今天以及不久的將來，信息安全面臨的最嚴(yán)重的漏洞是什么？英特爾CISO Malcolm Harkins告訴我們，信息安全面臨的最大威脅就是人們對風(fēng)險的誤解。

在今年波士頓舉辦的 Forrester安全論壇上，Harkins發(fā)表了演講并向與會的信息安全研究人員發(fā)問：認(rèn)為現(xiàn)在他們組織內(nèi)部面臨的最大的風(fēng)險是什么。一些人表示內(nèi)部威脅和人為原因占一部分。Harkins也多少同意這些觀點(diǎn)。但是他辯解道，對于安全問題的夸大化或誤解才是最大的風(fēng)險。

有兩個東西導(dǎo)致了誤解：經(jīng)濟(jì)和心理。在經(jīng)濟(jì)問題上，當(dāng)決策者受到激勵機(jī)制或資源的影響時才會做出相應(yīng)的決策。

“作為一名安全專業(yè)人員，我已經(jīng)開始思考一個問題，我們是否是決策架構(gòu)師？我們要試圖讓人們思考一些事情并做出決策。”他說。

從心理學(xué)的角度來看，人們獲得的利益越大，風(fēng)險的可能性也就越大。例如，企業(yè)部署像云計(jì)算、虛擬化和社交媒體等技術(shù)。所有的這些對于企業(yè)來說都意味著很大的優(yōu)勢，但同時也意味著他們面臨的安全風(fēng)險的可能性加大。Harkins說。

但是新技術(shù)的部署卻使一些事情變得復(fù)雜了，因?yàn)槿藗儗τ谶@些技術(shù)的風(fēng)險認(rèn)知存在盲區(qū)。低估風(fēng)險會使人們在遇到一個安全事件的時候不能做到適當(dāng)?shù)臏?zhǔn)備。高估風(fēng)險意味著組織投入到一個領(lǐng)域過多的關(guān)注而忽視了其他的問題。

“我們中有多少人經(jīng)常會收到經(jīng)理的郵件，問一些關(guān)于風(fēng)險的事情。他們總想知道我們對于風(fēng)險的態(tài)度。”他說，“這種夸大就像低估一樣讓人感到沮喪。”

人們必須要做的是平衡這兩個極端，減少對風(fēng)險的誤解是客觀的、敏捷和具有影響力的。他列舉了部署這些要素到日常工作中安全專業(yè)人員需要做的4個重要事情，它們是：

預(yù)測：使用適當(dāng)?shù)墓ぞ叽_定攻擊的身份、動機(jī)和手段。

堅(jiān)持：用手段和耐力與其他的組織內(nèi)部決策者進(jìn)行斗爭。

耐心：用耐心持之以恒。不要成為警告者。冷靜等待出現(xiàn)轉(zhuǎn)機(jī)的那一刻。

未雨綢繆：面對安全事件或安全漏洞，做好充分的應(yīng)對準(zhǔn)備。

“如果你做到了這些，你就會在組織內(nèi)部對人們形成持續(xù)的影響。他們將會把你看作是那些能夠?qū)�公司起到保護(hù)作用的合作伙伴。”Harkins指出：“不要用受害者的手段去管理信息風(fēng)險和安全。”