日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
IT安全風(fēng)險管理優(yōu)秀實踐

IT安全風(fēng)險管理是確定組織存在的安全風(fēng)險并采取措施減輕這些風(fēng)險的做法。這些步驟可能包括使用軟件、硬件和人員培訓(xùn)來確保環(huán)境免受多個威脅向量的侵害。

創(chuàng)新互聯(lián)建站是一家專注于網(wǎng)站設(shè)計、做網(wǎng)站與策劃設(shè)計,平壩網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:平壩等地區(qū)。平壩做網(wǎng)站價格咨詢:18982081108

IT 安全風(fēng)險管理最佳實踐包括:

  • 使用行業(yè)標(biāo)準(zhǔn)作為指導(dǎo)。
  • 全面了解組織的 IT 環(huán)境。
  • 了解安全風(fēng)險。
  • 了解哪些安全風(fēng)險最相關(guān)。
  • 制定響應(yīng)安全事件的計劃。
  • 對整個組織的員工進(jìn)行安全實踐培訓(xùn)。

降低 IT 安全風(fēng)險?

風(fēng)險管理過程將因 IT 環(huán)境而異。公有云、組織的專用網(wǎng)絡(luò)、數(shù)據(jù)中心或這些的組合將具有不同的要求和風(fēng)險因素。

公有云中的安全風(fēng)險管理涉及組織使用軟件保護(hù)自己的數(shù)據(jù),而云提供商則保護(hù)底層基礎(chǔ)架構(gòu)。云中的風(fēng)險因素包括不安全的云客戶、云提供商未能保護(hù)基礎(chǔ)架構(gòu),以及意外或故意傳播敏感數(shù)據(jù)的內(nèi)部員工。

專用網(wǎng)絡(luò)需要端點安全性、防火墻、傳輸中數(shù)據(jù)的加密和流量分段,以降低安全風(fēng)險。專用網(wǎng)絡(luò)的風(fēng)險因素包括黑客訪問最終用戶設(shè)備以在網(wǎng)絡(luò)中站穩(wěn)腳跟。在這種情況下,黑客的流量將顯示為正常網(wǎng)絡(luò)流量,而不是異常流量。

為了管理數(shù)據(jù)中心的風(fēng)險,組織可以擁有彈性的外圍防御以及檢查南北和東西向流量的安全程序。數(shù)據(jù)中心風(fēng)險因素包括拒絕服務(wù)攻擊,這些攻擊以南北向流量轟炸數(shù)據(jù)中心,使基礎(chǔ)設(shè)施不堪重負(fù),使數(shù)據(jù)不可用。

通常,組織應(yīng)始終遵循安全基礎(chǔ)知識。這意味著始終加密數(shù)據(jù),控制對數(shù)據(jù)和網(wǎng)絡(luò)的訪問,全面了解 IT 環(huán)境中的活動,并利用自動化來跟上資源擴展和活動速度。

創(chuàng)建風(fēng)險評估流程和安全框架

風(fēng)險評估過程包括識別組織的資產(chǎn)、潛在風(fēng)險、違規(guī)的影響以及每個潛在風(fēng)險發(fā)生的可能性。

資產(chǎn)可以包括數(shù)據(jù)、硬件設(shè)備、應(yīng)用程序、一般軟件和員工。一旦確定了資產(chǎn),組織就可以更好地了解其IT環(huán)境。

量化違規(guī)行為的影響必須在財務(wù)影響以及公司和品牌聲譽損失方面進(jìn)行。一旦知道這一點,組織就可以更好地了解如果發(fā)生違規(guī)行為,將面臨什么風(fēng)險。

組織可以采取的緩解這些風(fēng)險的一般步驟包括:

  • 查找并遵循安全框架。
  • 制定并完成風(fēng)險評估流程。
  • 確定要防范哪些安全風(fēng)險的優(yōu)先級。
  • 制定事件響應(yīng)計劃l持續(xù)監(jiān)控環(huán)境。
  • 在發(fā)生違規(guī)行為時執(zhí)行事件響應(yīng)計劃。

根據(jù) SOC 2 安全標(biāo)準(zhǔn),組織用于保護(hù)其資產(chǎn)的安全框架可能取決于適用的行業(yè)標(biāo)準(zhǔn)和法規(guī)。例如,零售商可能主要遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 框架。

一旦組織符合PCI DSS等框架,它就知道它至少具有足夠的基線安全級別,用于存儲和傳輸?shù)臄?shù)據(jù)類型。

框架的一些典型特征包括一組必須滿足的原則,例如數(shù)據(jù)完整性;對高級安全設(shè)備的要求;或組織可以針對不同方案滿足的不同安全級別。重要的是要記住,IT安全沒有一個適合所有解決方案,這是美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架中強調(diào)的。

