点评由CIO造成的企业九大安全威胁

 不知不觉中，我们迎来了2008。在此我们应该回过头来看看CIO们常犯的一些错误，以利于日后的工作。

　　1. 将过程用作能力的替代品：

　　对每个问题的回答几乎总是方法，因此你专注于CMMi和ITLL，却并不理解黑客们攻击软件的事实。

　　2. 让网络工程师负责安全：

　　你会认识到拥有网络背景的人员不太可能保证企业的安全。如果一个黑客攻击你的软件并窃取你的数据，而你却以硬件响应之，那你认为谁会赢得斗争的胜利呢?

　　3. 给厂商加上合伙人的标签并过分依赖它们：

　　你十分相信软件厂商和外购公司，因此你对其职员是否理解应获得适当的培训不太在乎。

　　4. 主要依赖防火墙和反病毒软件

　　在此我们要揭示这样一个问题：防火墙并不是绝对的安全设备，它们更多地用于网络防御。为什么呢?考虑一下这种情况：一个防火墙并不能阻止与跨站脚本攻击、SQL注入等等相关的攻击。网络安全设备只能保护网络，而对保护应用程序它并不能做很多贡献。

　　5. 授权一些被动的、短期的修正措施，缺乏对问题的远见卓识，结果问题接踵而至。

　　6. 认为安全性至高无上同时又认为CMMi价值不高：为什么总是不能认识到信息和组织声誉的价值呢?

　　7. 为员工分配了角色，给他们一些头衔，但并不对其培训：让一些未参加培训的人员来保障安全，不提供培训和执行相关工作的时间。结果可想而知。

　　8. 不断地谈论威胁和漏洞，对风险却鲜有涉及。

　　9. 认为安全问题是一个技术问题。