在本周早些时候,一份评论发表在山上发送信息安全(信息安全)推特陷入了一种恐慌归咎于网络安全业界最佳实践引人注目的最新安全漏洞。安全团队Forrester,专栏的安全神话,我们被迫破产。

神话# 1:最好的Infosec专业从来没有安全事件

鼻子快速计数在Forrester安全和风险(识别)团队决定,如果安全团队只有雇佣的人从来没有在一家公司工作,已经经历了一个安全事故,我们大多数人将不再是就业。我们在Twitter上公布了一项民意调查,我们预期的反应证实了:

违反对公司学习的机会,从业者,整个行业。差距可见性、程序性错误,可怜的实现,糟糕的决策,不正确或不完整的信息都可以使违反更糟。我们学习如何克服这些通过共享信息,不羞辱人。

神话# 2:完美的安全存在

不仅有我们大多数人在一个公司工作经历了一个事件,但事件是不可避免的。百分之五十九的全球安全决策者应对Forrester分析商业科技消费学®安全调查,2020年,说他们公司的敏感数据是违反了过去一年至少一次。事件发生。破坏发生。聪明的组织不要扔石头或追逐救护车而是方法安全与post-breach心态

那些缺乏安全可能相信zero-incident安全的理解是可能的,或者完美的首席信息安全官是从来没有一个事件。这是一些误解的安全和风险之间的区别。如果你想要完美的安全,从网络上断开,拔掉每台计算机。因为这是不现实的,安全团队承担可能的风险,并找出在多大程度上他们可以公开组织仍然做生意但减少违约的可能性。

神话# 3:安全最佳实践是学术理想,不工作

很容易批评模糊的“安全最佳实践”不够健壮的防止攻击,但大多数专家会告诉你破坏的发生并不是由于不恰当的最佳实践,但由于未被跟踪的最佳实践。陈述需要“复兴”在安全空间直接无法理解或带来共鸣的深度挑战。很容易说,安全行业需要复兴;很难真正说,那将会是什么样子,如何更好的解决我们所面临的挑战。很容易说,“让我们实现零信任。“很难有执行。在战壕里的任何人都可以解释为什么,就像内容营销人员知道是不够写博客的术语和产品经理知道他们想要他们不能实现每一个杀手特性。

泡沫破灭的神话和影响安全真正需要的变化

最悲哀的事情是,虽然这些神话环假最安全从业人员,有一个子集在IT和业务可能相信他们。毕竟,安全并不一定声誉的乐观,这是职业一直在努力改正。不幸的是,这种缺乏支持充其量是无益的,在最坏的情况下受到了严重损害。事实上,最大的原因之一毒性在安全今天是缺乏组织的支持。

虽然很容易沮丧和过时的的观点,有些步骤可以帮助弥合这一差距的理解。建立安全文化,把一些关注透明度,推动外筒仓和分享最佳实践和成功的原因,他们的收益。

一个有安全意识的和透明的文化有可能使或打破安全程序和你的品牌的上升势头。这不会发生奇迹,但是通过一个有条不紊的:1)与你的董事会从顶部定下了基调;2)建立一个以人为中心的安全计划;3)构建支持,管理批评者,导航政治;4)移动筒仓安全冠军外,是否他们开发人员帮助你解决应用程序安全性问题冠军帮助你重塑;5)小号你跨组织的进步和成功。