• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      怎樣衡量網(wǎng)絡(luò)安全的有效性

      2017-09-27 18:19ThorOlavsrud
      計(jì)算機(jī)世界 2017年38期
      關(guān)鍵詞:業(yè)務(wù)部門首席信息安全

      Thor+Olavsrud

      編譯 楊勇

      大多數(shù)企業(yè)并沒有把衡量標(biāo)準(zhǔn)應(yīng)用于網(wǎng)絡(luò)安全工作中,即使是應(yīng)用了的企業(yè)也經(jīng)常做錯(cuò)。本文介紹了怎樣確保您的網(wǎng)絡(luò)安全項(xiàng)目得到回報(bào)。

      您在衡量網(wǎng)絡(luò)安全工作的價(jià)值和有效性嗎?根據(jù)最近的安全衡量指數(shù)基準(zhǔn)調(diào)查,世界上大部分企業(yè)都沒有開展這項(xiàng)工作。如果沒有建立適當(dāng)?shù)暮饬繕?biāo)準(zhǔn),您實(shí)際上是在盲目工作。

      甚至當(dāng)企業(yè)的信息安全部門的確生成并提交了關(guān)于企業(yè)安全的數(shù)據(jù)時(shí),也很少會(huì)有人去注意這些數(shù)據(jù)。

      Joseph Carson是Thycotic的首席安全科學(xué)家,他根據(jù)ISO 27001規(guī)定的安全標(biāo)準(zhǔn)以及業(yè)界專家和協(xié)會(huì)的最佳實(shí)踐建立了其安全衡量指數(shù)(SMI),他說:“很多企業(yè)在網(wǎng)絡(luò)安全上做了一些努力,但他們并沒有考慮這能否有效地對(duì)業(yè)務(wù)有所幫助。很多企業(yè)沒有評(píng)估其風(fēng)險(xiǎn)和影響。他們不是從業(yè)務(wù)影響評(píng)估或者業(yè)務(wù)影響角度來看待這個(gè)問題。他們這樣做是為了滿足合規(guī)要求,他們的很多安全標(biāo)準(zhǔn)都指向這一點(diǎn)?!?/p>

      信息安全論壇(ISF)是研究和分析安全和風(fēng)險(xiǎn)管理問題的非贏利協(xié)會(huì),其常務(wù)理事Steve Durbin說:“安全和業(yè)務(wù)部門雙方缺少協(xié)作。他們有共同語言嗎?從安全部門的角度來看,自己所關(guān)注的重點(diǎn)應(yīng)怎樣與業(yè)務(wù)部門所關(guān)注的保持一致呢?”

      在衡量網(wǎng)絡(luò)安全有效性方面哪些做得不對(duì)

      Thycotic是授權(quán)帳戶管理(PAM)和端點(diǎn)權(quán)限管理解決方案提供商,通過調(diào)查400多名全球業(yè)務(wù)和安全高管,進(jìn)行了SMI基準(zhǔn)調(diào)查。研究發(fā)現(xiàn),58%的受訪者評(píng)估了他們企業(yè)在衡量網(wǎng)絡(luò)安全投資和業(yè)績方面的工作,認(rèn)為效果不佳,遠(yuǎn)不如最佳實(shí)踐。

      調(diào)查還發(fā)現(xiàn),雖然全球企業(yè)每年在網(wǎng)絡(luò)安全防御上花費(fèi)超過1千億美元,但32%的企業(yè)盲目地做出業(yè)務(wù)決策,購買網(wǎng)絡(luò)安全技術(shù)。此外,超過80%的受訪者在做出網(wǎng)絡(luò)安全采購決策時(shí),沒有考慮到業(yè)務(wù)部門的用戶。他們也沒有設(shè)立指導(dǎo)委員會(huì)來評(píng)估與網(wǎng)絡(luò)安全投資相關(guān)的業(yè)務(wù)影響和風(fēng)險(xiǎn)。

      據(jù)Durbin講,這與ISF的看法是一致的。ISF發(fā)現(xiàn)很多首席信息安全官報(bào)告了錯(cuò)誤的關(guān)鍵績效指標(biāo)(KPI)和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)(KRI)。Durbin把這歸因于這一事實(shí)——大多數(shù)首席信息安全官很少或者根本沒有與他們所報(bào)告的受眾有交流。結(jié)果,他們猜測受眾需要什么,在試圖提供關(guān)于信息安全有效性、企業(yè)風(fēng)險(xiǎn)和信息安全計(jì)劃等主題的管理報(bào)告時(shí),他們就顯得非常盲目。

      Durbin說:“如果我不知道您在做什么,那我怎么幫助您?我要對(duì)您所做的工作做一些假設(shè),這可能完全不對(duì)。安全人員總是在談?wù)摮杀?。如果我們想改變這種現(xiàn)狀,安全人員現(xiàn)在就會(huì)去找業(yè)務(wù)部門說,‘看,如果這對(duì)您來說非常重要,那我的工作就是幫助您進(jìn)行保護(hù),但出于種種原因,我沒有足夠的資金。然后,業(yè)務(wù)部門就會(huì)打電話,看看能不能為解決該問題找到資金。這不再是安全部門的問題,而是業(yè)務(wù)部門的問題?!?/p>

      在網(wǎng)絡(luò)安全方面,首席信息安全官有繁重的工作要做,而首席信息官也發(fā)揮著重要的作用,首先從提供實(shí)現(xiàn)安全功能所需的數(shù)據(jù)開始。

