在幾乎所有電氣或機械設(shè)備都可以連接到互聯(lián)網(wǎng)的世界中,如果遠程攻擊者獲得訪問權(quán)限,物理安全部署可能會受到損害甚至完全無用。
當為保護這些資產(chǎn)而部署的InfoSec(信息安全)防御級別不足或配置不當時,可能會發(fā)生這種情況。如果對手認為信息非常有價值以至于證明入侵是合理的,那么這些系統(tǒng)就會無所畏懼。鑒于存在大量自動黑客工具,這些不法分子所享有的匿名性以及相對較低的起訴風險,如果您的組織未能恰當?shù)亟鉀Q信息安全風險,則違規(guī)的可能性很高。
成功保護您的InfoSec資產(chǎn)依賴于接受,就像物理安全一樣,InfoSec無法保證。相反,信息安全的目標是使一個潛在的入侵者難以闖入一個系統(tǒng),以至于它根本不值得他們付出努力而且他們會在其他地方嘗試。
聯(lián)邦政府的強制違反披露法律將生效的22 次由于不良的信息安全部署中發(fā)生的二月2018年違反將承擔聯(lián)邦政府私隱專員的憤怒,誰都會認為寬松的信息安全控制是一個貧窮在確定對有罪組織的懲罰性賠償時的借口。組織應(yīng)評估與網(wǎng)絡(luò)攻擊相關(guān)的聲譽和業(yè)務(wù)風險,并制定適當?shù)娘L險處理計劃以降低此風險
在考慮從哪里開始設(shè)計InfoSec方法時,首先要規(guī)劃您的策略。重點應(yīng)放在:
確定客戶的期望水平
獲得客戶高層領(lǐng)導(dǎo)的支持
從風險和合規(guī)性的角度,教育您的客戶了解為什么適當?shù)男畔踩珷顩r符合他們的利益。
確定建立,維護和監(jiān)督控制的責任。
設(shè)計適當?shù)腎nfoSec控件,以保護客戶端的環(huán)境,包括技術(shù)控制,管理控制,當然還有物理控件。
確保更新任何災(zāi)難恢復(fù)或業(yè)務(wù)連續(xù)性計劃以適應(yīng)與InfoSec相關(guān)的中斷事件。
安排InfoSec系統(tǒng)的合規(guī)性檢查和審核,以確保系統(tǒng)以所需級別運行。
接受這樣一種觀念,即如果違規(guī)將發(fā)生,但是當違規(guī)行為發(fā)生時,確保計劃,排練和評估此類事件的意外事件。
接受信息安全并非一刀切,也不會讓人忘記。
記錄您的計劃,程序和政策,并使相關(guān)人員能夠輕松訪問這些計劃,程序和政策。
一旦制定了信息安全戰(zhàn)略,就需要實施。需要解決一些關(guān)鍵領(lǐng)域,以實現(xiàn)明確戰(zhàn)略的目標:
部署技術(shù)控制以保護您的網(wǎng)絡(luò),設(shè)備和電子基礎(chǔ)設(shè)施。在物理安全領(lǐng)域內(nèi),從軟件角度“強化”所有物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)至關(guān)重要。除此之外,確保僅在授權(quán)人員的情況下,對物理和邏輯上的這些設(shè)備的訪問權(quán)限。
確保軟件,固件和應(yīng)用程序保持新穎。確保計劃并實施所有設(shè)備的補丁管理(包括攝像機,網(wǎng)絡(luò)交換機,路由器和基于IP的設(shè)備),并盡快部署應(yīng)用程序/操作系統(tǒng)更新。
保護組織可能正在使用的任何基于云的服務(wù)。
擁有完整且經(jīng)過驗證的數(shù)據(jù)備份,并確保定期進行災(zāi)難恢復(fù)測試,以確保備份數(shù)據(jù)的完整性,可訪問性以及備份系統(tǒng)中任何服務(wù)恢復(fù)符合組織的停機時間限制
確保您的戰(zhàn)略能夠滿足用戶的教育和意識。例如,意外數(shù)據(jù)丟失可能來自用戶選擇弱或容易猜到的密碼或用戶無意中向錯誤的收件人發(fā)送電子郵件。
利用具有適當資格的托管信息安全提供商的服務(wù),該提供商可以提供組織技能,以及提供絕佳InfoSec保護所需的經(jīng)驗。
讓法律顧問參與您的戰(zhàn)略,無論是內(nèi)部法律顧問還是專門從事信息安全法的外部公司。
將任何剩余風險轉(zhuǎn)移到適當?shù)木W(wǎng)絡(luò)違規(guī)保險政策,以確保在發(fā)生違規(guī)行為時可以避免與事件響應(yīng)相關(guān)的費用。
承諾由經(jīng)過認證的專業(yè)外部提供商定期進行InfoSec評估,審核和審核。
部署良好的信息安全控制將需要付出努力并專注于實現(xiàn),并需要不斷保持警惕。但是,在正確規(guī)劃,執(zhí)行和維護時,這些控制對于組織的彈性是必不可少的,對于任何基于電子的和連接的物理安全部署的長期成功至關(guān)重要。
凡本網(wǎng)注明“來源:盈拓國際展覽導(dǎo)航”的所有作品,版權(quán)均屬于盈拓國際展覽導(dǎo)航,轉(zhuǎn)載請注明。
凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表盈拓國際展覽導(dǎo)航贊同其觀點及對其真實性負責。
相關(guān)資訊>
最近更新>
商務(wù)部外貿(mào)發(fā)展事務(wù)局
指定國際展覽公共信息服務(wù)平臺
業(yè)務(wù)輻射
100個國家200個行業(yè)
200名專屬展會顧問
一對一服務(wù)
行程安排
媲美優(yōu)秀旅游公司