如何打破网络安全表演的假象

在一家医疗服务提供商的董事会会议上，资深首席信息安全官约翰·鲁法斯被一种无法忽视的脱节现象所震惊。安全汇报内容很常见：培训指标表现良好，补丁更新按计划进行，供应商关系已经建立。董事会成员对该机构的安全项目感到放心后离开了会议室。

但他们不应该如此安心。

董事会听到了安全意识项目72%的完成率，但没有听到员工在钓鱼模拟测试中屡屡失败的情况。成功率在过去两年中一直停留在52%。补丁报告听起来很全面，但实际上，由于内部摩擦和供应商误解，关键的Linux服务器并未得到及时修补。

"我震惊地发现，为了给董事会提供虚假的安全感，竟然使用了如此程度的安全表演，"鲁法斯后来在LinkedIn上写道。

安全意识项目72%的完成率这一事实"听起来是个不错的数字，但它毫无意义，"鲁法斯指出。"向董事会报告的是一个虚假信息，声称一切正常。安全表演不仅仅是IT问题……它是治理失败。"