首页 > 信息安全 > 正文

如何用较小成本加强信息安全

2010-08-31 22:50:49  来源:IT168

摘要:在当今经济环境下,信息安全人员必须以较少的资金做更多的事情,甚至往往没有足够的内部人员来支持企业的业务要求。随着管理层不断减少IT和信息安全项目的预算,IT人员必须学习如何
关键词: 信息安全

  随着信息安全的概念日益普及,企业IT部门也纷纷希望加强自己公司的信息安全。但随着经济不景气,往往囊中羞涩的预算使得加强信息安全成为了一句空话。随着管理层不断减少IT和信息安全项目的预算,IT人员必须学习如何充分利用有限的资金来加强安全性。

  现实情况是,在当今经济环境下,信息安全人员必须以较少的资金做更多的事情,甚至往往没有足够的内部人员来支持企业的业务要求。那么,在这种情况下,我们该如何保护信息安全?这里我们将为大家提供五个诀窍来充分利用有效的资金,实现少花钱多办事。

  秘诀1:共同承担责任

  在企业内部主要有几个不同的部门承担着信息安全的责任,因此在召开信息安全会议时,与会者必须包含这些部门的代表。

  首先需要确定除信息安全部门外与信息安全相关的部门,例如审计、IT、人力资源和法律,以确保现有的信息安全计划是否符合他们的要求,并加以巩固。你需要尽可能地说明你的需要和要求,然后看看其他部门如何规划以满足他们的要求,最佳状态就是利用各部门的资源来实现共同的目标。

  例如,如果你有一个PCI(支付卡行业)计划,那么你知道需要对哪些人进行培训来执行外部渗透测试吗?你不需要雇佣外部人员来满足11.3要求,你只需要确保公司员工能够准确检查环境,然后与PCI审查员以及内部审计组协作来确定他们能否接受报告。这样可以尽可能多的为应用安全测试或者需要专业支持的项目节省成本。

  秘诀2: 雇佣需要的专业人员,而不是可能有用的人

  很多企业认为一次性花费(购买技术)能够解决问题,但是实际上,集成、部署、培训和维护都是非常昂贵的。

  如果你不具备内部专业人员来支持你所购买的软件,那么为什么不考虑雇佣具备专业技术的外部公司来维护系统软件呢?至少,你可以从他们的操作中学习信息安全相关专业技术,以便更好的规划未来解决方案。

  让我们以内部扫描需求作为一个例子。根据PCI DSS的要求,你可能需要一台扫描仪来满足要求,但是,可能没有专业的人员来运行和维护扫描仪,拥有技术往往只是成功的一半

  业务要求依然存在,但是企业却没有专业人员来操作设备,企业在购买扫描仪前可以尝试外包扫描一年来评估所有的解决方案,这样可以帮助企业评估长期业务要求和检查企业是否能够利用内部解决方案(这个例子中是指扫描仪)或者管理安全服务供应商(MSSP)提供最佳业务支持,同时还可以让企业继续将重点放在业务需求上。

  秘诀3: 选择合适的信息安全管理服务供应商

  管理安全服务供应商能够明确如何满足企业业务目标,并证明其解决方案满足企业业务需求和节省成本。任何管理信息安全服务供应商都能够为企业创造价值,详细列明方法和技术策略的建议都能够满足企业特定要求。

  不要试图让你的业务满足MSSP的要求,挑选一个能够满足你要求的MSSP。企业的成功将来自于是否能够为企业需求挑选最佳解决方案,这意味着解决方案必须有明确的规划图,才能够让企业专注于业务。外包必须外包的技术,利用外部MSSP和顾问来为企业创造最大价值。

  秘诀4:聘请一个合作伙伴,而不是供应商

  你需要与外部公司建立合作伙伴关系,此外部公司必须能够提供你所需要的解决方案,并能帮助你进行未来规划。选择合适的外部公司,要求他们展示技术深度,以及未来规划,这样你就可以确定他们的未来规划是否满足你的要求。

  秘诀5: 提供技术和信息安全培训的资金支持

  员工需要知道他们在企业的价值,这也是大多数信息系统和安全专业人员所认可的,所以你需要积极创造培训机会,利用网络培训和本地ISSA会议,为CISSP(认证信息系统安全人员)或者其他专业服务政府建立学习小组,进行内部午休学习时间。鼓励员工不断学习技术和安全知识,并给予他们足够的时间学习。

  预算消减并不是信息安全的噩梦,我们应该要努力研究如何利用有限的资金来加强信息安全,才不至于让企业系统沦为攻击者的“猎物”。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。