在网络安全领域，误区并非无害的误解——是伪装成常识的代价高昂的“漏洞”。

各行各业的公司都面临着一些会造成混乱、破坏安全态势、并使自身业务容易遭受损失数百万美元攻击的假设。以下，是国外一位作者根据其二十年来在网络风险管理方面的经验，以下是常遇到的五个最常见、最顽固、代价最高的误区——以及真相。

误区一：SOC 2只适用于科技公司。

误区：SOC2报告仅适用于科技公司，需要投入大量资源。

事实：SOC2是由注册会计师事务所出具的独立鉴证报告，旨在评估内部控制措施的有效性。不限行业，任何处理客户数据的组织，无论是在金融、医疗保健、专业服务还是零售行业，都能从中受益。

这种误解之所以代价高昂，是因为错失了在恶意攻击者发动攻击前加强防御的机会。2022年，41%的小型企业遭遇过数据泄露。预计2023年，所有网络攻击中有43%将针对中小企业，令人惊讶的是，只有14%的中小企业表示他们“已做好防御准备”。

小型企业往往认为自己规模太小，无需进行SOC2认证，然而，它们平均每次数据泄露造成的损失高达331万美元，而且60%遭受重大攻击的小型企业会在六个月内倒闭。虽然SOC2并非适用于所有公司，但它却是衡量安全态势并向客户和其他利益相关者展示安全态势的绝佳方式。

误区二：虚拟首席信息安全官(vCISO)不是“真正的”首席信息安全官(CISO)。

误区：我们听说过一些关于虚拟首席信息安全官(vCISO)的误区，例如虚拟CISO只是IT顾问，或者“虚拟”一词意味着他们的专业水平较低。还有一种误区是只有小型企业才需要vCISO的支持，或者聘请vCISO表明企业对安全不够重视。

事实：“虚拟”一词指的是灵活的、基于合同的合作模式，而非所提供的专业知识深度或领导力。一位优秀的虚拟首席信息安全官（vCISO）会作为长期战略和治理的合作伙伴，持续参与制定战略和治理方案，而不是提交报告后就消失的交易型人员。

对于中小企业而言，虚拟首席信息安全官(vCISO)往往意味着企业拥有高管级别的安全领导层，否则就完全没有安全领导。而且，vCISO的作用不仅限于小型企业：大型企业也经常聘请vCISO来负责特定项目、监管合规或临时领导工作。

市场验证了这种方法，预计虚拟首席信息安全官(vCISO)行业将从2024年的14亿美元增长到2033年的38亿美元。聘请vCISO表明了战略成熟度，优先考虑高管指导，而无需全职人员成本。

误区三：渗透测试是“万无一失的证明”。

误区：组织每年可以进行一到两次渗透测试，以证明一切都是安全的。

事实：渗透测试并非最终结果，它只是您安全状况在某一时刻的快照。

与2023年相比，2024年Web应用程序中的严重漏洞增加了150%，高危漏洞增加了60%。上个季度还安全的系统，如今可能已经不堪一击。新的攻击手段层出不穷，系统配置不断变化，软件更新也带来了新的攻击面。

更有效的做法是将安全视为一个持续的、动态的过程，并根据环境情况按季度、月度或每日进行评估。与其寻求定期验证，组织应接受这种持续评估和调整的机制，以应对当前的网络威胁。

误区四：审计是对抗性的。

误区：审计的目的是找出错误、追究责任或揭露会导致处罚的弱点。它们只适用于大型企业，旨在抓到你的把柄。

事实：对于企业领导者而言，很少有哪个词比“审计”更令人恐惧。但这种误解阻碍了企业从审计过程中获得真正的价值。审计——无论是财务审计、运营审计还是安全审计——其目的都是为了提供洞察、强化内部流程并支持更明智的决策。其目标是在问题升级之前将其识别出来。

值得注意的是，审计并非大型企业的专属。各种规模的组织都能从提高财务透明度和运营效率中获益。

误区五：GRC只是勾选合规选项。

误区：治理、风险和合规(GRC)是一套强制性活动，旨在满足监管要求和避免罚款——本质上是一种官僚主义的形式主义，没有任何真正的商业价值。

事实：这种狭隘的视角忽略了战略价值。GRC（治理、风险与合规）是一个整体框架，其中治理设定战略方向和文化，风险管理涉及识别并主动管理威胁和机遇，而合规则是有效治理和风险管理的结果，而非主要驱动因素。

集成GRC平台的公司报告称，在减少误报方面，效率提升高达42%。如果企业将GRC视为例行公事，就会形成僵化、被动的流程，收效甚微。而如果企业将GRC视为提升绩效和诚信的战略驱动力，它就能成为竞争优势，使安全投资与业务目标保持一致。

接下来是什么？

这些误区都存在一个危险的共同点：它们将复杂的战略性安全职能简化为简单的勾选框操作。这样做，它们都忽略了有效安全是持续的、协作的，并且从根本上来说是战略性的。

相信这些谬论所造成的经济后果令人震惊。例如，据IBM预测，到2025年，全球所有规模公司的数据泄露平均成本将达到444万美元，而美国企业每次事件的成本则高达1022万美元。此外，遭受数据泄露的企业平均需要241天才能识别并控制住局面。更重要的是，那些计划削减网络安全支出的企业，其数据泄露事件的发生率将增加70%，恢复时间也将超过10个月。

这些谬论之所以持续存在，是因为它们让组织机构得以推迟艰难的决策，回避棘手的对话，并将问题无限期地拖延下去。但威胁行为者不会坐等行动，你也不应该坐视不管。

信息来源：51CTO https://www.51cto.com/article/831708.html