IT主管承認自身最大的安全失誤是供應鏈

英國知名IT媒體Computing最近舉行的企業安全與風險管理現場會上，IT主管們討論了自身最大的安全失敗。IT主管們承認自己漏掉了供應鏈弱點，以及沒能跟上安全技術的發展。

早些時候，正是這些IT主管指出，安全招聘之所以難，不僅僅是因為相關技能的缺乏，也因為招聘人員找錯了方向，朝著並不需要的特質和資格去了。

英國運輸部首席資訊保安官 Arshid Bashir 說道：

我們有錯，錯在不應該讓我們的安全工具集過時，錯在沒有跟上技術變化。我們還沒能傳達出向雲端遷移的正確資訊，總是假定雲遷移過程安全而簡單，但其實這一過程並不足夠安全。所以我們不得不向董事會回報：‘沒錯，我們已經遷移到雲環境了，但需要做的事還很多，要保護我們自身，要理解我們面臨的風險’。我們現在是90%在雲端，還有10%留在了現場。

關於企業供應鏈安全評估問題，加拉赫全球經濟英國公司IT風險與合規總監 Michael Barry 表示：他們自身沒有大範圍採用雲，但很多供應商採用了。當他們對供應商執行盡職審查時，供應商發來了其雲提供商的資訊，但供應商自己軟體和資料庫中的漏洞卻被完全遺漏了。這方面供應商還需要再教育。

《金融時報》網路安全高階風險分析師 Laura Jones 則表示，她最大的錯誤是沒有實施向上管理。

對我來說，最大的錯誤就是沒能實施向上管理，總是懷抱美好期望，建立了一種害怕犯錯的文化氛圍，讓下面的人總是報告說沒有任何風險。有時候還是得聽聽悲觀主義者的話。他們說話不中聽，正是因為了解風險。

安聯集團IT電信協調官 Carlo Petrini 對風險與失誤持積極態度：在安聯，IT安全失誤不是錯誤，是機會。

現場會上另一組專家警告業界：不要總是說安全失敗都是使用者造成的。