I en värld av Information Security finns myter som påverkar ledande befattningshavare, företagsledare och ibland samma yrkesmän, orsakar missförstånd och överdrifter om hoten mot datorsystem och teknik som används för att bekämpa dem.
Många av dessa myter finns eftersom människor tenderar att överreagera och känslomässiga i obekanta situationer, snarare än att göra en objektiv analys.
Resultatet är överdriva problemet genom att förlita sig på den första lösning som föreslås eller värre underskattar riskerna, tänker alltså att undvika extra avgifter.
Myt #1 - det kommer inte hända mig
Att tro att företaget aldrig kommer säkerhetsproblem med. Många gånger detta uttalande sägs av någon som inte vill spendera (eller snarare investera), hoppas att risken inte förverkligas. I stället det är bra att när ett problem är erkänd, eller ens föreslog, det är en fas av riskanalys och, om så är lämpligt ges resurserna som krävs för att mildra eller lösa helt.
Andra gånger motsatsen händer: du går för långt i att bedöma effekterna av sårbarhet. Bästa är att använda en ram av metrics ge ett objektivt värde till risken för utsatthet.
Myt #2 - alla risker kan kvantifieras
I företag finns missuppfattningen att allt kan ha många fäst vid den. Det finns en illusion av att security manager's manager kan få budgeten de behöver endast om detta är motiverat av ett Excel-kalkylblad. Vi måste i stället hjälpa de högre nivåerna förstå vad kan och inte kan kvantifieras, och få den nödvändiga budgeten för att genomföra en stark arkitektur baserad säkerhetskontroller.
Myt #3 - vi har fysisk säkerhet eller SSL så att dina data är säkra
Mer helt enkelt: om vi har mot-virus och brandvägg, vi är säkra! Detta är inte sant. Ofta är denna befruktning inculcated av externa leverantörer som försöker sälja sina produkter och länka alla deras egenheter. köpa produkter och utrustningar, kommer inte att göra dig magiskt säker! Och även i händelse av att produkten är "bra" vi vill se till att det är korrekt konfigurerad och fungerar fullt ut?
I själva verket kommer säkerhet att utvecklas som arkitekturen från riskbedömning, med hänsyn till vad du skyddar, för att genomföra korrekta kontroller. Detta gör att du inte distraheras av icke väsentliga delar till säkerhet.
Myt #4 - Använd starka lösenord minskar risken
Det är inte sant. Lösenorden är inte effektiva och hela systemet har stora luckor. Det är bara en föråldrad historiska prejudikat där företag kan hålla fast vid.
Lösenord är inte tillräcklig, eftersom sprickor inte är det enda sättet att hoppa brandväggen. Det finns också sniffning och återanvändning av uppgifter mellan system med olika nivåer av säkerhet. Att hitta ett giltigt alternativ till lösenord är svårt, och inte alltid autentisera till två eller fler faktorer kan lätt genomföras. Under tiden kan företag råda anställda inte att använda lösenord för att arbeta och utföra regelbundna kontroller på lösenord.
Myt #5 - Köp en enhet säkerhet, kommer att lösa alla problem
Vi har just fått veta av en ny produkt som löser i 95% av problem, lätt att installera och kostnader som en av många server som vi har i företaget. Kanske som vi har sagt tidigare, vi sluta för att köpa programvara och "iron" hoppas att magiskt lösa våra problem. Utan seriös analys och granskning av dem som är spendera de verkliga problemen som vår verksamhet utsätts pengar onödan öka komplexiteten i vår infrastruktur. Denna myt är en gemensam förståelse för de problem och fel "säkerhet" som helhet.
Förlitar sig på myter är fel. Det är därför EasyAudit, ett professionellt verktyg och ett billigt sätt att få ett andra utlåtande på informationssäkerhet för ditt företag!