2023年04月26日
網絡安全工作讓人精疲力竭,這不是什么秘密。高壓的工作環境似乎每天都在增加網絡安全專業人員的工作和要求。造成這種情況的原因有很多,最根本的原因是人們對網絡安全的看法。通過有意識地認識到一些破壞網絡安全的心態,可以避免或改變它們,更好地為網絡安全的成功做好準備。
為什么心態很重要
網絡安全是一個技術性很強的領域。在某種程度上,這是一門硬科學。在另一方面,這是一場非常人性化的戰斗,由心理和士氣驅動。網絡安全人員的工作效率取決于他們的精神狀態,這受到了企業對網絡安全及其在業務中的作用的一些假設的影響。
以下是會給網絡安全帶來不利影響的7個心態,網絡安全人員需要將其心態轉變為更有力量和支持性的信念,以便建立更健康的網絡安全環境:
1.安全是目的地
也許關于網絡安全的一個潛意識是,網絡安全是最終的目的地,只要到達,就可以將網絡安全擱置一邊。這并不是刻意的想法,因為網絡安全人員知道保護數字業務是一項持續的努力。但是他們可能下意識地認為完成了網絡安全的工作,至少在一段時間內能夠放松。
這只會給每個人帶來不必要的壓力。當網絡安全人員認為網絡安全的努力是有限的,并且發現總是有更多的事情要做時,就會產生失望感或失敗感。無論是什么原因,都會認為是他們的錯,他們從來沒有到達目的地。
網絡安全工作是一個持續的過程,網絡安全人員需要認清現實,并消除額外的壓力,即當達到網絡安全完整性時,他們似乎從未達到解決問題或一勞永逸的目的。其答案是不要在難以解決問題的情況下承擔壓力。與其相反,需要將網絡安全看作是一次穿越各種地形的冒險活動:有時上山,有時下山;有時輕松,有時費力。在旅途中會有許多休息的地方,在休息之處繼續前行。
2.網絡安全主要由網絡安全人員負責
通常情況,人們認為網絡安全人員應該承擔網絡安全的主要責任,但這種想法是不正確的,這導致了兩個不幸的結果:首先,這似乎讓其他人都擺脫了網絡安全責任。其次,它巧妙地孤立了安全人員,就好像他們在孤軍奮戰一樣。
軟件開發人員應該在軟件生命周期的每一個階段都考慮安全性,而不是在交付之前一直忽視它。其他人也應該如此。只有記住這一點,人們才能隨時準備發現網絡釣魚和其他攻擊。
當然,網絡安全人員是網絡安全領導者和向導,但最終,網絡安全是每個人的責任,企業每個員工都應該感到有能力為企業的整體安全態勢做出貢獻。通過將網絡安全視為每個人的責任,作為一種協作的努力,將建立一個更強大的社區。
3.網絡安全問題只會變得越來越難
沒有什么比無休止的任務變得更加困難更令人沮喪的事情了。有時候,保護企業的網絡安全就像大力士西西弗斯把巨石推到山上,只不過巨石每天都在變大。網絡犯罪分子如今變得更加狡猾老練,使用更好的工具和技術,而網絡安全人員必須保護的數字基礎設施變得更加龐大、復雜和相互關聯。
事實上,網絡安全人員和黑客之間的斗爭就像潮汐一樣彼此反復。網絡安全人員有時處于有利地位,有時處于不利地位。勒索軟件攻擊的情況就是一個很好的例子:有一段時間,網絡犯罪分子似乎掌握了主動權,但網絡安全人員迅速做出回應,并取得了可衡量的成果。當然,這種反復仍在繼續,但總的來說,網絡安全人員的處境要穩定得多。
通過接受網絡安全工作的周期性,網絡安全人員可以采取這樣一種態度,在威脅增加時加大力度應對,在威脅下降時可以適當地休息。網絡安全人員需要一直保持警惕,但并不總是處于一級戒備狀態,保持心態平衡是網絡安全獲得長期成功的關鍵。
4.網絡安全是一種產品
