【企业安全架构】网络安全:在危险的世界中保持安全的5个步骤

Chinese, Simplified

网络安全威胁不断增加。有时候会说有两种组织:那些知道自己被违反的组织,以及那些还不知道的组织。为了降低与网络安全相关的风险和损害,重要的是要知道如何评估这些风险并通过设计安全性来改善您的防御。如果事情确实横向发生,那么计划做什么也很重要。



确保企业范围内的意识



在大多数组织中,由于过去几年中发生过许多引人注目的事件,上层管理层对网络威胁的认识有所提高。与勒索软件,数据泄露和其他问题相关的成本很容易达到数亿。

但有时,网络安全仍被视为技术问题,由IT主管和他或她的下属处理。唤醒董事会对网络安全意识的一个可靠方法是遵守法规。在这些情况下,管理层可以对违规行为负个人责任,因此有强烈的动机采取行动。关于数据隐私的新规定,例如欧盟GDPR,只是安全和隐私问题已经进入董事会的一个例子。特定行业和地区法规,例如美国HIPAA医疗保健行业隐私规则或NYDFS纽约金融服务部门网络安全法规,是其他例子。

但通常情况下,当涉及到网络威胁时,管理层会感觉像头灯中的鹿。他们看到了危险,但不知道面对这些威胁该怎么做。这些问题的广度和深度可能看起来确实难以理解和无法解决。为了帮助管理层克服这种瘫痪,您必须提出解决方案,而不仅仅是问题。企业架构师的独特定位是为这些解决方案做出贡献。

Figure 1: Vulnerability heatmap showing threat levels vs. the strength of controls mitigating against these

当企业架构师试图建立网络安全流程和标准时,您需要不仅涉及管理层,而且还要通知组织的其他部门。我们撰写了一系列关于信息安全的沟通,讨论了董事会中的信息安全问题,提供了涉及业务的技巧以及解决真正有效建立安全意识的方法。有关如何正确缓解网络和信息风险的更多信息,请查看它们。

使安全和风险管理与业务战略保持一致



为了明智地花钱,你需要在真正重要的地方投资安全 - 也就是说,它在战略上具有重要意义。因此,您应该从策略的角度对您的资产进行分类,同时考虑到法规遵从性和其他准则。这些资产的价值是什么,不仅仅是在财务方面,而是在更广泛的意义上?例如,保护宝贵的知识产权或隐私敏感数据可能对您的业务连续性至关重要,或者从监管合规的角度来看是必不可少的。这种分类有助于您确定投资优先级,并避免在相对不重要或一揽子措施上花费太多。

不幸的是,许多组织在其战略和资产之间没有明确的联系。与战略方向和动机相关的稳固的企业架构,以及在组织内部的实施,提供了您所需的“结缔组织”。 BiZZdesign Enterprise Studio提供集成支持,用于描述创建此类视线所需的策略,体系结构,流程,系统和数据。

分析您的漏洞和风险



使用数字,物理和社会工程技术的组合,网络攻击变得越来越复杂。一个常见的例子是所谓的“公路苹果攻击”。一名潜在的入侵者“意外地”将USB闪存盘留在公共场所,例如公司停车场。一名员工捡起来,很有可能他无法抑制好奇心并将其插入电脑。惊喜:驱动器感染了感染PC的恶意软件,并向入侵者发送敏感信息。

您必须采取整体方法来抵御此类攻击,包括企业的所有方面,包括人员教育,流程和程序,以及防火墙和防病毒软件等技术措施。此外,您应该从业务目标和战略的角度来看待这一点,如前所述。

使用Enterprise Studio,您可以捕获并可视化组织的各种风险和安全方面。它可以帮助您可视化与整体架构,业务战略和资产相关的危险,风险和缓解措施,以便您可以执行真正的基于策略和价值的风险和合规性评估。您可以衡量和可视化这些风险的潜在影响,并使用这些见解优先考虑减少措施的投资,作为下一步的一部分。如果您在该领域寻求更多指导,我们过去也会撰写关于安全性和合规性分析的文章。

采用安全设计方法



事实之后不应该修复漏洞,特别是不要仅仅使用额外的防火墙等临时安全措施。您不应该定义单独的安全体系结构,而应该开发一个安全的体系结构,并在企业的各个层面(从人员和职责到流程和技术)主动地解决架构和设计中的风险。

您还需要考虑您的组织在更广泛的生态系统中的位置。按顺序拥有自己的房子可能还不够。例如,如果您广泛依赖某些外部合作伙伴,那么他们的安全性可能对您自己的运营至关重要。有些组织试图依靠合同和协议来处理这个问题,但这可能是不够的。从法律上讲,您可能要对外包合作伙伴的违规行为负责。诸如GDPR之类的监管明确规定,即使您雇用其他人为您执行此操作,您的组织仍对处理隐私敏感数据负责。在某些情况下,您甚至可能需要审核您的业务合作伙伴以保持合规性。

在按设计安全的方法中,您可以根据资产价值和先前步骤中确定的漏洞确定安全投资的优先级。您可以计算安全项目的业务价值和影响,并使用它来确定IT度量的优先级。使用我们的企业投资组合管理来确定最有效地使用预算的位置。

Security-by-design approach

假设你受到了损害



没有多少安全措施可以让您100%安全,所以当事情横行时,您最好做好准备采取行动。许多组织争先恐后地发现在受到攻击时该怎么做,因为他们不知道组织的哪些部分或其系统可能受到影响。

根据对企业结构和运营的明确见解制定应急计划至关重要。最新的架构,流程,系统和数据模型可以帮助您评估问题可以传播的范围,以及您应该在哪些方面快速采取行动来限制安全漏洞的影响。

但请记住艾森豪威尔的格言:“计划一无所获;规划就是一切。“没有什么能完全按照计划进行,但这些计划的发展本身将清楚地说明你需要知道什么,未知的是什么,以及你必须更新你对企业化妆的知识。将Enterprise Studio与CMDB等管理和监控操作实际的系统相连接,有助于确保您使用最佳和最及时的数据。

最后,您的组织的“第一响应者”需要随时可以访问所有这些信息.BiZZdesign的HoriZZon门户网站为此提供了一个很好的解决方案,为各种类型的用户提供易于使用的视图和仪表板,从业务决策者到运营管理层和人们在众所周知的车间。

有兴趣了解更多?加入我们的网络研讨会或预订演示!

原文:https://bizzdesign.com/blog/cyber-security-5-steps-to-stay-safe-in-a-dangerous-world/

本文:http://pub.intelligentx.net/enterprise-security-architecture-cyber-security-5-steps-stay-safe-dangerous-world

讨论:请假知识星球【首席架构师圈】

 

SEO Title
【Enterprise Security Architecture】Cyber Security: 5 Steps to Stay Safe in a Dangerous World