当提到信息安全时,你会想到什么?我猜应该是技术相关的东西,例如防火墙、密码和加密,以及它们试图阻止的数据泄露事故和事件。毕竟,这些都是最受关注的核心安全组件,它们是这个等式的重要组成部分,但这些“解决方案”并不意味着完备的信息安全计划。
我们花钱购买产品,接受培训课程,并对产品有衡量指标。但这都不是真正的安全问题所在。为了提高防御的有效性,企业的员工还具备特定的网络安全“软”技能。
其实很多更大的安全挑战涉及没人讨论的事情:
- 薄弱的领导力,有限的支持;
- 缺乏资金支持;
- 追求中庸的企业文化;
- 用户自己做出决定;以及
- 技术人员难以被理解
市面上有数百甚至数千家供应商可以提供产品和服务来解决人类已知的每一项安全挑战。但我们真正面对的问题是人的问题,沟通不畅、政治、权力斗争等,在网络安全方面缺乏这些技能会带来与其他业务领域面临的相同挑战。
在安全领域,不同之处以及通常为什么事情无法完成在于,很多人对安全领域的观念:安全是IT需要解决的问题。这导致常见问题:技术人员会突然出现并试图控制安全的各个方面。通常情况下,不是由正确的人员做出安全决策,管理层又无法看到价值,用户仍然不受支持,安全领域的恶性循环仍在继续。
为解决现代信息安全挑战,IT和安全专业人员应该更少关注技术问题,转而更多关注人际问题。我认为,80%的有效信息安全计划涉及人际技能。奇怪的是,似乎没有人参加这种网络安全技能课程。
在网络安全领域,从安全有效性来看,软技能方法比技术技能更有效。尽管人们知道这个道理,但实际来看,技术知识似乎仍胜过一切。我曾参加过国家和地区信息安全会议,其中都有会议涉及为实现网络安全成功但安全职业以及基本软技能。但这些会议并没有很多人参加,远不及威胁搜寻、加密货币和勒索软件等酷炫主题会议。
我不认为信息安全技能短缺,至少在技术技能层面看是这样。技术技能并不稀罕,这个领域有大量聪明的人可以解决技术问题。但技术问题并不是安全问题的全部,在网络安全领域,真正缺乏人际、沟通和商业技能。技术专业人员需要反省自己,而不是将安全问题归咎于管理层和用户。这就是挑战所在。
减少安全事件和数据泄露事故数量的唯一合理方法是,获得并维持必要的支持,以支持持续安全计划。这需要通过培养情商以及提高技能来实现,例如如何成为更好的销售人员、提高演讲技巧、促进商业中的积极关系等。
在这方面,并没有神奇的解决方案,但我可以向你保证,答案不是更多的技术知识。而是专注于软技能。正如在“医疗保健”行业,我们有大量聪明的医生和大量的药物(可能)解决我们所有的问题。然而,2型糖尿病、精神障碍和其他看似无法解决的疾病仍处于历史最高水平。
无论是医疗保健行业还是信息安全行业,我们都会继续遭受这种痛苦,因为这些病症正在得到治疗或被掩盖,而不是解决根本问题。你的安全计划不必停滞不前。你需要知道,你不一定需要更多产品,而且你不需要更多技术技能。你只需要确定你的盲点在哪里,并努力解决这些问题。这一切都取决于你。。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]