網絡安全通常被看作是在實際基礎設施上的一種獨立功能或附加產品,或者是等待最終確定和交付的獨立事物。這是軟件開發行業一個長期存在的觀點,類似于人們曾經思考質量的方式:作為事物的一個獨特而獨立的組成部分。
亞里士多德有一句名言:“品質不是一種行為,而是一種習慣。”就像質量一樣,安全不是一種產品,而是一個正在進行的旅程。人們需要將網絡安全視為一種實踐,不斷地完善和磨練。就像人們通過定期鍛煉和注意飲食將會變得更健康一樣,網絡安全也是如此。如果人們擅長吉他或武術等技能,必須不斷地完善和改進,并且總是會有更多的收獲,網絡安全也是這樣。
與其哀嘆這一事實,不如深入了解它,并利用它來推動網絡安全人員的努力。在總是有發展空間以及能夠充分發揮人們能力的領域工作,其實是一件幸事。這種觀點應該與企業的其他員工共享,以便每個人都能采用正在實踐網絡安全的心態,網絡安全人員和其他員工在一起工作和學習。
安全性不應該作為一種產品來交付,它應該是一種習慣。網絡安全的產品和工具只是必然結果和輔助。人們在安全方面真正建立的是文化、態度和意識。簡而言之,網絡安全是網絡安全人員每天都在實踐的工作,無論是個人還是企業。
5.網絡安全是由網絡犯罪驅動的
網絡安全人員有時感覺只是在和網絡罪犯玩打地鼠游戲,就好像網絡罪犯控制著游戲節奏一樣,這讓網絡安全人員疲于奔命,或者不斷尋找網絡罪犯破壞系統的新方法。當網絡安全人員認為網絡安全只是應對網絡犯罪活動的工作時,他們會讓自己感到失去控制并且沮喪。
事實上,商業處于主導地位。企業的價值和創造力是一個誘人的目標,網絡罪犯試圖利用它。這并不是在低估網絡犯罪分子,事實上,網絡罪犯在網絡攻擊活動中非常狡猾,網絡安全人員必須認真應對。
只有合法經營才有價值,而犯罪活動是寄生的。顯然,網絡安全是由業務驅動的。沒有網絡安全行業,網絡犯罪份子也就無利可圖。安全專家是企業業務安全的守護者,而犯罪分子則試圖竊取他們所能竊取的任何東西。網絡安全人員可以通過采取積極的措施(例如進行滲透掃描)來闡明這一點。
6.安全性是100%可實現的
可測量的因素對良好的安全性至關重要。像平均檢測時間這樣的指標能夠使網絡安全人員監視并衡量項目的有效性。問題是,網絡安全人員開始認為指標應該總是朝著積極的方向發展,或者保持在接近完美的區域。
指標是指引網絡安全人員的風向標,而不是可以完成的目標。關鍵是要采取一些措施,讓事情朝正確的方向發展,并在出現問題時利用這些信息采取行動。因此,安全性要求網絡安全人員接受度量結果。在關注KPI時應該將其視為一種監視儀表板,監視系統的健康狀況。不斷追求完美將會扭曲安全性指標,因此進行誠實的評估是關鍵。
7.網絡安全工作吃力不討好
人們原來的想法是,只有當網絡安全失敗時才會被人關注。更糟糕的是,網絡安全有時被視為一種必要的邪惡,是技術創新或完成工作的障礙。如果每個人忘記網絡安全、質量和客戶滿意度,就可以更快地發展,就像可以專注于構建軟件一樣。這聽起來很荒謬,就像在發展的每個階段都需要考慮網絡安全問題一樣荒謬。
當某件事出錯并發現重大漏洞時,往往會引起人們的關注。他們通常會提出一些問題,例如,這是怎么發生的?是誰搞砸了?必須有人站出來承擔責任。但一直以來,當事情進展順利時,人們忽略了加強網絡安全的網絡安全人員,或者更糟的是,感覺他們很礙事。
只在網絡安全性失效時才讓人們關注的這種情況需要改變,網絡安全應該始終得到重視。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。封面圖片來源于攝圖網
(來源:企業網D1Net)