建立一个坚固的安全体系需要假以时日。在这点上,每个组织的做法不尽相同。评估你的技术,考虑内外部威胁是非常重要的。
评估会揭示你的漏洞。相应的补救措施将帮助你认识到现存安全设备的所有优点并指出需要弥补的差距。甚至在你的防御体系到位的情况下, 警惕总是需要的,因为新的威胁总会浮现。
随着我们对云计算的依赖不断加深, 诸如自带设备(BYOD)趋势的盛行, 企业安全问题面临比从前更大的风险。这就是为何Gartner会预测多于50%的组在2018年之前会购买安全服务。每个公司都需要相应的安全计划到位。这里是一个4个E的指南可以帮助你履行该计划: 评估(Evaluate), 建立(Establish), 教育(Educate), 和强力推行(Enforce)。
评估(Evaluate)
在你有一个清晰的、全局性的愿景之前,你无法开始着手创建一个安全战略。你需要做一个完整的安全评估, 理想的状况是购买一个第三方专家为你提供一个关于你当前系统和策略的无偏见的外部概览。开始的时候工作量是最大的,但随后应该是一个工作量小得多的重复性任务。
该评估应该覆盖该业务在用的所有设备,从桌面PC到笔记本电脑, 智能手机和平板电脑也需要纳入到你的IT基础架构中来, 你的网络, 内部开发的软件和数据库, 和第三方的系统。管理型需求也必须考虑到, 例如, 保健领域的HIPAA。最重要的是标识出违反合规性的部分。
建立(Establish)
紧接着你的评估之后需要做的毫无疑问是建立和/或开发你的安全计划。 每种对组织带来风险的情况都必须考虑到, 当员工离职时,需要建立一整套从删除公司数据和用户账号, 到详细的便携设备管理的策略流程用以配置你网络中的便携设备和保护你的数据。
安全计划和策略评估的计划安排对于确保新的技术、软件和流程对于组织的适用性是必须的。同时也要做必须的检查,以确保没有多余的策略,这些策略可能使用了过时的技术和流程。
教育(Educate)
创建一个综合的策略只是一个开始。如果你期望那些策略得以遵守,你需要教育和培训员工。 解释潜在的原因, 潜在的风险, 和入侵带来的后果。适合的培训是一个有价值的投资,它是使任何企业的安全战略得以顺滑的运作的前提。
适当的培训保护组织遵从法律责任并且使组织对员工对他们的行为负责。你可能拥有全世界最好的策略, 但失败的员工培训会使它变得毫无用处。
强力推行(Enforcement)
只是创建你的安全计划是不够的, 开发策略和教育员工, 你需要系统就位以便你对合规性做出监视。违反安全流程的员工必须受到惩罚。不符合安全标准的系统必须被淘汰。只有近距离的观察你的数据流的运转情况才能让你理解你的安全策略到底工作的有多正常。
当新的安全漏洞被发现,它们必须被立即显著标识出来。由于你的计划和策略是在不断发展的,你的IT资源也必须就位以便对其衡量和强制执行。许多威胁,特别是数据入侵,是内部员工所为, 所以你
需要你的系统和度量指标能够覆盖到攻击的方方面面。
从长远的观点看
在风险带来的收入和业务损失与安全方面的投资之间你必须做出权衡, 法律责任, 客户的严重流失和股东们的信心。在你需要重建信心问题之前,找到、修复和清除数据泄露的代价是非常高昂的。
虽然初期成本看起来很高, 不过一旦你有了一个坚固的安全战略到位并且有个持续发展的监控和评估计划, 维护它们不需要高昂的付出。衡量所需的潜在成本-- 依据波耐蒙研究所2014年的数据,公司2014年花在这方面的钱大概是平均350万美元 -- 企业安全的4个E看上去并不贵。
关于作者
Michelle Drolet是Towerwall的创始人, 一家位于马萨诸塞州弗雷明汉的数据安全服务提供商,她的客户包括Smith & Wesson, Middlesex Savings Bank, 布朗大学and 中小企业。你可以通过
michelled@towerwall.com与她取得联系。
CIO之家 www.ciozj.com 公众号:imciow