在我们的管理顾问团队中,我们有几个重点领域。其中之一就是就信息安全提供建议。
我们使用“治理、风险和合规”(GRC)这一术语 来强调我们主要参与流程和人员方面,较少参与技术方面。我这样说有点夸张,因为我的同事确实技术精湛,必要时他们会咨询他们的同行专家,例如我们的道德黑客、安全编码员和 SIEM/SOC 专家。然而,为了我的论点,这次我将不太深入地讨论技术方面,而是在这个博客中重点关注信息安全的“软”方面。
虽然我自己并不是专家,但我愿意与大家分享我的想法,因为我知道每个组织都需要实用的工具来以适当的方式讨论信息安全。对于那些认为任命一位首席信息安全官 (CISO) 就能处理一切的人来说,这篇文章值得一读。
对于 CISO 来说这可能不是什么新鲜事,但如果您像我一样不 奥地利数字数据 是专家但感兴趣,那么以下规则可以帮助您在组织内进行正确的讨论,尤其是与您自己的 CISO 进行讨论。毕竟,信息安全是每个人的责任,对吧?
“每个人都有计划,直到他们被打了一拳。”
迈克泰森
大多数组织都非常重视这个问题并制定了信息安全政策。如果您提出此要求,大多数情况下您会收到一份写得很整齐的政策文件,其中包括一份多年计划。到目前为止,一切都很好!但是,我听到您在想,当事情变得紧急时,这就足够了吗?迈克泰森给出了答案:不是。如果你不采取行动,计划就永远只是计划。是的,计划的存在都是有原因的,好的计划确实有效,但要最终取得成功还需要付出更多的努力。我以武术为例,跟大家分享一下我的想法。一个很好的框架,可以相互讨论这一点,并确定您的组织是否正在尽一切努力为我们今天面临的数字风险做好最佳准备。
原则一:做好准备
(武术)运动给我们一个很好的教训就是做好准备。换句话说,了解你的对手。哪些人针对的是您的组织和数据?他们的方法和技巧是什么,当他们针对你时他们会使用什么手段?因此,改变你的观点并把自己置于“恶意”者的立场上是很重要的。这可能是来自组织外部的人,但不排除威胁也可能来自内部。我有意关注恶意人物的威胁,但这一原则当然也适用于因人们的无知或粗心大意而产生的威胁。作为组织,你们也必须对此做好准备并采取了措施。
必须在您的组织内部从结构上考虑这一点。根据场景和角色来映射和分类风险是很好的。威胁建模在本质上再次更具技术性,但它也基于相同的原理。通过思考可能出现的问题,您将能够做好准备并提前应对可能发生的问题。别吃惊!