随着信息安全的概念日益普及,企业IT部门也纷纷希望加强自己公司的信息安全。但随着经济不景气,往往囊中羞涩的预算使得加强信息安全成为了一句空话。随着管理层不断减少IT和信息安全项目的预算,IT人员必须学习如何充分利用有限的资金来加强安全性。
现实情况是,在当今经济环境下,信息安全人员必须以较少的资金做更多的事情,甚至往往没有足够的内部人员来支持企业的业务要求。那么,在这种情况下,我们该如何保护信息安全?这里我们将为大家提供五个诀窍来充分利用有效的资金,实现少花钱多办事。
秘诀1:共同承担责任
在企业内部主要有几个不同的部门承担着信息安全的责任,因此在召开信息安全会议时,与会者必须包含这些部门的代表。
首先需要确定除信息安全部门外与信息安全相关的部门,例如审计、IT、人力资源和法律,以确保现有的信息安全计划是否符合他们的要求,并加以巩固。你需要尽可能地说明你的需要和要求,然后看看其他部门如何规划以满足他们的要求,最佳状态就是利用各部门的资源来实现共同的目标。
例如,如果你有一个PCI(支付卡行业)计划,那么你知道需要对哪些人进行培训来执行外部渗透测试吗?你不需要雇佣外部人员来满足11.3要求,你只需要确保公司员工能够准确检查环境,然后与PCI审查员以及内部审计组协作来确定他们能否接受报告。这样可以尽可能多的为应用安全测试或者需要专业支持的项目节省成本。
秘诀2: 雇佣需要的专业人员,而不是可能有用的人
很多企业认为一次性花费(购买技术)能够解决问题,但是实际上,集成、部署、培训和维护都是非常昂贵的。
如果你不具备内部专业人员来支持你所购买的软件,那么为什么不考虑雇佣具备专业技术的外部公司来维护系统软件呢?至少,你可以从他们的操作中学习信息安全相关专业技术,以便更好的规划未来解决方案。
让我们以内部扫描需求作为一个例子。根据PCI DSS的要求,你可能需要一台扫描仪来满足要求,但是,可能没有专业的人员来运行和维护扫描仪,拥有技术往往只是成功的一半
业务要求依然存在,但是企业却没有专业人员来操作设备,企业在购买扫描仪前可以尝试外包扫描一年来评估所有的解决方案,这样可以帮助企业评估长期业务要求和检查企业是否能够利用内部解决方案(这个例子中是指扫描仪)或者管理安全服务供应商(MSSP)提供最佳业务支持,同时还可以让企业继续将重点放在业务需求上。
秘诀3: 选择合适的信息安全管理服务供应商
管理安全服务供应商能够明确如何满足企业业务目标,并证明其解决方案满足企业业务需求和节省成本。任何管理信息安全服务供应商都能够为企业创造价值,详细列明方法和技术策略的建议都能够满足企业特定要求。
不要试图让你的业务满足MSSP的要求,挑选一个能够满足你要求的MSSP。企业的成功将来自于是否能够为企业需求挑选最佳解决方案,这意味着解决方案必须有明确的规划图,才能够让企业专注于业务。外包必须外包的技术,利用外部MSSP和顾问来为企业创造最大价值。
秘诀4:聘请一个合作伙伴,而不是供应商
你需要与外部公司建立合作伙伴关系,此外部公司必须能够提供你所需要的解决方案,并能帮助你进行未来规划。选择合适的外部公司,要求他们展示技术深度,以及未来规划,这样你就可以确定他们的未来规划是否满足你的要求。
秘诀5: 提供技术和信息安全培训的资金支持
员工需要知道他们在企业的价值,这也是大多数信息系统和安全专业人员所认可的,所以你需要积极创造培训机会,利用网络培训和本地ISSA会议,为CISSP(认证信息系统安全人员)或者其他专业服务政府建立学习小组,进行内部午休学习时间。鼓励员工不断学习技术和安全知识,并给予他们足够的时间学习。
预算消减并不是信息安全的噩梦,我们应该要努力研究如何利用有限的资金来加强信息安全,才不至于让企业系统沦为攻击者的“猎物”。
【编辑推荐】
- Web安全漏洞之企业自查
- Web应用防火墙的主要特性
- 两种策略选择开源安全产品
- 数据泄露的七种主要途径
- 保护数据安全的三种武器
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/137782.html<
