業(yè)務(wù)變更如何調(diào)整網(wǎng)絡(luò)安全策略

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

任何企業(yè)信息安全團(tuán)隊(duì)要保持長(zhǎng)期的成功，有必要定期評(píng)估其業(yè)務(wù)策略與網(wǎng)絡(luò)安全策略之間的增效作用。類似收購(gòu)的主要業(yè)務(wù)事件不應(yīng)該成為進(jìn)行這種評(píng)估的惟一時(shí)間。企業(yè)中的變化是在不斷的發(fā)生的，安全策略也應(yīng)該適應(yīng)這個(gè)變更。筆者將簡(jiǎn)要介紹需要進(jìn)行網(wǎng)絡(luò)安全策略評(píng)估的一些業(yè)務(wù)事件，應(yīng)該評(píng)估什么內(nèi)容以及如何避免管理層出現(xiàn)的失誤。

什么時(shí)候應(yīng)該評(píng)估信息安全策略

高級(jí)經(jīng)理的變更或者提升，或者開(kāi)始提供一種產(chǎn)品或服務(wù)，以及為了迅速改變一項(xiàng)業(yè)務(wù)而需要改變的因素。新的報(bào)告流程也許不能明確包含風(fēng)險(xiǎn)的擁有者和責(zé)任，但只要一家公司進(jìn)行這種改變，網(wǎng)絡(luò)安全策略和政策就要相應(yīng)地進(jìn)行改變以提供滿足變化的機(jī)構(gòu)所需要的安全。

我最近與一家大型機(jī)構(gòu)合作。這家機(jī)構(gòu)首次在網(wǎng)絡(luò)上提供許多產(chǎn)品和服務(wù)。盡管從"brochureware"策略向電子商務(wù)網(wǎng)站的轉(zhuǎn)變是成功的，但是，這在內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上增加了大量的個(gè)人身份識(shí)別信息的傳輸。因此網(wǎng)絡(luò)安全政策必須升級(jí)以確保網(wǎng)絡(luò)通訊中出現(xiàn)的這種變化的安全。所有連接到客戶數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)連接都要加密，網(wǎng)絡(luò)用戶的訪問(wèn)權(quán)限要進(jìn)行審查和做必要的調(diào)整，并且為了進(jìn)一步滿足機(jī)構(gòu)的安全需要開(kāi)始使用各種數(shù)據(jù)泄漏檢測(cè)工具。

早一些向每一個(gè)人宣傳這個(gè)策略

為避免安全策略不符合實(shí)際，IT安全部門的負(fù)責(zé)人需要緊密聯(lián)系機(jī)構(gòu)的部門及其策略的變化，以及了解每一個(gè)部門是如何計(jì)劃實(shí)施這些策略的。應(yīng)該定期與高級(jí)決策者溝通，發(fā)現(xiàn)和討論有關(guān)領(lǐng)域的問(wèn)題。通過(guò)全方面了解業(yè)務(wù)和安全的必要性，在采購(gòu)和實(shí)施安全技術(shù)時(shí)就能夠做出明智的決策。例如，如果一個(gè)新的業(yè)務(wù)計(jì)劃很早就包含了安全相關(guān)內(nèi)容，安全策略就能夠在這個(gè)項(xiàng)目開(kāi)始的時(shí)候做出詳細(xì)計(jì)劃并實(shí)施。這種方法在保證企業(yè)安全過(guò)程中總是更有效的。

安全策略的關(guān)鍵組成部分

網(wǎng)絡(luò)安全策略評(píng)估的重點(diǎn)應(yīng)該是評(píng)估當(dāng)前的安全策略是否能夠滿足以下條件：

·在休息時(shí)和在整個(gè)網(wǎng)絡(luò)傳輸中根據(jù)其安全策略分類保護(hù)數(shù)據(jù)；

·減輕未知的和新出現(xiàn)的各種威脅；

·在安全提供服務(wù)的同時(shí)最大限度地利用資源；

·讓機(jī)構(gòu)的運(yùn)營(yíng)管理適應(yīng)風(fēng)險(xiǎn)；

·滿足已有法規(guī)和管理規(guī)定的要求。

讓管理層批準(zhǔn)新的安全策略

當(dāng)前信息安全策略的任何重大變化都必須要得到關(guān)鍵的決策者的支持。他們必須要在董事會(huì)上簽署和支持信息安全策略的重大變化。需要額外資金的新的安全計(jì)劃如果涉及到風(fēng)險(xiǎn)和法律法規(guī)的問(wèn)題很可能會(huì)得到批準(zhǔn)，這是推動(dòng)管理層做出決策兩個(gè)重要推動(dòng)因素。我最近向客戶提出的一個(gè)建議是，一旦董事會(huì)充分重視保護(hù)其客戶數(shù)據(jù)的法律責(zé)任，這個(gè)幾乎很快就會(huì)獲得批準(zhǔn)。

一個(gè)網(wǎng)絡(luò)安全策略的改變通常需要保證新的產(chǎn)品或者服務(wù)能夠順利運(yùn)行。這些產(chǎn)品和服務(wù)不是免費(fèi)獲得的。因此，要在安全預(yù)算中增加這項(xiàng)關(guān)鍵的開(kāi)支，設(shè)法展示這個(gè)修改的策略是節(jié)省開(kāi)支的計(jì)劃的一部分，例如把這個(gè)計(jì)劃作為提高效率和減少整個(gè)開(kāi)支的技術(shù)項(xiàng)目的一部分。

然而，重要的是安全團(tuán)隊(duì)能夠全面理解一個(gè)機(jī)構(gòu)容忍風(fēng)險(xiǎn)的程度。當(dāng)安全團(tuán)隊(duì)和業(yè)務(wù)經(jīng)理對(duì)公司適當(dāng)?shù)娘L(fēng)險(xiǎn)水平有不同的定義的時(shí)候，業(yè)務(wù)策略和安全策略就會(huì)發(fā)生分歧。當(dāng)一位新任命的高級(jí)經(jīng)理來(lái)自不同的行業(yè)并且適應(yīng)在不同的風(fēng)險(xiǎn)環(huán)境中工作的時(shí)候，這種分歧是經(jīng)常發(fā)生的。當(dāng)這些團(tuán)隊(duì)不能面對(duì)面地解決這個(gè)問(wèn)題的時(shí)候，就可能出現(xiàn)防御水平過(guò)高或者過(guò)低以及錯(cuò)誤使用預(yù)算開(kāi)支的情況。

創(chuàng)建一個(gè)隨著業(yè)務(wù)計(jì)劃的發(fā)展不斷更新的網(wǎng)絡(luò)安全策略是一個(gè)挑戰(zhàn)。政策調(diào)整需要依賴網(wǎng)絡(luò)中所有部門的溝通和合作。這里的關(guān)鍵是保證網(wǎng)絡(luò)安全策略成為一個(gè)能夠促使業(yè)務(wù)成功的因素而不是導(dǎo)致業(yè)務(wù)失敗的因素。安全專業(yè)人員需要改變自己的觀念和他們的業(yè)務(wù)部門的同事的觀念。最重要的是要考慮到，哪怕是一個(gè)最小的業(yè)務(wù)變化都可能打開(kāi)一個(gè)巨大的安全漏洞。(techtarget)