Dans le monde de la sécurité de l'Information, mythes existent qui influent sur les cadres supérieurs, chefs d'entreprise et parfois même les professionnels de l'industrie, causant malentendus et exagérations sur les menaces pesant sur les systèmes informatiques et des technologies utilisées pour les combattre.
Beaucoup de ces mythes existent parce que les gens ont tendance à réagir de façon excessive et émotionnel dans des situations inhabituelles, plutôt que de faire une analyse objective.
Le résultat est exagérer le problème en s'appuyant sur la première solution qui est proposée, ou pire de sous-estimer les risques, penser ainsi à éviter des frais supplémentaires.
Mythe #1 - il n'arrivera pas à moi
Croire que votre entreprise ne sera jamais soumis à des problèmes de sécurité. Plusieurs fois, cette déclaration est dit par quelqu'un qui ne veut pas passer (ou plutôt, investir), en espérant que le risque ne pas concrétisée. Au lieu de cela, il est bon que lorsqu'un problème est reconnu, ou même suggéré, il y a une phase d'analyse des risques et, cas échéant sont donnés les moyens d'atténuer ou de résoudre complètement.
D'autres fois, l'inverse se produit : vous allez trop loin dans l'évaluation de l'impact de la vulnérabilité. La meilleure chose est d'utiliser un cadre de mesures pour donner une valeur objective au risque de vulnérabilité.
Mythe #2 - tous les risques peut être quantifiée
Dans les entreprises, il y a la fausse idée que tout ce que peut avoir un nombre attaché à elle. Il y a l'illusion que le gestionnaire de sécurité peut obtenir le budget que dont ils ont ne besoin que si justifié par une feuille de calcul Excel. Nous devons au contraire aider les échelons supérieurs de comprendre ce qui peut et ne peut pas être quantifié et obtenir le budget nécessaire pour mettre en œuvre une architecture forte basée les contrôles de sécurité.
Mythe #3 - nous avons la sécurité physique ou SSL ainsi que vos données sont en sécurité
Plus simplement : si nous avons la protection antivirus et pare-feu, nous sommes sûrs ! Ce n'est pas vrai. Souvent, cette conception est inculquée par des fournisseurs externes qui tentent de vendre leurs produits et de lier toutes leurs particularités. achat de produits et équipements, vous fera pas comme par magie sans danger ! Et même dans le cas où le produit est « bon » nous voulons nous assurer qu'il est correctement configuré et fonctionne à son plein potentiel ?
En fait, sécurité se développera comme architecture à partir de l'évaluation des risques, compte tenu de ce que vous protégez, afin de mettre en œuvre les contrôles corrects. Cela permet de ne pas être distrait par des éléments non essentiels de la sécurité.
Mythe #4 - les mots de passe forts utilisation réduit les risques
Il n'est pas vrai. Les mots de passe ne sont pas efficaces, et le régime dans son ensemble a d'énormes lacunes. C'est juste un précédent historique obsolète dans laquelle l'entreprise peut s'accrocher.
Mots de passe ne sont pas suffisantes, étant donné que le craquage n'est pas la seule façon de sauter le pare-feu. Il y a aussi sniffing et la réutilisation des informations d'identification entre des systèmes avec différents niveaux de sécurité. Trouver une alternative valable aux mots de passe est difficile et pas toujours authentifier à deux ou plusieurs facteurs peuvent être facilement mis en œuvre. Pendant ce temps, les entreprises peuvent aviser les employés ne pas d'utiliser des mots de passe pour travailler et effectuer des vérifications périodiques sur la force de mots de passe.
Mythe #5 - sécurité d'acheter un seul appareil, permettra de résoudre tous les problèmes
Nous avons simplement été informés d'un nouveau produit, qui résout les 95 % des problèmes, faciles à installer et les coûts comme l'un des nombreux serveur que nous avons dans la société. Peut-être que comme nous l'avons dit précédemment, nous nous arrêtons pour acheter le logiciel et le « fer » en espérant que comme par magie de résoudre nos problèmes. Sans une analyse sérieuse et audit travail de ceux qui sont les vrais problèmes auxquels notre entreprise est exposée dépensent de l'argent inutilement augmenter la complexité de notre infrastructure. Ce mythe est une compréhension commune du problème et les mauvaise « sécurité » dans son ensemble.
En s'appuyant sur les mythes ne va pas. C'est pourquoi il ya EasyAudit, un outil professionnel et un moyen peu coûteux d'obtenir un deuxième avis sur la sécurité de l'information de votre entreprise !