英国知名IT媒体Computing最近举行的企业安全与风险管理现场会上,IT主管们讨论了自身最大的安全失败。IT主管们承认自己漏掉了供应链弱点,以及没能跟上安全技术的发展。
早些时候,正是这些IT主管指出,安全招聘之所以难,不仅仅是因为相关技能的缺乏,也因为招聘人员找错了方向,朝着并不需要的特质和资格去了。
英国运输部首席信息安全官 Arshid Bashir 说道:
我们有错,错在不应该让我们的安全工具集过时,错在没有跟上技术变化。我们还没能传达出向云端迁移的正确信息,总是假定云迁移过程安全而简单,但其实这一过程并不足够安全。所以我们不得不向董事会回报:‘没错,我们已经迁移到云环境了,但需要做的事还很多,要保护我们自身,要理解我们面临的风险’。我们现在是90%在云端,还有10%留在了现场。
关于企业供应链安全评估问题,加拉赫全球经济英国公司IT风险与合规总监 Michael Barry 表示:他们自身没有大范围采用云,但很多供应商采用了。当他们对供应商执行尽职审查时,供应商发来了其云提供商的信息,但供应商自己软件和数据库中的漏洞却被完全遗漏了。这方面供应商还需要再教育。
《金融时报》网络安全高级风险分析师 Laura Jones 则表示,她最大的错误是没有实施向上管理。
对我来说,最大的错误就是没能实施向上管理,总是怀抱美好期望,创建了一种害怕犯错的文化氛围,让下面的人总是报告说没有任何风险。有时候还是得听听悲观主义者的话。他们说话不中听,正是因为了解风险。
安联集团IT电信协调官 Carlo Petrini 对风险与失误持积极态度:在安联,IT安全失误不是错误,是机会。
现场会上另一组专家警告业界:不要总是说安全失败都是用户造成的。
本文由月兔网路转载安全牛
发表评论: