No mundo da segurança da informação, mitos existem que influenciam a altos executivos, gerentes de negócios e às vezes os mesmos profissionais da indústria, causando mal-entendidos e exageros sobre as ameaças aos sistemas de computador e tecnologias utilizadas para combatê-las.
Muitos desses mitos existem porque as pessoas tendem a exagerar e emocional em situações desconhecidas, ao invés de fazer uma análise objetiva.
O resultado é exagerar o problema por depender a primeira solução que é proposta ou pior subestima os riscos, pensando assim, para evitar encargos adicionais.
Mito #1 - não vai acontecer comigo
Acreditando que sua empresa nunca serão sujeitos a problemas de segurança. Muitas vezes esta declaração é dito por alguém que não quer gastar (ou melhor, investir), na esperança de que o risco não se concretizou. Em vez disso é bom que, quando um problema é reconhecido, ou mesmo sugerido, há uma fase de análise de risco e, se for o caso, recebem os recursos necessários para atenuar ou resolver completamente.
Outras vezes acontece o contrário: você foi longe demais na avaliação do impacto da vulnerabilidade. A melhor coisa é usar um quadro de métricas para dar um valor objetivo ao risco de vulnerabilidade.
Mito #2 - todos os riscos pode ser quantificado
Nas empresas, há o equívoco de que tudo pode ter um número anexado a ele. Há a ilusão de que o gerente do gerente segurança pode obter o orçamento que eles precisam apenas se justifica por uma planilha do Excel. Em vez disso devemos ajudar os escalões superiores para entender o que pode e não pode ser quantificado e obter o orçamento necessário para implementar uma arquitetura forte com base em verificações de segurança.
Mito #3 - nós temos segurança física ou SSL, assim que seus dados estão seguros
Mais simples: se nós temos antivírus e firewall, estamos salvos! Isso não é verdade. Muitas vezes, essa concepção é incutida por fornecedores externos que tentam vender seus produtos e vincular todas as suas particularidades. compra de produtos e equipamentos, não vai fazer você magicamente seguro! E mesmo no caso em que o produto é "bom" que queremos garantir que ele está configurado corretamente e funciona para todo o seu potencial?
Na verdade, segurança será desenvolvida como arquitetura a partir da avaliação dos riscos, tendo em conta o que você está protegendo, a fim de implementar os controles corretos. Isto permite-lhe para não se distrair com elementos não essenciais para a segurança.
Mito #4 - senhas fortes de uso reduz os riscos
Não é verdade. As senhas não são eficazes, e todo o esquema tem enormes lacunas. É apenas um precedente histórico obsoleto em que negócios podem se agarrar.
As senhas não são suficientes, desde que a fissuração não é a única maneira de saltar o firewall. Há também a cheirar e a reutilização de credenciais entre sistemas com diferentes níveis de segurança. Encontrar uma alternativa válida para senhas é difícil e nem sempre autenticar a dois ou mais fatores podem ser facilmente implementadas. Enquanto isso, empresas podem aconselhar os funcionários para não usar senhas para trabalhar e realizar verificações periódicas sobre a força de senhas.
Mito #5 - segurança de um dispositivo de compra, irá resolver todos os problemas
Nos informaram de um novo produto, que resolve a 95% dos problemas, fácil de instalar e de custos como um dos muitos servidores que temos na empresa. Talvez como dissemos antes, paramos para comprar software e "ferro" na esperança que magicamente resolver nossos problemas. Sem análise séria e auditando o trabalho daqueles que são os verdadeiros problemas a que está exposto o nosso negócio gastam dinheiro desnecessariamente, aumentando a complexidade da nossa infra-estrutura. Este mito é um entendimento comum do problema e errada "segurança" como um todo.
Contando com mitos é errado. É por isso que lá EasyAudit, uma ferramenta profissional e uma maneira barata de obter uma segunda opinião sobre segurança da informação da sua conta!