位置: 主页 > 必赢电子游戏娱乐新闻 >

IT战略和安全,一刻也不能分割~

时间:70-01-01 08:00 来源:

信息安然已经在越来越多的企业中成为IT弗成或缺的一部分,从企业的角度看,这两个部分(IT计谋和IT安然)实际上是弗成区分的。

许多企业正试图将IT安然与IT计谋更慎密地整合在一路。这可能意味着必要实现部门的交融,必要改变引导架构,在开拓管道中更早地嵌入安然性,以及其他的策略等。

根据 CIO的2019年现状查询造访,约2/3的企业表示,他们的IT安然计谋和IT计谋慎密结合,IT安然是IT路线图和项目的症构造成部分。

瞻望未来,两者将变得加倍难以区分,83%的企业盼望在未来三年内将IT安然计谋慎密整合到他们的整体IT计谋中。

安然咨询公司Moss Adams的收集安然高档总监Nathan Wenzler说:“我觉得我们将看到IT计谋和安然计谋交织在一路,但要领不合于我们以前几年所看到的。”

Wenzler觉得:“信息安然平日被视为IT部门的一个子集,并且只是治理防火墙和垃圾邮件过滤器等安然对象的地方,现在越来越常见的是,信息安然团队开始起到其真正的感化:风险治理功能。”

在风险的治理懈弛解方面,IT和安然策略最为慎密地集成在一路。一个常见的例子是利用法度榜样安然性。Wenzler指出,本日的安然团队更关心代码是若何从开拓职员的测试台安然地转移到临盆情况中的,同时还要进行适当的测试和节制。

Wenzler说,安然策略将确定代码可能因工资掉误或差错而被破坏或掉去完备性的区域,并供给应采取哪些步伐来减轻或打消这些风险的建议。

“IT团队随后参与,确定哪些对象最得当现有的根基架构,将其与现有的开拓对象和流程集成,并实施适当的技巧来供给这些节制,”他说。“这是今世计谋最佳结合的地方,不要期望安然团队成为IT专家,反之亦然。”

下面是一些关于若何更慎密地将安然实践整合到IT计谋中的提示。

授权最高安然主管

将IT和安然慎密整合在一路并不料味着从安然主管那里夺走权力;事实上,在计谋筹划中应该给予他们更多的谈话权。

Park Place Technologies是一家存储、办事器和收集硬件掩护办事供给商,其CIO Michael Cantor觉得,IT计谋和IT安然计谋慎密整合,收集安然引导层发挥着关键感化。

Cantor说:“我们的信息安然主管在所有计谋评论争论(包括年度预算周期)中都有一个席位。他创建了一个五年安然路线图,此中嵌入了每个安然功能的目标,以确保在每一年中取得预期的进展。”

例如,总监的目标之一是前进环抱破绽扫描的内部能力,以便Park Place Technologies能够以更低的资源进行更频繁地扫描。分外是,该目标已纳入根基架构本能机能部门的2019年目标。Cantor说,它被转化为内部扫描技巧的实施和一个偏重于更频繁地应用该技巧进行扫描的项目。

安然本能机能部门必要处于企业的适当级别,假如不是CEO,至少要向CIO陈诉请示。Cantor说:“自力性是确保安然语音在不被其他IT功能(如根基架构)抑制的环境下被听到的需要前提。”

得到高档治理职员对集成的支持

因为短缺企业中最高档别职员的支持,有若干计划偏离了轨道?IT和安然集成可能面临同样的命运。

举世性家具设计和制造公司Haworth的隐私官Joe Cardamone说:“得到董事会、C级和引导团队的认可,会给信息安然架构和策略的早期集成带来很多好处,在网上有很多此类的报道。”

Cardamone说,展示效益并得到引导层的认可和支持有助于突破障碍。此外,假如高档治理职员懂得安然的代价,他们可能更倾向于看到IT和安然集成的代价。“展示信息安然若何开展营业,而不是事情流中的另一个障碍,这很紧张。”

当IT和安然部门都与高档治理职员维持直接联系时,环境会更好。

电气承包商Rosendin Electric的收集安然与合规高档主管James McGibney说,这样的直接联系是必须的。“幸运的是,我们的收集安然小组在我们的IT公司内,直接向我们的首席信息官和首席履行官陈诉请示。他们和我们的所有高管都异常支持我们正在开展的IT和安然事情。”

McGibney表示,这样的陈诉请示流程是“完美完好的”。“我们的高档治理职员完全理解维持强有力的安然态势的紧张性。假如我们迫切必要支配安然办理规划,他们老是会为我们供给坚决不移的支持。”

