网络安全工作让人精疲力竭,这不是什么秘密。高压的工作环境似乎每天都在增加网络安全专业人员的工作和要求。造成这种情况的原因有很多,最根本的原因是人们对网络安全的看法。通过有意识地认识到一些破坏网络安全的心态,可以避免或改变它们,更好地为网络安全的成功做好准备。
为什么心态很重要
网络安全是一个技术性很强的领域。在某种程度上,这是一门硬科学。在另一方面,这是一场非常人性化的战斗,由心理和士气驱动。网络安全人员的工作效率取决于他们的精神状态,这受到了企业对网络安全及其在业务中的作用的一些假设的影响。
以下是会给网络安全带来不利影响的7个心态,网络安全人员需要将其心态转变为更有力量和支持性的信念,以便建立更健康的网络安全环境:
1.安全是目的地
也许关于网络安全的一个潜意识是,网络安全是最终的目的地,只要到达,就可以将网络安全搁置一边。这并不是刻意的想法,因为网络安全人员知道保护数字业务是一项持续的努力。但是他们可能下意识地认为完成了网络安全的工作,至少在一段时间内能够放松。
这只会给每个人带来不必要的压力。当网络安全人员认为网络安全的努力是有限的,并且发现总是有更多的事情要做时,就会产生失望感或失败感。无论是什么原因,都会认为是他们的错,他们从来没有到达目的地。
网络安全工作是一个持续的过程,网络安全人员需要认清现实,并消除额外的压力,即当达到网络安全完整性时,他们似乎从未达到解决问题或一劳永逸的目的。其答案是不要在难以解决问题的情况下承担压力。与其相反,需要将网络安全看作是一次穿越各种地形的冒险活动:有时上山,有时下山;有时轻松,有时费力。在旅途中会有许多休息的地方,在休息之处继续前行。
2.网络安全主要由网络安全人员负责
通常情况,人们认为网络安全人员应该承担网络安全的主要责任,但这种想法是不正确的,这导致了两个不幸的结果:首先,这似乎让其他人都摆脱了网络安全责任。其次,它巧妙地孤立了安全人员,就好像他们在孤军奋战一样。
软件开发人员应该在软件生命周期的每一个阶段都考虑安全性,而不是在交付之前一直忽视它。其他人也应该如此。只有记住这一点,人们才能随时准备发现网络钓鱼和其他攻击。
当然,网络安全人员是网络安全领导者和向导,但最终,网络安全是每个人的责任,企业每个员工都应该感到有能力为企业的整体安全态势做出贡献。通过将网络安全视为每个人的责任,作为一种协作的努力,将建立一个更强大的社区。
3.网络安全问题只会变得越来越难
没有什么比无休止的任务变得更加困难更令人沮丧的事情了。有时候,保护企业的网络安全就像大力士西西弗斯把巨石推到山上,只不过巨石每天都在变大。网络犯罪分子如今变得更加狡猾老练,使用更好的工具和技术,而网络安全人员必须保护的数字基础设施变得更加庞大、复杂和相互关联。
事实上,网络安全人员和黑客之间的斗争就像潮汐一样彼此反复。网络安全人员有时处于有利地位,有时处于不利地位。勒索软件攻击的情况就是一个很好的例子:有一段时间,网络犯罪分子似乎掌握了主动权,但网络安全人员迅速做出回应,并取得了可衡量的成果。当然,这种反复仍在继续,但总的来说,网络安全人员的处境要稳定得多。
通过接受网络安全工作的周期性,网络安全人员可以采取这样一种态度,在威胁增加时加大力度应对,在威胁下降时可以适当地休息。网络安全人员需要一直保持警惕,但并不总是处于一级戒备状态,保持心态平衡是网络安全获得长期成功的关键。
4.网络安全是一种产品
