不知不觉中,我们迎来了2008。在此我们应该回过头
来看看CIO们常犯的一些错误,以利于日后的工作。
1. 将过程用作能力的替代品:
对每个问题的回答几乎总是方法,因此你专注于CMMi和ITLL,却并不理解黑客们攻击软件的事实。
2. 让">网络工程师负责安全:
你会认识到拥有网络背景的人员不太可能保证企业的安全。如果一个黑客攻击你的软件并窃取你的数据,而你却以硬件响应之,那你认为谁会赢得斗争的胜利呢?
3. 给厂商加上合伙人的标签并过分依赖它们:
你十分相信软件厂商和外购公司,因此你对其职员是否理解应获得适当的培训不太在乎。
4. 主要依赖防火墙和反病毒软件
在此我们要揭示这样一个问题:防火墙并不是绝对的安全设备,它们更多地用于网络防御。为什么呢?考虑一下这种情况:一个防火墙并不能阻止与跨站脚本攻击、SQL注入等等相关的攻击。网络安全设备只能保护网络,而对保护应用程序它并不能做很多贡献。
5. 授权一些被动的、短期的修正措施,缺乏对问题的远见卓识,结果问题接踵而至。
6. 认为安全性至高无上同时又认为CMMi价值不高:为什么总是不能认识到信息和组织声誉的价值呢?
7. 为员工分配了角色,给他们一些头衔,但并不对其培训:让一些未参加培训的人员来保障安全,不提供培训和执行相关工作的时间。结果可想而知。
8. 不断地谈论威胁和漏洞,对风险却鲜有涉及。
9. 认为安全问题是一个技术问题。
时间: 2024-10-25 20:28:18