(guān)聯(lián)。
 
事實上,網(wǎng)絡(luò)安全人員和黑客之間的斗爭就像潮汐一樣彼此反復(fù)。網(wǎng)絡(luò)安全人員有時處于有利地位,有時處于不利地位。勒索軟件攻擊的情況就是一個很好的例子:有一段時間,網(wǎng)絡(luò)犯罪分子似乎掌握了主動權(quán),但網(wǎng)絡(luò)安全人員迅速做出回應(yīng),并取得了可衡量的成果。當(dāng)然,這種反復(fù)仍在繼續(xù),但總的來說,網(wǎng)絡(luò)安全人員的處境要穩(wěn)定得多。
 
通過接受網(wǎng)絡(luò)安全工作的周期性,網(wǎng)絡(luò)安全人員可以采取這樣一種態(tài)度,在威脅增加時加大力度應(yīng)對,在威脅下降時可以適當(dāng)?shù)匦菹ⅰ>W(wǎng)絡(luò)安全人員需要一直保持警惕,但并不總是處于一級戒備狀態(tài),保持心態(tài)平衡是網(wǎng)絡(luò)安全獲得長期成功的關(guān)鍵。
 
4.網(wǎng)絡(luò)安全是一種產(chǎn)品
 
網(wǎng)絡(luò)安全通常被看作是在實際基礎(chǔ)設(shè)施上的一種獨立功能或附加產(chǎn)品,或者是等待最終確定和交付的獨立事物。這是軟件開發(fā)行業(yè)一個長期存在的觀點,類似于人們曾經(jīng)思考質(zhì)量的方式:作為事物的一個獨特而獨立的組成部分。
 
亞里士多德有一句名言:“品質(zhì)不是一種行為,而是一種習(xí)慣。”就像質(zhì)量一樣,安全不是一種產(chǎn)品,而是一個正在進(jìn)行的旅程。人們需要將網(wǎng)絡(luò)安全視為一種實踐,不斷地完善和磨練。就像人們通過定期鍛煉和注意飲食將會變得更健康一樣,網(wǎng)絡(luò)安全也是如此。如果人們擅長吉他或武術(shù)等技能,必須不斷地完善和改進(jìn),并且總是會有更多的收獲,網(wǎng)絡(luò)安全也是這樣。
 
與其哀嘆這一事實,不如深入了解它,并利用它來推動網(wǎng)絡(luò)安全人員的努力。在總是有發(fā)展空間以及能夠充分發(fā)揮人們能力的領(lǐng)域工作,其實是一件幸事。這種觀點應(yīng)該與企業(yè)的其他員工共享,以便每個人都能采用正在實踐網(wǎng)絡(luò)安全的心態(tài),網(wǎng)絡(luò)安全人員和其他員工在一起工作和學(xué)習(xí)。
 
安全性不應(yīng)該作為一種產(chǎn)品來交付,它應(yīng)該是一種習(xí)慣。網(wǎng)絡(luò)安全的產(chǎn)品和工具只是必然結(jié)果和輔助。人們在安全方面真正建立的是文化、態(tài)度和意識。簡而言之,網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全人員每天都在實踐的工作,無論是個人還是企業(yè)。
 
5.網(wǎng)絡(luò)安全是由網(wǎng)絡(luò)犯罪驅(qū)動的
 
網(wǎng)絡(luò)安全人員有時感覺只是在和網(wǎng)絡(luò)罪犯玩打地鼠游戲,就好像網(wǎng)絡(luò)罪犯控制著游戲節(jié)奏一樣,這讓網(wǎng)絡(luò)安全人員疲于奔命,或者不斷尋找網(wǎng)絡(luò)罪犯破壞系統(tǒng)的新方法。當(dāng)網(wǎng)絡(luò)安全人員認(rèn)為網(wǎng)絡(luò)安全只是應(yīng)對網(wǎng)絡(luò)犯罪活動的工作時,他們會讓自己感到失去控制并且沮喪。
 
事實上,商業(yè)處于主導(dǎo)地位。企業(yè)的價值和創(chuàng)造力是一個誘人的目標(biāo),網(wǎng)絡(luò)罪犯試圖利用它。這并不是在低估網(wǎng)絡(luò)犯罪分子,事實上,網(wǎng)絡(luò)罪犯在網(wǎng)絡(luò)攻擊活動中非常狡猾,網(wǎng)絡(luò)安全人員必須認(rèn)真應(yīng)對。
 
只有合法經(jīng)營才有價值,而犯罪活動是寄生的。顯然,網(wǎng)絡(luò)安全是由業(yè)務(wù)驅(qū)動的。沒有網(wǎng)絡(luò)安全行業(yè),網(wǎng)絡(luò)犯罪份子也就無利可圖。安全專家是企業(yè)業(yè)務(wù)安全的守護(hù)者,而犯罪分子則試圖竊取他們所能竊取的任何東西。網(wǎng)絡(luò)安全人員可以通過采取積極的措施(例如進(jìn)行滲透掃描)來闡明這一點。
 
6.安全性是100%可實現(xiàn)的
 
可測量的因素對良好的安全性至關(guān)重要。像平均檢測時間這樣的指標(biāo)能夠使網(wǎng)絡(luò)安全人員監(jiān)視并衡量項目的有效性。問題是,網(wǎng)絡(luò)安全人員開始認(rèn)為指標(biāo)應(yīng)該總是朝著積極的方向發(fā)展,或者保持在接近完美的區(qū)域。
 
指標(biāo)是指引網(wǎng)絡(luò)安全人員的風(fēng)向標(biāo),而不是可以完成的目標(biāo)。關(guān)鍵是要采取一些措施,讓事情朝正確的方向發(fā)展,并在出現(xiàn)問題時利用這些信息采取行動。因此,安全性要求網(wǎng)絡(luò)安全人員接受度量結(jié)果。在關(guān)注KPI時應(yīng)該將其視為一種監(jiān)視儀表板,監(jiān)視系統(tǒng)的健康狀況。不斷追求完美將會扭曲安全性指標(biāo),因此進(jìn)行誠實的評估是關(guān)鍵。
 
7.網(wǎng)絡(luò)安全工作吃力不討好
 
人們原來的想法是,只有當(dāng)網(wǎng)絡(luò)安全失敗時才會被人關(guān)注。更糟糕的是,網(wǎng)絡(luò)安全有時被視為一種必要的邪惡,是技術(shù)創(chuàng)新或完成工作的障礙。如果每個人忘記網(wǎng)絡(luò)安全、質(zhì)量和客戶滿意度,就可以更快地發(fā)展,就像可以專注于構(gòu)建軟件一樣。這聽起來很荒謬,就像在發(fā)展的每個階段都需要考慮網(wǎng)絡(luò)安全問題一樣荒謬。
 
當(dāng)某件事出錯并發(fā)現(xiàn)重大漏洞時,往往會引起人們的關(guān)注。他們通常會提出一些問題,例如,這是怎么發(fā)生的?是誰搞砸了?必須有人站出來承擔(dān)責(zé)任。但一直以來,當(dāng)事情進(jìn)展順利時,人們忽略了加強網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全人員,或者更糟的是,感覺他們很礙事。
 
只在網(wǎng)絡(luò)安全性失效時才讓人們關(guān)注的這種情況需要改變,網(wǎng)絡(luò)安全應(yīng)該始終得到重視。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號