I en verden av informasjonssikkerhet eksisterer myter som påvirker ledere, ledere og noen ganger de samme fagfolk, forårsaker misforståelser og overdrivelser om trusler mot datasystemer og teknologiene som brukes til å bekjempe dem.
Mange av disse mytene eksisterer fordi folk har en tendens til å overreact og emosjonelle i ukjent situasjoner, i stedet for å gjøre en objektiv analyse.
Resultatet er overdrive problemet ved å stole på det første løsningen det er foreslått eller verre undervurderer risikoen, tenke dermed å unngå ekstra avgifter.
Myte #1 - det vil ikke skje med meg
Tro at selskapet vil aldri bli utsatt for sikkerhetsproblemer. Mange ganger denne uttalelsen er sagt av noen som ikke ønsker å bruke (eller snarere, investere), håper at risikoen ikke materialisere. I stedet det er at når et problem anerkjent eller antydet, det er en fase av risikoanalyse, og eventuelt får ressursene som trengs for å redusere eller løse fullstendig.
Andre ganger motsatt skjer: du går langt i å vurdere virkningen av sikkerhetsproblemet. Beste er å bruke en ramme av beregninger for å gi en objektiv verdi til risikoen for sikkerhetsproblemet.
Myte #2 - alle risikoer kan kvantifiseres
I selskaper er det misforståelsen at alt kan ha flere tilknyttede. Det er illusjonen om at sikkerhet lederens leder kan få budsjettet de trenger bare hvis rettferdiggjort av et Excel-regneark. I stedet må vi hjelpe de høyere sirkler å forstå hva som kan og ikke kan kvantifiseres, og få nødvendig budsjettet til å implementere en sterk arkitektur basert sikkerhetskontroller.
Myte #3 - Vi har fysisk sikkerhet eller SSL slik data er trygge
Enklere: Hvis vi har antivirus og brannmur, vi er trygge! Dette er ikke sant. Ofte er denne oppfatningen inculcated av eksterne leverandører som prøver å selge sine produkter og koble alle sine særegenheter. kjøpe produkter og apparater, vil ikke gjøre deg magisk trygt! Og selv at produktet er "gode" vi ønsker å sikre at den er riktig konfigurert og virker til sitt fulle potensial?
Faktisk skal sikkerhet bygges arkitektur fra risikovurdering, tar hensyn til hva du beskytte, for å implementere riktig kontrollene. Dette kan du ikke bli forstyrret av ikke-essensielle elementer til sikkerhet.
Myte #4 - bruk sterke passord reduserer risikoen
Det er ikke sant. Passordene er ikke effektive, og hele ordningen har store hull. Det er bare en foreldet historisk presedens hvor virksomheten kan klamre seg.
Passord er ikke tilstrekkelig, siden sprengning ikke er den eneste måten å hoppe brannmuren. Det er også sniffing og gjenbruk av legitimasjon mellom systemer med ulike nivåer av sikkerhet. Finne en gyldig alternativ til passord er vanskelig, og ikke alltid tilgang til to eller flere faktorer kan enkelt implementeres. I mellomtiden selskaper råd ansatte ikke å bruke passord for å arbeide, og utfører regelmessige kontrollene på styrken av passord.
Myte #5 - Kjøp én enhetssikkerhet, vil løse alle problemer
Vi har nettopp blitt informert av et nytt produkt, som løser i 95% av problemer, enkel å installere og kostnader som en av mange server vi har i selskapet. Kanskje som vi har sagt før vi slutte for å kjøpe programvare og "jern" håper som magisk løse våre problemer. Uten seriøse analyser og overvåking av dem som er bruke de virkelige problemene som vår virksomhet er utsatt penger unødvendig øke kompleksiteten i vår infrastruktur. Denne myten er en felles forståelse av problemet og feil "sikkerhet" som helhet.
Stole på myter er feil. Derfor er EasyAudit, et profesjonelt verktøy og en rimelig måte å få en ny mening på informasjonssikkerhet bedriften!