常常沟通和建立关系

IT部门和安然职员之间优越沟通的需要性不能轻忽,这对付有效整合至关紧张。

在Rosendin Electric公司,两个部门之间的沟通至关紧张。

McGibney说:“人的身分是当今任何IT公司面临的最大年夜风险。成功的收集钓鱼活动很轻易使一家企业忽然竣事运营。为了供给真正的纵深防御,IT和安然部门必要协同事情,跨进击面实施办理规划,无论是在本地办理规划照样基于云的办理规划。安然组实现的内容影响根基架构,而根基架构实现的内容影响安然性。他们真的是联袂共进。”

Wenzler觉得,IT和安然团队必要懂得他们都在努力地想要实现什么,以及为什么这对企业很紧张。他说:“当双方不沟通时,很轻易使风险策略与技巧目标不同等。虽然功能各不相同,但它们对彼此的成功是弗成或缺的,是以假如没有持续的沟通,它们就会始终不合步。”

Cardamone也觉得:这两个部门之间建立更好的关系很紧张。由于信息安然职员无意偶尔会被视为项目的绊脚石,阻碍了事情流程。

为了赞助建立桥梁,信息安然团队必要强调团队协作。

Cardamone说,在Haworth,IT工程师和信息安然团队每月都邑召开会议,评论争论即将发生的变更、项目、寻衅以及可以让任何一方受益的其他问题。“使这项事情最有效的是治理团队支持这类行径,并从IT部门常见的伶仃行径中走出来。”

使用安然标准并应用可对照的指标

这些盼望集成IT和安然的企业应该斟酌应用标准安然框架,例如由美国标准技巧钻研所(NIST)创建的框架来为安然情况设定目标。

“这可以创建一个安然路线图,该路线图可以有效地进行优先级划分,并与所有功能共享,以设置年度目标。”Cantor说。

Cantor指出,在企业中应用一个标准化安然操作框架,可以确保安然的所有方面都获得识别,并且可以优先斟酌风险和成熟度目标。一旦一家企业选择了一个框架,并根据其对特定环境的适用性支配了各类元素,“那么该企业基础上就有了一个安然策略。”

“安然性仅能在其自身功能范围内实现特定目标是异常罕有的。平日必要结合其他功能来实现安然目标,是以这种与整体IT计谋的集成是成功的关键。”Cantor说。

Wenzler觉得,除了标准之外,IT和安然团队还应致力于应用可对照的度量标准,以便不肴杂终纵目标。很多时刻,安然团队开始应用与IT团队或运营本能机能无关的要领衡量风险以致取获成功。

“同样,正常运行光阴丈量或赞助台相应可能涉及安然性的‘完备性和可用性’支柱,但不能精确办理风险问题。应确保每小我都懂得正在应用的指标,并使用能够经由过程技巧改进揭示风险低落的指标。”Wenzler说。

在产品中构建数据保护

有效的IT和安然集成应该扩展到企业为其客户供给的产品和办事,以及企业内部应用的产品和办事,而不斟酌行业。

McGibney说:“在我们的IT产品中构建数据保护至关紧张。”例如,当向员工发放企业手机时,它会急速在统一的端点治理系统中注册。假如员工带上自己的设备,他们也必须注册,否则设备不容许造访任何企业资本。

“跟着收集钓鱼活动的凶猛光降,任何企业都有员工点击隐隐链接、输入登录凭据的风险。黑客不仅可以自由造访你的Active Directory根基架构,还可以造访你的流程和进程。反过来,这平日会导致更集中的收集钓鱼进击。”McGibney说。

物联网(IoT)扩大年夜了进击面。McGibney觉得,“所有打仗到互联网的器械都邑成为企业的潜在切入点。电话、平板电脑、条记本电脑、台式机、安然摄像头、照明节制、恒温器、虚拟现实设备等。所有这些设备都必要颠末某种补丁治理和破绽治理进程。”

McGibney说,黑客可以说是天下上最智慧的人。“当他们下定决心并一意想渗透你的情况时,他们将应用任何需要的手段来实现他们的目标。无论是经由过程社会工程照样收集钓鱼活动,企业都必须维持鉴戒和安然意识。”

作者:Bob Violino 是一位在纽约的特约作家,办事于 Computerworld, CIO, CSO, InfoWorld, Network World。

编译:徐盛华

原文网址:https://www.cio.com/article/3407737/how-to-better-integrate-it-security-and-it-strategy.html

责任编辑:周星如

本文由百胜集团盛鑫百利娱乐_牛球网原创或转载,如果侵犯了你的权益,请联系我们删除。

  • 上一篇:Infor交付Coleman AI人工智能平台
  • 下一篇:没有了
  • 热门文章
    最新文章
    
    Copyright © 2002-2011 饼干族 版权所有