严重损害网络安全有效性的4个误区

6月5日，2023年Gartner安全与风险管理峰会在美国马里兰州正式开幕。在峰会开幕演讲中，Gartner高级分析师Leigh McMullen表示：如今许多企业组织的CISO和安全团队尽管已经为企业安全建设工作付出了最大的努力，但仍然感到精疲力竭，因为没有达到预期的防护效果。

而造成这个结果的主要原因是以下四个常见的错误认知，它们阻碍了企业充分发挥网络安全的价值也影响了安全计划的实施效果。

一、总是认为数据越多保护效果就越好

如今，利用大数据分析技术可以快速提升网络安全防护能力。例如，在分析高级持续性威胁（APT）时，通过大数据分析可以大幅提升APT威胁的发现能力，快速有效发现安全异常情况。

然而问题在于，数据越多，包含的垃圾数据也越多，如果无法有效的清理和编译数据，对大数据的使用将会失去意义。Gartner的研究发现，有三分之二的企业组织未能通过量化分析网络风险推动网络安全的决策和行动能力。

McMullen认为，明智的CISO应该要恪守最低有效洞察力（Minimum Effective Insight）原则，根据企业实际拥有的资源和能力，合理决策对数据的采集和使用，而不是一味追求更多的数据和有效性未知的安全分析报告。在开展安全数据分析时，CISO应该使用以结果为导向的度量指标（ODM）方法，将安全和风险操作度量指标与企业最关键的安全防护工作目标联系起来。

二、认为技术工具越多就越能起到保护作用

根据Gartner的研究预测，尽管2023年全球企业和组织在网络安全技术、产品及服务方面的支出将超过1900亿美元，同比增长12.7%。然而，即使企业在网络安全工具和技术上持续加大投入，各种网络安全事件仍然层出不穷，安全威胁发展态势仍然严峻。

企业的网络安全部门一直强调设备的重要性，总以为更先进的技术产品就一定能够带来更好的安全性，但这样不仅增加了企业安全运营工作的压力，还带来了更大的威胁暴露面。

事实上，想要真正提升网络安全运营效率，企业组织应只应用实现安全观察、防御和响应所必需的最少技术。从整体网络安全架构的视角，考量各种安全工具是否具有提升企业安全防护水平的能力，以及是否具备应用的简单性、可组合性和互操作性。还需要从运营成本的视角，评估网络专业人员管理维护网络安全工具的成本与回报，舍弃那些回报率低下的落后安全工具。

三、专业安全人员越多保护就一定越有效

网络安全已经成为困扰企业数字化转型的最大瓶颈之一，很多企业认为只有网络安全专业人员才能从事专业的网络工作，但如今人才市场上的网络安全专业人员供不应求，企业想要构建满足发展需求的安全运营团队是非常困难的一件事。

事实上，向公司所有员工普及网络安全专业知识，而不是试图通过招聘填补专业人才缺口，才是解决数字化转型问题的根本之道。

随着企业数字化发展，组织CISO的角色定位已经转变成应对数字化发展风险的决策参与者和推动者。因此，CISO不能只从技术和自动化的角度思考问题，而应与各部门员工广泛接触交流，影响决策制定，并确保每个员工都能够掌握适当的信息，在保障安全的前提下开展数字化工作，从而减轻安全团队的工作负担。

四．认为越完善的安全控制就意味着更好的保护

实施完善的网络安全控制措施是旨在通过制度化的方式降低企业网络安全风险，确保企业数据和关键业务系统免受黑客、网络攻击和其他在线威胁的侵害。

然而，如果这些控制措施不能被组织的员工广泛认同和严格遵守，一味添加更多的安全控制措施只会适得其反。调查发现，74%的受访者表示，一些安全控制措施降低了其日常工作效率。69%的受访者在过去12个月里有违反过企业的网络安全制度。

企业的安全管理者要尽量减小安全运营工作的阻力，充分了解员工存在不安全行为的原因，并致力于提高安全管控措施的实际利用率。在很多时候，被员工们故意规避的控制措施会比没有控制措施更糟糕。