如果安全人员不了解企业数据的真正价值,就很难真正了解企业面临的真正威胁,也无法真正了解企业的安全计划、安全流程和程序确实有效。安全专业人员可能面临一项艰巨的任务:理清众多担忧、不确定性和似是而非的问题,以评估不同的风险状态以及这些风险在企业中发生的可能性。然后确定如何使用必要的技术将这些风险降至最低。关注数据许多组织在工具上花费的时间太多,而在数据上花费的时间不够。与数据相比,技术相对简单。比较困难的问题是理解数据,因为建筑物、局域网、主机不能限制数据。IT专业人员和业务专业人员通常都需要认识到,企业需要部署控制和保护措施来跟踪数据流和目的地。企业很容易在这里犯错误。当今的企业需要保护信息的基础架构。但这只是数据和技术上的第一个措施。大多数公司往往不了解这种威胁。许多企业发现很难证明在不一定会发生的潜在威胁上花钱是合理的。通常情况下,只有在发生妥协之后,组织才会开始重新评估其安全策略。风险的概念从哪里开始?要映射企业的信息风险概况,安全经理应首先确定所有关键业务流程及其工作方式。没有人可以保护他们不知道的资产。安全经理应该调查企业的逻辑和物理资产,无论是数据、技术、人员还是流程,都必须包括在内。安全管理员应该与那些参与拥有这些流程的人进行沟通,以发现他们的风险要求和感知水平。例如,风险在什么情况下会造成危害?企业的敏感点(痛点)在哪里?是效率还是可用性?还是资产本身?这些痛点在不同的企业之间是不同的。此过程的一部分是了解企业面临的不同风险状况。这些情况中哪些实际可能发生?安全经理应该关注哪些方面?如何处理这些情况,从什么时候开始处理这些情况?由此,安全经理可以部署控制、功能、框架、流程、方法和人员来做出响应。企业需要一种信息管理策略来帮助他们更好地定义和实施安全策略和程序。我们不妨将信息管理战略定义为:为了管理企业中存在和流动的信息,企业建立了对公司有利的方法、战略和过程的集合。该策略管理和监控数据。信息管理与评估风险和确定适当的安全级别一样重要。但管理信息远不止通过技术保护信息。关于安全问题的政策和知识管理必须利用教育、培训等要素。当确定适当的风险概况并理解风险要求时,这不仅仅是技术性的,而且还要考虑到问题会随着时间的推移而变化。企业风险要求需要重新调整。安全管理员需要对这些风险采取务实和更加现实的态度。一旦政策、程序和工具到位,评估其有效性需要安全实践和程序方面的专业知识,以及对公司内部程序的理解。该评估可由内部专业人员或外部审计员进行。当然,问题是组织了解这些流程,以便他们的内部安全策略是相关的和最新的。安全是一个不断发展的问题,不能一蹴而就,但应不断评估和修改以应对不断变化的威胁。对于大多数企业来说,这可能是最大的困难。如何评估有专家建议从以下几个方面评估企业的安全准备水平,或评估当前状态与目标状态的差距:1.安全文化。评估组织是否在安全意识培训中使用多种方法。2.审计问题。评估组织是否将安全问题纳入项目规划和变更管理流程。3、合规管理。评估企业是否明确定义了合规管理流程的责任和义务。4.政策和流程管理。评估组织将物理安全集成到其他流程中的程度。5.事件管理。评估企业的事件监控是否涵盖了安全的方方面面。6.风险分析。评估组织是否清楚地将风险分析的结果传达给所有主要项目的项目团队。7.漏洞管理。评估企业审核其安全策略和程序合规性的频率。
