業(yè)務變更如何調整網絡安全策略

申請免費試用、咨詢電話：400-8352-114

任何企業(yè)信息安全團隊要保持長期的成功，有必要定期評估其業(yè)務策略與網絡安全策略之間的增效作用。類似收購的主要業(yè)務事件不應該成為進行這種評估的惟一時間。企業(yè)中的變化是在不斷的發(fā)生的，安全策略也應該適應這個變更。筆者將簡要介紹需要進行網絡安全策略評估的一些業(yè)務事件，應該評估什么內容以及如何避免管理層出現的失誤。

什么時候應該評估信息安全策略

高級經理的變更或者提升，或者開始提供一種產品或服務，以及為了迅速改變一項業(yè)務而需要改變的因素。新的報告流程也許不能明確包含風險的擁有者和責任，但只要一家公司進行這種改變，網絡安全策略和政策就要相應地進行改變以提供滿足變化的機構所需要的安全。

我最近與一家大型機構合作。這家機構首次在網絡上提供許多產品和服務。盡管從"brochureware"策略向電子商務網站的轉變是成功的，但是，這在內部網絡以及互聯網上增加了大量的個人身份識別信息的傳輸。因此網絡安全政策必須升級以確保網絡通訊中出現的這種變化的安全。所有連接到客戶數據庫的網絡連接都要加密，網絡用戶的訪問權限要進行審查和做必要的調整，并且為了進一步滿足機構的安全需要開始使用各種數據泄漏檢測工具。

早一些向每一個人宣傳這個策略

為避免安全策略不符合實際，IT安全部門的負責人需要緊密聯系機構的部門及其策略的變化，以及了解每一個部門是如何計劃實施這些策略的。應該定期與高級決策者溝通，發(fā)現和討論有關領域的問題。通過全方面了解業(yè)務和安全的必要性，在采購和實施安全技術時就能夠做出明智的決策。例如，如果一個新的業(yè)務計劃很早就包含了安全相關內容，安全策略就能夠在這個項目開始的時候做出詳細計劃并實施。這種方法在保證企業(yè)安全過程中總是更有效的。

安全策略的關鍵組成部分

網絡安全策略評估的重點應該是評估當前的安全策略是否能夠滿足以下條件：

·在休息時和在整個網絡傳輸中根據其安全策略分類保護數據；

·減輕未知的和新出現的各種威脅；

·在安全提供服務的同時最大限度地利用資源；

·讓機構的運營管理適應風險；

·滿足已有法規(guī)和管理規(guī)定的要求。

讓管理層批準新的安全策略

當前信息安全策略的任何重大變化都必須要得到關鍵的決策者的支持。他們必須要在董事會上簽署和支持信息安全策略的重大變化。需要額外資金的新的安全計劃如果涉及到風險和法律法規(guī)的問題很可能會得到批準，這是推動管理層做出決策兩個重要推動因素。我最近向客戶提出的一個建議是，一旦董事會充分重視保護其客戶數據的法律責任，這個幾乎很快就會獲得批準。

一個網絡安全策略的改變通常需要保證新的產品或者服務能夠順利運行。這些產品和服務不是免費獲得的。因此，要在安全預算中增加這項關鍵的開支，設法展示這個修改的策略是節(jié)省開支的計劃的一部分，例如把這個計劃作為提高效率和減少整個開支的技術項目的一部分。

然而，重要的是安全團隊能夠全面理解一個機構容忍風險的程度。當安全團隊和業(yè)務經理對公司適當的風險水平有不同的定義的時候，業(yè)務策略和安全策略就會發(fā)生分歧。當一位新任命的高級經理來自不同的行業(yè)并且適應在不同的風險環(huán)境中工作的時候，這種分歧是經常發(fā)生的。當這些團隊不能面對面地解決這個問題的時候，就可能出現防御水平過高或者過低以及錯誤使用預算開支的情況。

創(chuàng)建一個隨著業(yè)務計劃的發(fā)展不斷更新的網絡安全策略是一個挑戰(zhàn)。政策調整需要依賴網絡中所有部門的溝通和合作。這里的關鍵是保證網絡安全策略成為一個能夠促使業(yè)務成功的因素而不是導致業(yè)務失敗的因素。安全專業(yè)人員需要改變自己的觀念和他們的業(yè)務部門的同事的觀念。最重要的是要考慮到，哪怕是一個最小的業(yè)務變化都可能打開一個巨大的安全漏洞。(techtarget)