摘要：首席信息安全官（CISO）和其他IT安全高管通常都在努力保护企业安全——以及自己的职业生涯。但一个小小的疏忽、错误假设或不当建议，就可能让所有努力瞬间付诸东流。

首席信息安全官（CISO）和其他IT安全高管通常都在努力保护企业安全——以及自己的职业生涯。但一个小小的疏忽、错误假设或不当建议，就可能让所有努力瞬间付诸东流。

如果你希望保住职位，请务必避免以下九种行为：

1. 高估自身能力

过度自信可能导致职业生涯严重受挫，特别是当这种自信促使你采用那些可能流行但未经实践检验的（安全）解决方案时。

安全软件供应商Xypro Technology Corporation的CISO Steve Tcherchian进一步阐述："这类'方法'会制造安全漏洞，增加人为失误风险，并给利益相关者带来虚假的安全感——直到最终发生灾难性安全事件。"

Xypro的CISO还警告，过度自信也可能导致IT安全决策者及其团队陷入自满，当个人或企业认为已经建立了足够的安全流程时，他们的警惕性就会降低，防护措施逐渐过时——面对新威胁的脆弱性也随之增加。

2. 制造复杂系统

那些被技术趋势或炒作吸引，而非专注于角色核心任务的CISO，同样可能面临职业危机。

企业咨询公司EY的全球网络安全咨询负责人Richard Watson描述了这种做法的后果："结果就是采购了大量引入不必要复杂性并分散注意力的技术。这种复杂性会在集成过程中产生额外成本，同时暴露出新的安全漏洞，被攻击者利用。"

EY首席顾问补充说，更糟糕的是，复杂性也可能传递虚假的安全感——毕竟企业会认为采用最新技术能提供更高程度的保护。

3. 忽视GRC管理

另一个可能断送安全职业生涯的做法是：在没有正式GRC（治理、风险与合规）计划的情况下构建网络安全架构。

网络服务提供商Velaspan的CISO Scott Hawk详细解释了原因："这个错误可能造成毁灭性影响，因为它涉及企业的多个方面。没有健全的GRC计划，就更可能发生技术支出过高、产生虚假安全感、忽视关键安全组件以及无法与其他业务部门协调等问题。"

Hawk建议采用COBIT等GRC框架作为解决方案，确保风险管理、合规要求和治理融入企业整体战略，GRC将使网络安全成为全企业的讨论话题，有助于确定优先级并获得认可。通过GRC，网络安全将成为业务推动力。

4. 偏离业务目标

安全专业人士可能犯的最大错误既非技术性也非财务性。

平台提供商Axio的高级网络安全顾问Richard Caralli认为，对CISO职业生涯最具破坏性的甚至不是未能识别潜在威胁："最大的错误是没有在组织整体背景下规划和实施网络安全计划。保护对企业生存至关重要的资产，应该决定网络安全的优先事项和投资方向。"

Caralli强调，CISO的职责无疑包括制定符合企业目标和价值观的网络安全计划。如果缺乏这种一致性，他预测将产生不良后果："可能导致投资方向错误、资源利用不足以及整体网络安全效果不佳。"

5. 轻视访问控制

网络安全决策者也存在"只见树木不见森林"的情况。例如，当CISO花费大量时间考虑系统中的后门问题时，却忽视了访问控制这个主题。

身份安全专家Zilla Security联合创始人Nitin Sonawane警告："数字身份是系统的主要入口。如果保护不足或配置错误，后果可能很严重——特别是过度授权的身份在遭受攻击时风险更高。"

这位安全专家指出，企业经常未能妥善管理离职员工和合作伙伴的访问权限，导致遗留账户可能被威胁行为者利用。Sonawane确信，人工智能是最有效的身份管理方式，大多数企业现在都使用HR应用程序作为每个用户业务档案的真实来源。当发生人事变动时，通常由用户的新主管根据业务背景决定其所需权限。AI可以辅助这一过程。

6. 忽视人为因素

众所周知，IT安全决策者如果只关注技术解决方案和流程（包括职业发展方面）将难有建树。

IT咨询公司Presidio的现场CISO Dan Lohrmann甚至认为这是可能犯的最大错误："人始终是最大的安全弱点。低估或忽视这一事实的安全专家注定会失败。"

Lohrmann表示，员工规避控制措施、既定政策和流程的倾向可能导致一系列内部威胁，他在这方面有丰富经验："我见过员工通过不作为、制造团队内部矛盾或承担不必要风险等方式破坏优秀的网络安全计划。需要记住的是，人也会随时间改变：一些曾经优秀的员工可能因职业倦怠或生活困境而失去专注力，这可能造成与未经培训或恶意用户同样大的损害。"

作为补救措施，这位现场CISO建议首先优化招聘流程，包括对新员工进行详尽的背景调查。他认为这能显著提升内部安全水平。Lohrmann还补充，识别潜在职业倦怠迹象的能力同样重要。

7. 积压陈旧数据

在云存储中"发霉"的过时数据集可能不太显眼，因此容易被遗忘——但它们随时可能成为CISO职业生涯的"杀手"。

数据安全提供商Metomic CEO Rich Vibert指出问题所在："这些数据存在从安全漏洞到合规问题的重大风险。允许这种情况发生是特别愚蠢的错误，因为它完全可以避免。过时数据可能包含敏感信息，如果落入坏人之手而访问控制又不严格，将非常危险。"

Vibert还表示，陈旧数据可能为网络犯罪分子提供有价值的历史信息，用于更有针对性的社会工程攻击。

8. 固守信息孤岛

如果与非技术领域的利益相关者缺乏有效沟通，不仅可能引发误解、不信任和混乱：受影响的CISO在争取安全预算时也会更加困难。

Ventana Research总监Jeff Orr建议IT安全决策者在解释关键安全问题和业务影响时使用商业术语："提供将安全概念与业务活动联系起来的实例——并在报告过程中确保清晰度。"

9. 盲目自满

最具CISO职业生涯"杀伤力"的错误是认为一切尽在掌控。

安全提供商Radware的CISO Howard Taylor见过屈服于这种假设的人——也知道他们的职业生涯通常如何收场："这类领导者主要依赖大量认证来防范网络犯罪分子。当企业遭遇大规模数据泄露后，他们最后的台词是'我们已获得PCI DSS认证'。"

来源：FreeBuf