近期,董事會應該聘用更年輕的總監來處理網路安全「問題」的呼聲漸起。與此同時,歐盟在上週也揭開了之前提出的《網路與資訊保安指令》(nisd)的面紗。
大家對安全的期待越來越高,建立起許多框架、頒布了大大小小的立法和規章制度,但有什麼證據可以顯示這些東西起到了相應的作用呢?
在汽車製造業,隨著安全措施的引入,路上死亡人數逐年下降。然而,隨著緩解已知威脅的控制措施的不斷引入,我們卻沒看到相應的網路攻擊、資料洩露的減少。
用醫學模擬來為這篇文章打個基調吧。
在醫療界,「實習醫生」普遍存在著乙個困境。他們在應對病人的知識和經驗上都還很初級,得不到患者的信任,因而很難在缺乏經驗的病症上增長**經驗。
我們再來看看安全。
理論上而言,難道我們想要那些在董事會會議室做出重要決定的人,是一些不具備深度資訊保安相關知識和豐富經驗的人嗎?如果是這樣,他們又如何能擔負起解決公司核心風險管理挑戰的重任?
以下十二步可以幫助「實習醫生」更好的給出更適合的「**方案」:
承認無能為力
犯罪分子資金更雄厚,研究力度更深,資源更豐富。
找到希望
這種情況下,公司安全負責人應被適當授權以恢復理智和減少無力感。
著手改變
真正著手去做一些改變,不要持續抱怨或恐懼,這種態度不具備任何建設性。
盤點 對企業的資產來一場徹底而大膽的盤存吧。
公開資產清單
坦承自己錯誤的。例如,相信增加更多技術可以解決現有技術引發的問題,或者沒及時為已知漏洞打上補丁。
大掃除 讓首席資訊保安官清除掉我們基礎設施和組織行為中的所有缺陷,從併購收購,到購買和人員管理環節。
向ciso請教
請求ciso的幫助,以企業清除系統弱點。那些具體的執行選項都在ciso腦子裡。
建立isms
資訊保安管理系統(isms)將有效包含為達到需要的公司資訊防護水平而必須去做的「待辦事項列表」。在12步計畫裡,這一階段就是列出需要做改進的人員名單。這需要一些花費一些思量,可以或應該包含內部審計。
反醒 多年以來,內部審計一直在發現問題並引起董事層注意,但均被置之不理,到了該道歉反醒的時候了。
還是清點資產
複核,複核,複核。重要的事說三遍。當你新發布乙個公司通訊錄的時候,總有人指出你漏掉的人。包括已經離職的人,剛加入的人,或者崗位變動的人。安全態勢總是在變,更何況還有所謂的「影子it」。
總有些眾所周知的事情是需要持續並快速解決的。這包括資訊保安持續性監測計畫(iscm)。我們在資產清單裡發現的多種系統會源源不斷地生產出各種日誌。這些全都需要審查,而且,要將我們常聽到的「可**報」應用到它們身上。
沉思 深度思考對改善我們的清醒認知、我們對風險態勢的認知和改進我們付諸實踐的技能起著至關重要的作用。
幫助他人
要與他人分享學習經驗,要與企業的**商、提供商、廠商、家人、朋友和更廣闊的社交圈子一起分享。它將改善並提高所有資產裝置的互聯性。
不要再為自己沒遵醫囑採取預防措施而患病之後去責怪醫生,多想想怎麼解決很多已知風險吧。有很多已知框架可以幫我們改善網路安全狀況,忽略它們,後果只能你自己承擔。
你要知道如何回答這12類問題?
12種面試的提問方式 在面試中,主考官要獲得關於應試者的不同方面的情況,如心理特點 行為特徵 能力素質,由於要測評的內容是多方面的,這就要求主考官根據評定內容的不同來採取相應的提問方式。面試中常用的提問方式有以下幾種 1 連串式提問。即主考官向面試者提出一連串相關的問題,要求應試者逐個回答。這種提問...
12款程式設計師們最愛的Bootstrap模板
如果你還沒有開始使用bootstrap模板,那你可真是有夠out,這是乙個幫助你快速開發的工具,bootstrap是基於jquery框架開發的,它在jquery框架的基礎上進行了更為個性化和人性化的完善,形成一套自己獨有的 風格,並相容大部分jquery外掛程式。bootstrap中包含了豐富的we...
12款程式設計師們最愛的Bootstrap模板
如果你還沒有開始使用bootstrap模板,那你可真是有夠out,這是乙個幫助你快速開發的工具,bootstrap是基於jquery框架開發的,它在jquery框架的基礎上進行了更為個性化和人性化的完善,形成一套自己獨有的 風格,並相容大部分jquery外掛程式。bootstrap中包含了豐富的we...