如果安全人員不理解企業(yè)數(shù)據(jù)的真正價值���,就很難真正理解企業(yè)面臨的真正威脅,也就無法真正理解企業(yè)的安全計劃���、安全過程和程序是否真正有效��。
安全人員的任務(wù)可能非常艱巨:從諸多擔(dān)心�、不確定因素和似是而非的問題中抽絲剝繭,評估不同的風(fēng)險狀態(tài)和這些風(fēng)險在企業(yè)發(fā)生的可能性�。
然后再確定如何使用必要的技術(shù)使這些風(fēng)險最小化。
專注于數(shù)據(jù)許多企業(yè)花費(fèi)了太多時間用于工具�����,而對于數(shù)據(jù)的重視程度卻遠(yuǎn)遠(yuǎn)不夠���。
與數(shù)據(jù)相比��,技術(shù)相對簡單����。
更困難的問題是理解數(shù)據(jù)����,因為大樓���、LAN�、主機(jī)無法限制數(shù)據(jù)�。
無論IT專業(yè)人員還是一般的業(yè)務(wù)專業(yè)人士都需要認(rèn)識到企業(yè)需要部署控制和保護(hù)�,以跟蹤數(shù)據(jù)的流向和目的地�����。
企業(yè)很容易在這方面犯錯誤����。
當(dāng)今的企業(yè)需要保護(hù)信息的基礎(chǔ)架構(gòu)。
但這僅僅是關(guān)于數(shù)據(jù)與技術(shù)的第一項措施���。
多數(shù)公司往往并不清楚威脅��。
許多企業(yè)發(fā)現(xiàn)�,要證明“把錢花在不一定發(fā)生的潛在威脅上是合適的”非常困難����。
情況往往是只有在發(fā)生了危害后,企業(yè)才開始重新評估其安全策略���。
風(fēng)險的概念從何處開始呢?要描繪企業(yè)信息風(fēng)險的概況����,安全管理者應(yīng)從確認(rèn)所有的關(guān)鍵業(yè)務(wù)過程及其工作方式開始���。
誰都無法保護(hù)并不了解的資產(chǎn)�����。
安全管理者應(yīng)調(diào)查企業(yè)的邏輯和物理資產(chǎn)���,無論是數(shù)據(jù)����、技術(shù)����、人員還是過程,都必須包括在內(nèi)����。
安全管理員應(yīng)與擁有這些過程涉及的人員交流,發(fā)現(xiàn)他們的風(fēng)險要求和感受水平���。
例如,風(fēng)險在何種情況下會產(chǎn)生危害?企業(yè)的敏感點(痛點)在哪里?是效率還是可用性?亦或是資產(chǎn)自身?這些痛點在不同的企業(yè)之間是不同的���。
這個過程的一部分就是要理解企業(yè)所面臨的不同風(fēng)險狀況�����。
在這些狀況中��,哪些是真正可能發(fā)生的?安全管理者應(yīng)關(guān)注哪些?如何應(yīng)對這些狀況�,在哪一點上開始對付這種狀況?由此,安全管理者才可以部署控制�����、功能��、框架�、過程、方法��、人員進(jìn)行應(yīng)對�����。
企業(yè)需要一種信息管理策略�����,以幫助企業(yè)更好地確定和實施安全策略和過程。
我們不妨將信息管理策略定義為:為了管理在企業(yè)中存在和流動的信息���,企業(yè)將有益于公司的方法�����、策略����、過程建立起來的一種集合��。
這種策略可以管理和監(jiān)視數(shù)據(jù)���。
信息管理與評估風(fēng)險和決定適當(dāng)?shù)陌踩酵瑯又匾?/p>
但管理信息遠(yuǎn)遠(yuǎn)不是通過技術(shù)保護(hù)信息那樣簡單�����。
在安全問題上的策略和知識管理必須利用教育�����、培訓(xùn)等要素���。
不僅僅是技術(shù)在確認(rèn)了適當(dāng)?shù)娘L(fēng)險狀況和理解了風(fēng)險要求后��,還要考慮到隨著時間的推移,問題會發(fā)生變化���。
企業(yè)的風(fēng)險要求需要重新調(diào)整��。
安全管理員需要講求實效��,并更現(xiàn)實地認(rèn)識這些風(fēng)險����。
在準(zhǔn)備好策略���、過程���、工具后,評估其效能就要求企業(yè)具有安全實踐和過程的專業(yè)知識�����,并理解公司的內(nèi)部程序����。
這種評估可通過內(nèi)部的專業(yè)人員或外部的審計人員實施。
當(dāng)然,問題是��,企業(yè)要理解這些過程��,從而保證其內(nèi)部安全策略的相關(guān)性和最新���。
安全是一個不斷演變的問題���,它不可一蹴而就,而是應(yīng)當(dāng)經(jīng)常評估和修訂���,以應(yīng)對不斷變化的威脅����。
對于多數(shù)企業(yè)來說�����,這有可能是最大的困難�����。
如何評估有專家建議在如下方面評估企業(yè)的安全準(zhǔn)備水平���,或評估當(dāng)前狀態(tài)與目標(biāo)狀態(tài)的差距:
1.安全文化���。
評估企業(yè)在安全意識培訓(xùn)中是否使用多種方法。
2.審計問題���。
評估企業(yè)是否將安全問題包含在項目計劃和變更管理過程中�。
3.合規(guī)管理���。
評估企業(yè)是否為合規(guī)管理過程明確地規(guī)定了責(zé)任和義務(wù)��。
4.策略和過程管理��。
評估企業(yè)將物理安全整合到其它過程的程度�����。
5.事件管理�����。
評估企業(yè)的事件監(jiān)視是否包括了所有的安全方面�����。
6.風(fēng)險分析�。
評估企業(yè)是否將風(fēng)險分析的結(jié)果明確地傳達(dá)給所有重大項目的項目團(tuán)隊。
7.漏洞管理�。
評估企業(yè)用安全策略和過程審計是否合規(guī)的頻率。