网络安全通常被看作是在实际基础设施上的一种独立功能或附加产品,或者是等待最终确定和交付的独立事物。这是软件开发行业一个长期存在的观点,类似于人们曾经思考质量的方式:作为事物的一个独特而独立的组成部分。
亚里士多德有一句名言:“品质不是一种行为,而是一种习惯。”就像质量一样,安全不是一种产品,而是一个正在进行的旅程。人们需要将网络安全视为一种实践,不断地完善和磨练。就像人们通过定期锻炼和注意饮食将会变得更健康一样,网络安全也是如此。如果人们擅长吉他或武术等技能,必须不断地完善和改进,并且总是会有更多的收获,网络安全也是这样。
与其哀叹这一事实,不如深入了解它,并利用它来推动网络安全人员的努力。在总是有发展空间以及能够充分发挥人们能力的领域工作,其实是一件幸事。这种观点应该与企业的其他员工共享,以便每个人都能采用正在实践网络安全的心态,网络安全人员和其他员工在一起工作和学习。
安全性不应该作为一种产品来交付,它应该是一种习惯。网络安全的产品和工具只是必然结果和辅助。人们在安全方面真正建立的是文化、态度和意识。简而言之,网络安全是网络安全人员每天都在实践的工作,无论是个人还是企业。
5.网络安全是由网络犯罪驱动的
网络安全人员有时感觉只是在和网络罪犯玩打地鼠游戏,就好像网络罪犯控制着游戏节奏一样,这让网络安全人员疲于奔命,或者不断寻找网络罪犯破坏系统的新方法。当网络安全人员认为网络安全只是应对网络犯罪活动的工作时,他们会让自己感到失去控制并且沮丧。
事实上,商业处于主导地位。企业的价值和创造力是一个诱人的目标,网络罪犯试图利用它。这并不是在低估网络犯罪分子,事实上,网络罪犯在网络攻击活动中非常狡猾,网络安全人员必须认真应对。
只有合法经营才有价值,而犯罪活动是寄生的。显然,网络安全是由业务驱动的。没有网络安全行业,网络犯罪份子也就无利可图。安全专家是企业业务安全的守护者,而犯罪分子则试图窃取他们所能窃取的任何东西。网络安全人员可以通过采取积极的措施(例如进行渗透扫描)来阐明这一点。
6.安全性是100%可实现的
可测量的因素对良好的安全性至关重要。像平均检测时间这样的指标能够使网络安全人员监视并衡量项目的有效性。问题是,网络安全人员开始认为指标应该总是朝着积极的方向发展,或者保持在接近完美的区域。
指标是指引网络安全人员的风向标,而不是可以完成的目标。关键是要采取一些措施,让事情朝正确的方向发展,并在出现问题时利用这些信息采取行动。因此,安全性要求网络安全人员接受度量结果。在关注KPI时应该将其视为一种监视仪表板,监视系统的健康状况。不断追求完美将会扭曲安全性指标,因此进行诚实的评估是关键。
7.网络安全工作吃力不讨好
人们原来的想法是,只有当网络安全失败时才会被人关注。更糟糕的是,网络安全有时被视为一种必要的邪恶,是技术创新或完成工作的障碍。如果每个人忘记网络安全、质量和客户满意度,就可以更快地发展,就像可以专注于构建软件一样。这听起来很荒谬,就像在发展的每个阶段都需要考虑网络安全问题一样荒谬。
当某件事出错并发现重大漏洞时,往往会引起人们的关注。他们通常会提出一些问题,例如,这是怎么发生的?是谁搞砸了?必须有人站出来承担责任。但一直以来,当事情进展顺利时,人们忽略了加强网络安全的网络安全人员,或者更糟的是,感觉他们很碍事。
只在网络安全性失效时才让人们关注的这种情况需要改变,网络安全应该始终得到重视。
FreeBuf
RacentYY
RacentYY
安全侠
Andrew
X0_0X
安全侠
Anna艳娜
X0_0X
Anna艳娜
RacentYY
FreeBuf
