. Construir princípios fundamentais para orientar a sua equipe de segurança - Tudo Sobre Tecnologia

A declaração de missão que demonstra como a equipe de segurança de TI vai apoiar o negócio centra-se nas prioridades e estabelece uma base para a tomada de decisões. 
Reunião de negócios
Reunião de negócios
 Shutterstock
As equipes de segurança enfrentar os bandidos a cada dia, ea cada dia há uma nova ameaça, uma nova abertura que tem que ser guardado. O resto da empresa olha para você e sua equipe para manter os usuários e os dados seguros, mas eles não necessariamente sentem que têm uma parte nesse processo.Esta pode ser uma situação estressante, se você está sempre em modo de reação. O mau estado de muitos programas de segurança pode ser atribuída à falta de visão e princípios orientadores. Eu sugiro que você crie uma declaração de missão de segurança de TI para a sua equipe, que descreve como ele irá apoiar a missão de sua empresa `, de acordo com princípios fundamentais e princípios. Isso garante que quando você toma decisões de segurança que você está fazendo isso de forma consistente que os seus colegas de trabalho esperam. Abaixo estão as principais áreas que ele precisa resolver.
SUSTENTABILIDADE - Desenvolver processos, procedimentos e políticas necessárias para a proteção prolongada de informações confidenciais. Estes são os seus blocos de construção fundamentais para abster-se de reacções automáticas baseadas fora de eventos de uma só vez. Concentre-se no longo prazo, em vez de os splashy ganhos de curto prazo, pois isso irá garantir que os processos e políticas de segurança são eficazes e eficientes no fornecimento de segurança da informação sustentável que suporta drivers de negócio.
Exemplo : Consultar com as unidades de negócios, ao escrever as políticas de segurança (obter a sua entrada na empresa Política de Utilização Aceitável)
GESTÃO DE RISCOS - proativamente identificar os riscos para a segurança da informação e sistemas. Mitigar esses riscos a níveis aceitáveis ​​para a organização. Desenvolver um processo consistente para avaliar os riscos de segurança da informação contra recompensas empresariais de diferentes iniciativas. Definir uma abordagem de consultoria de riscos da informação por meio de parcerias com os seus homólogos de negócios em gestão de riscos de informação e coordenação da gestão de risco empresarial consistente e mais holística.
Exemplos : estruturas de gestão de risco, protocolos para avaliação de risco de terceiros, mapeamento de controles para processos de negócios, relatórios regulares sobre a situação de riscos
PARCERIA - Consultar com parceiros de negócios para investigar questões de segurança e avaliar produtos e processos. Segurança da informação eficaz requer a integração de pessoas, processos e tecnologia. Cada um dos componentes deve ser gerida tendo em conta as capacidades e limitações dos outros. Quando as decisões são tomadas coletivamente segurança entre segurança e parceiros de negócios, as decisões que são muito mais forte. Ao adotar a abordagem de parceria você demonstrar maior valor de negócio e, consequentemente, a segurança e é muito mais provável a ser envolvido como você é agora visto como um aliado confiável.
Exemplo : A classificação de dados, implementar controles para acordadas normas de segurança e reunião de segurança SLAs (acordos de nível de serviço), assegure-se de processos de negócios atender aos requisitos de controle de segurança
VISÃO - Colaborar com todas as empresas (e não apenas de TI) interessados ​​em desenvolver uma estratégia de segurança verdadeiramente business-oriented informações. Construir um programa de segurança da informação verdadeiramente transformadora que envolve novas abordagens e paradigmas de segurança para a defesa contra ameaças avançadas, integrando a segurança da informação nas estratégias de negócios e tecnologia.
Exemplo : Colaborar com outras facções de TI e outras unidades de negócios (como marketing, finanças) e desenvolver planos de longo prazo para enfrentar futuras tendências e estratégias pró-ativas.
Resiliência - Ser capaz de responder e se recuperar de eventos de segurança da informação perturbadores e destrutivos através do desenvolvimento e implementação de planos de resposta. Assumem violações ocorrerá e aumentar a sua resistência, reduzindo o foco em medidas puramente defensivas. RSA estima que a maioria das empresas gastam cerca de 80% de seus orçamentos de segurança em medidas preventivas, com monitoramento e remediação dividir os 20% restantes. Dadas as realidades de hoje de segurança, seria prudente aumentar a sua detecção e capacidades de resposta.
Exemplo : Fornecer forense e capacidades de análise de malware, planos de resposta a incidentes que o endereço legal, PR, aspectos de RH de resposta (e não apenas técnica)
CULTURA - Aumentar a consciência organizacional de segurança da informação através da formação e comunicação constante. Criar uma cultura consciente do risco que torna a segurança a responsabilidade de muitos e não de poucos. Lembre-se da máxima: cultura estratégia e princípios (dogmas) regras batida trunfos.
Exemplos : campanhas internas de conscientização, construir uma forte rede de campeões de segurança, encontram-se regularmente com os principais executivos para discutir os riscos da informação
Autor:

Sobre Dominic Vogel

Dominic Vogel é atualmente um analista de segurança de uma instituição financeira na bela cidade de Vancouver, British Columbia.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo