安全是一种人员、流程和技能的功用关于安全和危险办理专业人员来说不是一个隐秘。可是,当涉及到开支的时分,历史数据却叙述了不同的故事。大多数组织曩昔不适当地把安全开支的很大份额用在了技能方面,基本上依靠依据产品的办法来处理自己的安全问题。
运用技能或许比改动职工的思维或许在组织内部施行严厉的流程更简单。可是,技能自身或许并不是十分有用的。在本期运用技巧中,咱们将介绍组织在树立削减商业危险的结构方面能够采纳的五个过程。
第一步:了解和界说你的信息环境
要拟定一个全面的信息危险办理结构,CISO(首席信息安全官)有必要首要界说自己的责任。例如,商场研讨公司Forrester Research的结构包括17个域,涉及到人员、流程和技能。可是,可是,自己界说这些域是没有含义的,除非每一个域都有适宜的操控以确保信息的机密性、完整性和可用性。
第二步:确认机密性、完整性和可用性的要求
一个企业并非一切的方面都需求相同水平的维护。合同责任和立法规矩或许会决议一些组织的商业操控。可是,关于许多其它企业来说,正确的判别要求与事务部门的协作伙伴协作确认这个作业。当评价一个功用的重要性的时分,你要回答三个问题:
·这个功用的保密性怎么?评价这个功用的数据库打破对你整个公司事务的潜在影响。例如,联邦交易委员会的制裁一般是企业不太忧虑的作业。企业声誉的损失和正在进行的法律纠纷一般会使企业支付更高的价值。
·这个功用的信息的准确性是不是十分牢靠?下一步,评价数据被损坏的潜在的影响。这种数据是十分广泛的。例如,客户收到过错的药品的案件比客户技能支持投诉更难处理。
·假如这个功用在需求时却没有,结果是什么?时刻简直永久是金钱。你或许不忧虑你的即时消息说话被偷听,可是,每天带来200万美元收入的公司网站却不能遭到要挟或许被中止网络连接,即便就几分钟。
第三步:界说你的操控
在曩昔的几年里,安全办公室的使命明显扩展了。首席信息安全官现在担任商业持续性、灾祸康复和恪守法规等许多范畴。还有一些首席信息安全官不直接担任的范畴,如物理安全、运用程序布置和IT运营等。可是,这些功用对整个信息财物的安全有巨大的含义。首席信息安全官需求监督和拟定一切这些事务部门的安全操控规范以便更有用地完结自己的作业。首席信息安全官应该依据结构的办法辨认和衡量这些方面以便跟着时刻的推移盯梢他们的发展。
第四步:拟定强制措施、监督和反响机制
一个信息危险办理结构有必要确保这些操控措施是界说的、强制执行的、能够衡量的、监督的和陈述的。关于这些操控措施不能充沛减轻危险的当地,首席信息安全官有必要确保削减这些危险,搬运这种危险或许把危险降低到能够承受的程度。
第五步:衡量和陈述
商场研讨公司Forrester在最近的查询陈述中发现,大多数安全规矩方案仍处在前期阶段或许规划阶段。受访者表明,在拟定他们的规矩方案的时分有两个首要的应战:找到正确的规矩而且把这个安全规矩翻译成商业言语。
许多安全司理把要点放在搜集和陈述战术的和状况更新信息方面。要拟定一个成功的安全规矩方案,首席信息安全官需求依据商业意图和方针辨认、优先组织、监督和衡量安全。然后,他们应该要点把这些规矩翻译成商业言语,让办理层在拟定商业决议方案的时分运用这些规矩。
在咱们的查询中,许多首席信息安全官感到为组织找到正确的规矩的巨大尽力令他们目不暇接。现在,大多数组织都有很好的安全方针、适宜的技能以及流程来强制执行这些规矩。还有一些监督和反响才能,可是,大多数组织现在都没有好的安全衡量才能。衡量和陈述依靠于安全方针,是你的安全方案中的重要组成部分,永久都不应该轻视或许疏忽。