對于上面的其他要點,組織可以根據(jù)其選擇遵循的安全框架的指導(dǎo)來制定后續(xù)步驟。首先,組織應(yīng)該意識到它沒有無限的資源來保護(hù)自己在任何時候免受所有威脅。因此,需要根據(jù)安全風(fēng)險對組織可能造成的潛在損害的可能性和潛在損害量來確定安全風(fēng)險的優(yōu)先級。

一個組織可以決定它應(yīng)該投資哪些安全工具和計劃,一旦它確定了哪些風(fēng)險的優(yōu)先級,就值得關(guān)注。然后,組織決定采用的工具和計劃可用于監(jiān)視環(huán)境、向安全管理員發(fā)出攻擊警報以及響應(yīng)攻擊。

技術(shù)基金會

基礎(chǔ)技術(shù)層使組織能夠監(jiān)控安全威脅、攻擊和成功違規(guī)并收到警報。確保強大的安全工具集合是 IT 風(fēng)險管理的關(guān)鍵部分此基礎(chǔ)層中包含的安全工具包括:

  • 網(wǎng)絡(luò)訪問控制。
  • 訪問控制表和身份訪問管理。
  • 監(jiān)控軟件。
  • 防火墻。
  • 防病毒和反惡意軟件程序。
  • 多重身份驗證。
  • 加密。
  • 根信任。

有了所有這些硬件和軟件工具來保護(hù)IT環(huán)境,建議組織投資一個儀表板,以可消化的形式在一個地方顯示來自這些不同系統(tǒng)的所有信息。這很重要,因為可能存在很多噪音或通知,安全管理員必須對其進(jìn)行解析并確定優(yōu)先級。

人的作用

安全計劃和其他技術(shù)解決方案只是更大的安全風(fēng)險管理方法的基礎(chǔ),人在IT安全風(fēng)險管理中重要性很高。

人推動安全技術(shù),技術(shù)并不能單獨解決問題,需要執(zhí)行需要管理。從本質(zhì)上講,人們需要將技術(shù)置于可以有效完成工作的位置。但是,人們(即使是那些沒有惡意的人)本身也是安全風(fēng)險,也是首先需要安全工具的原因。

例如,人們通常密碼意識很差。在網(wǎng)絡(luò)安全提供商HYPR的研究中,72%的人報告將工作密碼和個人密碼混用。

這就是為什么組織的所有成員在IT安全風(fēng)險管理中都扮演著重要的角色。他們都需要安全實踐方面的培訓(xùn),工作文化必須以安全為中心。這將降低成功進(jìn)行網(wǎng)絡(luò)釣魚和社交工程攻擊的風(fēng)險。

需要防范的主要風(fēng)險

組織最寶貴的數(shù)字資源是其數(shù)據(jù)。數(shù)據(jù)的盜竊或其他丟失是大多數(shù)組織最關(guān)心的問題。根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報告,數(shù)據(jù)泄露通常涉及黑客攻擊,社交攻擊或惡意軟件。

還有一些趨勢會增加安全風(fēng)險,例如向云的轉(zhuǎn)變,安全專業(yè)人員的短缺,IT環(huán)境的復(fù)雜性日益增加,以及使用將任務(wù)(如存儲信用卡信息)外包給第四方的第三方。

向云的轉(zhuǎn)變意味著組織對數(shù)據(jù)安全性的控制較少,并且必須信任云提供商通過虛擬安全措施來保護(hù)底層基礎(chǔ)架構(gòu)。IT環(huán)境日益復(fù)雜,這意味著組織更難跟蹤敏感數(shù)據(jù)的位置、訪問者以及如何應(yīng)對來自環(huán)境中活動的大量噪音。

最后,一個組織可能正在盡一切努力保護(hù)其數(shù)據(jù),但是如果它使用第三方提供服務(wù),并且該第三方將其責(zé)任外包給沒有盡最大努力保護(hù)數(shù)據(jù)的第四方,那么這會給整個系統(tǒng)帶來一個重大的弱點。

為了準(zhǔn)備黑客或其他形式的攻擊對這些可能不安全的系統(tǒng)的攻擊,組織應(yīng)該找到最關(guān)鍵和最敏感的信息所在的位置,制定一個策略來首先保護(hù)這些信息,并使用安全基礎(chǔ)知識來保護(hù)它。

IT 安全風(fēng)險管理關(guān)鍵要點總結(jié):

  • 組織需要找到一個適用于其行業(yè)的安全框架,并將其用作保護(hù) IT 環(huán)境的指南。
  • 安全技術(shù)(如防火墻)是監(jiān)視環(huán)境和響應(yīng)安全事件的基準(zhǔn)。
  • 與技術(shù)相比,人們在IT安全風(fēng)險管理中扮演著更重要的角色。
  • 組織應(yīng)依靠安全基礎(chǔ)知識和安全框架的指導(dǎo)來為重大安全風(fēng)險做好準(zhǔn)備。

分享名稱:IT安全風(fēng)險管理優(yōu)秀實踐
地址分享:http://www.5511xx.com/article/cdogici.html