在熙熙攘攘的商業(yè)世界中,我們總是尋找快速的答案來應(yīng)對所面臨的挑戰(zhàn)。特別是當(dāng)涉及到信息安全時(shí),更是如此。無論我們做得有多好,從來沒有足夠的時(shí)間保證一切安全。
似乎總是有一個(gè)流氓員工試圖利用敏感信息,或者犯罪的黑客讓我們難堪,或者一個(gè)審計(jì)師或政府官員要我們證明我們的網(wǎng)絡(luò)是安全的。
沒有一步到位的方法可以讓我們遠(yuǎn)離這些麻煩。但事實(shí)已經(jīng)證明,具備保護(hù)重要事件的安全常識可以助你成功保護(hù)企業(yè)信息安全。
1. 從其他人的教訓(xùn)中吸取經(jīng)驗(yàn)
想要了解安全領(lǐng)域正在發(fā)生什么,最好的方法是閱讀最新版本的研究報(bào)告。如Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告、Trustwave全球安全報(bào)告和普華永道全球信息安全狀況調(diào)查。最近Mandiant APT1報(bào)告還深入洞察了國家資助的網(wǎng)絡(luò)犯罪團(tuán)伙是如何工作的。
2. 團(tuán)結(jié)一切可團(tuán)結(jié)的人
信息安全不是一個(gè)IT問題--它是一個(gè)商業(yè)問題,需要具備業(yè)務(wù)處理水平。成立IT安全委員會是至關(guān)重要的。IT安全委員會可以由高層管理、法律、人力資源和其他相關(guān)行業(yè)的人員組成。
3. 知道你有什么
你不能保證你所不了解的東西。我看到過太多的人聲稱他們的數(shù)據(jù)是安全的,對敏感數(shù)據(jù)甚至從來沒有庫存。當(dāng)他們驚訝地表示“哦,我忘記了這些設(shè)備上還有這些數(shù)據(jù)”的時(shí)候,黑客入侵已經(jīng)離你不遠(yuǎn)了。你必須在任何時(shí)候都要知道數(shù)據(jù)的存儲情況。
4. 了解危險(xiǎn)是如何產(chǎn)生的
你要知道目前你的系統(tǒng)、設(shè)備、應(yīng)用程序和數(shù)據(jù)是如何面臨風(fēng)險(xiǎn)的,這很重要。許多人聲稱一切都是安全的,但事實(shí)往往是另外一回事。知道事情的立場。
5. 扼制安全風(fēng)險(xiǎn)
不要奢望能輕易發(fā)現(xiàn)環(huán)境中的安全漏洞。脆弱的密碼、欠缺的補(bǔ)丁、SQL資料隱碼攻擊等此類容易產(chǎn)生的漏洞都很容易找到,當(dāng)然,如果你有合適的人。當(dāng)你把這些問題解決了,大部分的安全問題也就解決了。
6. 意識到漏洞無時(shí)無刻存在
盡管營銷人員希望你相信安全威脅和漏洞每年的變化不大。事實(shí)上,許多我們現(xiàn)在面臨的安全挑戰(zhàn)可以追溯到幾十年前--看看James Martin在1973年出版的《計(jì)算機(jī)系統(tǒng)中的安全、隱私準(zhǔn)確性》。
7. 把正在進(jìn)行的安全測試加入預(yù)算
雖然每天的漏洞不會發(fā)生劇烈的變化,但每天都有新的漏洞出現(xiàn)。如果你認(rèn)為現(xiàn)在已經(jīng)做得夠多了,而且不再周期性地排查漏洞,那么你犯了嚴(yán)重的錯(cuò)誤。
8. 利用常識
那些處在危險(xiǎn)環(huán)境中的人總是容易被技術(shù)同行們忽悠。他們在這方面不太成熟,并沒有把安全當(dāng)作真正重要的事情對待。其實(shí),實(shí)際可用的安全方法勝過理論。
9.采取控制措施
被動接受不如主動防御,企業(yè)面臨信息安全風(fēng)險(xiǎn)時(shí),采取控制措施才能變被動為主動。明朝萬達(dá)自主研發(fā)的Chinasec(安元)數(shù)據(jù)安全管理系列產(chǎn)品,以數(shù)據(jù)生命周期管理和防泄密為核心構(gòu)建統(tǒng)一的全I(xiàn)T架構(gòu)數(shù)據(jù)安全管理平臺,幫助用戶守護(hù)信息安全,提升管理績效,讓安全真正服務(wù)于業(yè)務(wù)系統(tǒng),推動用戶業(yè)務(wù)的發(fā)展。
結(jié)束語
花時(shí)間認(rèn)清楚安全的重要性。退一步,看看大局,毫無疑問你會看到哪些措施可以保護(hù)企業(yè)數(shù)據(jù)安全。如果有需求,可以接納另一個(gè)人提供的新視角。仔細(xì)看看在你控制下的情況,以及你無法控制的情況。最重要的事情就是做點(diǎn)什么,今天就是最佳的動手時(shí)間。