合规不等于安全

等保合规的检查清单上的复选框并不会使你的系统安全!如果你曾经在信息安全行业工作过，那么你可能听说过一句老话:“合规并不等于安全! ! ! ”。

你要知道这是事实。 攻击者真的不在乎你是否已经勾选了风险管理框架(COBIT，NIST RMF，CIS Top 20，等等)中的所有检查表的检查项。 事实上，这位作者的观点是，这句话值得重复，也许整个华盛顿地区的演讲者都应该把它打破成一个连续的循环，国家政策和法律就是在这个循环中产生的。

原因如下: 政府和许多公司仍然认为网络安全就是合规。 他们失去了服从，不能思考过去。 许多这样的组织都非常“肥胖” ，因为他们规模庞大，而且他们负责的互联网连接系统数量庞大。 由于这个原因以及缺乏合格的网络安全专业人员，我发现这些组织往往只能做最低限度的工作来维持生计，即使其中许多组织能够承担得起做得更好。 他们不认为这是一个明智的商业投资，以加强他们的网络防御和准备。

这和人们在洪水区建造新家时可能使用的逻辑是一样的... ... 这根本说不通。 另一方面，一些组织在最先进的网络安全解决方案上花费了大量资金，但最终还是遭到了破坏。 这表明没有简单的、复制粘贴的网络安全解决方案。 这很复杂，这就是为什么安全专业人员会得到大笔的报酬，去找出并实现复杂的安全解决方案，以解决棘手的问题。

合规只是强大安全计划的一部分。

注意：只是简单地勾选框，写上几百页关于一个系统的文档，然后认为你的系统是安全的，这是不够的。

这是美国组织不断遭到中国和俄罗斯等对手攻击的最大原因之一。你太容易让对手破坏你的网络了。是的，网络安全是昂贵的。每个人都知道!但是你知道什么东西更贵吗?没有……想想吧!很有趣吧?执行程序，并尝试真正关心安全问题。