根据调查报告显示,从2021年到2022年,全球网络攻击增加了38%,其中勒索软件团伙利用远程协作工具占了非常大的比重。这意味着中小企业需要更加严格地加强基础设施安全。
从头开始构建信息安全计划需遵循4个步骤:
1、获得可见性
要实现安全就需要了解企业内部运作的情况。在处理新计划时,应建立以下方面的洞察力和文档:
日志
缺乏充分的日志记录和监控可能会带来潜在风险。使用以下过程来识别这些差距:
1)调查
哪些应用程序中存在哪些日志来源?
这些日志是如何检索的?
2)创建记录矩阵
● 优先级
● 技术和服务来源
● 位置
● 频率
● 输入/输出方法
3)建立日志监控自动化
● 数据流
管理人员必须知道哪些数据通过哪些系统存储和处理,以维护安全和隐私。通过采访数据所有者和制定数据流程图来调查数据流。
这些图应记录数据在公司环境中之间的流动以及它到达的位置。
● 访问
了解谁具有访问哪些系统的权限对于保护其中存储的数据至关重要。访问和权限始终应符合以下两个原则:
1)职责分离原则:任何人都不应具有足够的访问权限导致滥用系统。
2)最小特权原则:应该为用户提供他们需要完成工作的最少量的访问权限。
2、全面评估风险
在制定可见性文档的整个过程中,请注意记录任何您发现的风险,并开始建立一个风险登记簿。管理风险需要一定的项目管理:应记录风险,并跟踪和管理应对计划。
您的风险登记册应包括与每个风险相关的所有信息,包括所有者、缓解计划、截止日期等。例如,您的风险注册表可能包括:
● 风险ID和描述
● 风险的可能性、影响和严重性(即1-5),
● 处理计划
● 缓解操作步骤
● 纠正行动计划
● 结果的规范
● 风险整改步骤的所有者和审核人
● 指定的整改步骤的进度、截止日期和完成日期
这些类别并非详尽无遗;您的风险登记册可能包括特定于您企业的其他数据。风险评估不应是一次性活动,而是一项持续的分析。
3、定义和实施控件
每一个减轻的风险都会产生新的控件或来改进现有的控件。记住:控件是策略、流程或技术。每个控件都必须被定义和实施。例如,像“被解雇的员工仍保留对工作账户的访问权”这样的风险会导致创建或改进员工离职流程,这可能需要一项技术——如身份管理平台。
然后,这些新的控件应该被添加到策略中,授权并在整个企业中传达要求。上述列出的流程,以及您所属公司遵守的法规和框架,应作为定义您的控件的指南。
您可能会遇到的控件挑战
有时,实现控件可能比想象的更加困难,特别是在分散的 IT 环境中,这在中小型企业中非常普遍。控件通常跨越多个领域和功能。
在分散的环境中,使用许多单点解决方案而不是几个集中的增强方案,数据有时会丢失或发生错误。信息和流程可能无法在部门之间无缝传递,工具可能无法成功地将数据从一个点传递到另一个点。结果就是缺少可见性和沟通,从而产生新的风险和低效率。
拥有一个集中的平台,您可以在其中实施和管理涵盖整个组织的控件,对于实现有效的长期安全至关重要。
4、制定政策
政策可以向整个组织传达控件。确保用户理解和采用控件对于维护安全环境至关重要;毕竟,用户是安全的第一道防线。要求用户每年至少审查并同意政策,这将为企业中的所有用户提供安全意识。不要忘记对用户进行培训,让他们了解他们需要遵守的流程,以保护他们免受潜在威胁。
最后,IT安全应该是一个全面和迭代的过程:需要持续改进和完善。
宁盾(www.nington.com)版权所有
—END—