業(yè)務(wù)變更如何調(diào)整網(wǎng)絡(luò)安全策略

申請免費(fèi)試用、咨詢電話：400-8352-114

任何企業(yè)信息安全團(tuán)隊(duì)要保持長期的成功，有必要定期評估其業(yè)務(wù)策略與網(wǎng)絡(luò)安全策略之間的增效作用。類似收購的主要業(yè)務(wù)事件不應(yīng)該成為進(jìn)行這種評估的惟一時間。企業(yè)中的變化是在不斷的發(fā)生的，安全策略也應(yīng)該適應(yīng)這個變更。筆者將簡要介紹需要進(jìn)行網(wǎng)絡(luò)安全策略評估的一些業(yè)務(wù)事件，應(yīng)該評估什么內(nèi)容以及如何避免管理層出現(xiàn)的失誤。

什么時候應(yīng)該評估信息安全策略

高級經(jīng)理的變更或者提升，或者開始提供一種產(chǎn)品或服務(wù)，以及為了迅速改變一項(xiàng)業(yè)務(wù)而需要改變的因素。新的報(bào)告流程也許不能明確包含風(fēng)險(xiǎn)的擁有者和責(zé)任，但只要一家公司進(jìn)行這種改變，網(wǎng)絡(luò)安全策略和政策就要相應(yīng)地進(jìn)行改變以提供滿足變化的機(jī)構(gòu)所需要的安全。

我最近與一家大型機(jī)構(gòu)合作。這家機(jī)構(gòu)首次在網(wǎng)絡(luò)上提供許多產(chǎn)品和服務(wù)。盡管從"brochureware"策略向電子商務(wù)網(wǎng)站的轉(zhuǎn)變是成功的，但是，這在內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上增加了大量的個人身份識別信息的傳輸。因此網(wǎng)絡(luò)安全政策必須升級以確保網(wǎng)絡(luò)通訊中出現(xiàn)的這種變化的安全。所有連接到客戶數(shù)據(jù)庫的網(wǎng)絡(luò)連接都要加密，網(wǎng)絡(luò)用戶的訪問權(quán)限要進(jìn)行審查和做必要的調(diào)整，并且為了進(jìn)一步滿足機(jī)構(gòu)的安全需要開始使用各種數(shù)據(jù)泄漏檢測工具。

早一些向每一個人宣傳這個策略

為避免安全策略不符合實(shí)際，IT安全部門的負(fù)責(zé)人需要緊密聯(lián)系機(jī)構(gòu)的部門及其策略的變化，以及了解每一個部門是如何計(jì)劃實(shí)施這些策略的。應(yīng)該定期與高級決策者溝通，發(fā)現(xiàn)和討論有關(guān)領(lǐng)域的問題。通過全方面了解業(yè)務(wù)和安全的必要性，在采購和實(shí)施安全技術(shù)時就能夠做出明智的決策。例如，如果一個新的業(yè)務(wù)計(jì)劃很早就包含了安全相關(guān)內(nèi)容，安全策略就能夠在這個項(xiàng)目開始的時候做出詳細(xì)計(jì)劃并實(shí)施。這種方法在保證企業(yè)安全過程中總是更有效的。

安全策略的關(guān)鍵組成部分

網(wǎng)絡(luò)安全策略評估的重點(diǎn)應(yīng)該是評估當(dāng)前的安全策略是否能夠滿足以下條件：

·在休息時和在整個網(wǎng)絡(luò)傳輸中根據(jù)其安全策略分類保護(hù)數(shù)據(jù)；

·減輕未知的和新出現(xiàn)的各種威脅；

·在安全提供服務(wù)的同時最大限度地利用資源；

·讓機(jī)構(gòu)的運(yùn)營管理適應(yīng)風(fēng)險(xiǎn)；

·滿足已有法規(guī)和管理規(guī)定的要求。

讓管理層批準(zhǔn)新的安全策略

當(dāng)前信息安全策略的任何重大變化都必須要得到關(guān)鍵的決策者的支持。他們必須要在董事會上簽署和支持信息安全策略的重大變化。需要額外資金的新的安全計(jì)劃如果涉及到風(fēng)險(xiǎn)和法律法規(guī)的問題很可能會得到批準(zhǔn)，這是推動管理層做出決策兩個重要推動因素。我最近向客戶提出的一個建議是，一旦董事會充分重視保護(hù)其客戶數(shù)據(jù)的法律責(zé)任，這個幾乎很快就會獲得批準(zhǔn)。

一個網(wǎng)絡(luò)安全策略的改變通常需要保證新的產(chǎn)品或者服務(wù)能夠順利運(yùn)行。這些產(chǎn)品和服務(wù)不是免費(fèi)獲得的。因此，要在安全預(yù)算中增加這項(xiàng)關(guān)鍵的開支，設(shè)法展示這個修改的策略是節(jié)省開支的計(jì)劃的一部分，例如把這個計(jì)劃作為提高效率和減少整個開支的技術(shù)項(xiàng)目的一部分。

然而，重要的是安全團(tuán)隊(duì)能夠全面理解一個機(jī)構(gòu)容忍風(fēng)險(xiǎn)的程度。當(dāng)安全團(tuán)隊(duì)和業(yè)務(wù)經(jīng)理對公司適當(dāng)?shù)娘L(fēng)險(xiǎn)水平有不同的定義的時候，業(yè)務(wù)策略和安全策略就會發(fā)生分歧。當(dāng)一位新任命的高級經(jīng)理來自不同的行業(yè)并且適應(yīng)在不同的風(fēng)險(xiǎn)環(huán)境中工作的時候，這種分歧是經(jīng)常發(fā)生的。當(dāng)這些團(tuán)隊(duì)不能面對面地解決這個問題的時候，就可能出現(xiàn)防御水平過高或者過低以及錯誤使用預(yù)算開支的情況。

創(chuàng)建一個隨著業(yè)務(wù)計(jì)劃的發(fā)展不斷更新的網(wǎng)絡(luò)安全策略是一個挑戰(zhàn)。政策調(diào)整需要依賴網(wǎng)絡(luò)中所有部門的溝通和合作。這里的關(guān)鍵是保證網(wǎng)絡(luò)安全策略成為一個能夠促使業(yè)務(wù)成功的因素而不是導(dǎo)致業(yè)務(wù)失敗的因素。安全專業(yè)人員需要改變自己的觀念和他們的業(yè)務(wù)部門的同事的觀念。最重要的是要考慮到，哪怕是一個最小的業(yè)務(wù)變化都可能打開一個巨大的安全漏洞。(techtarget)