现在有许多在信息安全方面做得不错的企业、组织——他们通过正确识别风险以及优先级排序,妥当保护关键数据,及时缓解安全风险,当然也有许多做得不好的。
那些具有良好安全习惯的组织(“安全的组织”)具有某些共同的特质,而这往往正是那些信息安全工作做得不到位的组织(“不安全的组织”)所缺乏的。
安全的企业IT该具备怎样的特质
安全IT企业具备的良好安全习惯
下面就来审视下“安全的组织”所具备的十大特质。
1. 在安全的组织中,信息安全工作得到高层管理的支持。高层支持包括制定信息安全的可用资源和预算,以及明确声明信息安全是该组织的优先事项。既然由高层管理者为组织确定优先级并定下基调,那么没有他们明确和持续的支持、想要成为一家安全的组织将极为困难。近期接连发生倍受瞩目的安全事件,这促使多数高层管理者现在理解到信息安全工作的重要性,并将支持信息安全工作的投入。
2. 安全的组织会定期识别并记录客户和/或公司自有的敏感数据如何流入、经过和流出组织。这使得组织能够集中时间、精力和金钱在敏感数据保护上。相反,一个组织难以去保护它并不了解的目标,而且如果组织不执行这项工作的话,他们也难以做出努力去保护他们的数据。
3. 安全的组织会为所有处理、传输或存储敏感数据的系统创建和维护一份正式的记录清单—包括操作系统,物理的或是虚拟化的,以及已经安装了哪些主要应用程序。没有这样一份清单,组织不能充分理解它所必须保护的系统。而具备这样一份清单,组织得以快速确定特定的安全漏洞是否会影响该组织的相关系统。
4. 安全的组织会对敏感系统与非敏感系统进行分区隔离,具体通过跳板模式配置、防火墙规则、路由器访问控制列表(ACL)或交换机VLAN划分。这样能使得组织内敏感系统的攻击面最小化,并允许严格控制和有日志记录的系统访问。
5. 安全的组织具备强变更控制流程,并被严格执行。包括紧急变更在内的各项变更都会被完整记录,然后进行正式审核并被批准。未经批准的变更会导致无人知晓的安全漏洞,直至安全事件的发生。