      Carson說:“首席信息官的核心職責(zé)是確保企業(yè)擁有做出正確決策所需的信息。他們需要確定企業(yè)的核心、高級(jí)資產(chǎn)是什么,并對(duì)其進(jìn)行分類。然后與首席信息安全官一起來保護(hù)它們?!?/p>

      實(shí)現(xiàn)KPI和KRI的4個(gè)步驟

      為幫助安全部門與業(yè)務(wù)部門相協(xié)調(diào),ISF已經(jīng)開發(fā)了四階段的實(shí)用方法來實(shí)現(xiàn)KPI和KRI。Durbin說,這種方法將有助于信息安全職能部門主動(dòng)響應(yīng)業(yè)務(wù)部門的需求。他說,關(guān)鍵是要和正確的人進(jìn)行正確的交流。

      ISF的方法旨在應(yīng)用于企業(yè)的各個(gè)層面,包括了四個(gè)階段:

      1. 通過參與了解業(yè)務(wù)環(huán)境,確定共同利益,同時(shí)開發(fā)KPR和KRI,從而建立關(guān)系。

      2. 參與產(chǎn)生、校準(zhǔn)和解釋KPI/KRI組合,從而生成深度分析結(jié)果。

      3. 通過參與向共同利益方提出相關(guān)建議,做出下一步?jīng)Q策,從而產(chǎn)生影響。

      4. 通過參與開發(fā)學(xué)習(xí)和改進(jìn)計(jì)劃,不斷學(xué)習(xí)和提高。

      ISF方法的核心是參與的理念。參與可以建立關(guān)系并增進(jìn)理解,從而使安全職能部門更好地響應(yīng)業(yè)務(wù)需求。

      參與始于正確的數(shù)據(jù)

      參與從建立關(guān)系開始。在ISF的方法中,這意味著獲得正確的數(shù)據(jù),在合適的結(jié)構(gòu)的支持下,為相應(yīng)的受眾校準(zhǔn)這些數(shù)據(jù)。然后在整個(gè)企業(yè)中使用這些數(shù)據(jù)時(shí),要保證其一致性。據(jù)ISF,建立關(guān)系需要六個(gè)步驟:

      1. 了解業(yè)務(wù)環(huán)境;

      2. 確定受眾和合作者;

      3. 確定共同利益;

      4. 確定關(guān)鍵信息安全優(yōu)先事項(xiàng);

      5. 設(shè)計(jì)KPI/KRI組合;

      6. 測試和確認(rèn)KPI/KRI組合。

      一旦有了數(shù)據(jù),就需要從中獲得深度分析結(jié)果。ISF說,可靠的深度分析結(jié)果來自于理解KPI和KRI。生成深度分析結(jié)果涉及以下三個(gè)步驟:

      1 收集數(shù)據(jù);

      2 產(chǎn)生和校準(zhǔn)KPI/KRI組合;

      3 解釋KPI/KRI組合,以得到深度分析結(jié)果。

      得到深度分析結(jié)果后,就可以去宣傳推廣了,確保以一種能被所有人接受和理解的方式報(bào)告和呈現(xiàn)信息。這就導(dǎo)致了決策和行動(dòng),如下所示:

      1. 同意結(jié)論和建議;

      2. 制作報(bào)告和演示文稿;

      3. 準(zhǔn)備報(bào)告和分發(fā)報(bào)告;

      4.提出并商定下一步措施。

      最后一步是根據(jù)前面步驟得到的所有一切來制定學(xué)習(xí)和改進(jìn)計(jì)劃。這樣,根據(jù)ISF的做法,在準(zhǔn)確把握業(yè)績和風(fēng)險(xiǎn)的基礎(chǔ)上做出合理的決策,企業(yè)就會(huì)相信信息安全職能部門能夠積極響應(yīng)業(yè)務(wù)部門的重要需求。

      Carson說:“您應(yīng)該養(yǎng)成一種不斷發(fā)展的思維模式。這是一種文化,是一種意識(shí)。一切總是在不斷發(fā)展中?!?/p>

      Thor Olavsrud——資深作家,為CIO.com撰寫IT安全、大數(shù)據(jù)、開源技術(shù)、Microsoft工具和服務(wù)器的文章。

      原文網(wǎng)址:

      http://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html

      猜你喜歡
      業(yè)務(wù)部門首席信息安全
      首席水管工
      保護(hù)信息安全要滴水不漏
      高校信息安全防護(hù)
      首席數(shù)據(jù)官
      首席隱私官
      電力企業(yè)構(gòu)建紀(jì)檢監(jiān)察與業(yè)務(wù)部門協(xié)同工作機(jī)制的研究
      在當(dāng)前形勢(shì)下“業(yè)財(cái)融合”的發(fā)展
      供電企業(yè)紀(jì)檢監(jiān)察與業(yè)務(wù)部門協(xié)同工作機(jī)制建設(shè)研究
      財(cái)務(wù)人員深入業(yè)務(wù)部門的重要性和策略分析
      保護(hù)個(gè)人信息安全刻不容緩
      404 Not Found

      404 Not Found


      nginx
      铜陵市| 中宁县| 土默特左旗| 望江县| 通河县| 雷波县| 铁岭县| 奉新县| 烟台市| 安国市| 海伦市| 额敏县| 宁明县| 忻州市| 乌兰浩特市| 双峰县| 都江堰市| 苗栗市| 宜君县| 宁国市| 滦南县| 玛沁县| 盈江县| 香河县| 阿坝| 衡阳市| 武夷山市| 民权县| 宁波市| 太仆寺旗| 鄂伦春自治旗| 宁波市| 达孜县| 兴化市| 六盘水市| 左权县| 杂多县| 大关县| 永登县| 宁津县| 新乡县|