Разработка стратегии информационной безопасности и управления рисками (часть 2)

Опубликовано: 7 Апреля, 2023

Введение

В предыдущей статье мы сосредоточились на том, как разработать стратегию безопасности, проверив и оценив состояние безопасности и установив стоимость активов. Оценка ситуации с безопасностью (уязвимость) и способы анализа собранной информации о безопасности. Во второй статье основное внимание будет уделено оставшимся элементам, которые помогут разработать комплексную стратегию безопасности для вашей организации.

Шаг четвертый: Планирование и разработка стратегии безопасности

Мы рассмотрели детали сбора и анализа информации о безопасности в первой части статьи. Следующий шаг включает сбор и анализ собранной информации и преобразование ее в работоспособную и прагматичную сбалансированную стратегию безопасности.

Преобразование вашего анализа в стратегию безопасности. Это включает в себя определение углубленного анализа существующего уровня безопасности организации и наброски дорожной карты реализации для достижения долгосрочной цели безопасности. Очень важно определить, где вы находитесь со своей стратегией безопасности и куда вы хотите двигаться. Стратегия безопасности обеспечивает объем и направление для всех будущих действий по обеспечению безопасности. Он также описывает аппетит организации к риску.

Этот процесс заключается в достижении баланса безопасности и сопоставлении этого баланса с готовностью организации к риску, и на основе этого может быть установлен разумный бюджет, поддерживаемый руководством. Помните, что без участия руководства весь этот процесс бесполезен.

Программа безопасности должна разрабатываться с учетом подхода «сверху вниз». Благодаря тому, что программа инициируется и поддерживается сначала высшим руководством, а затем передается руководству среднего звена, а затем персоналу, программа обеспечения безопасности будет иметь наилучшие шансы на эффективность. Этот тип подхода, а не подход «снизу вверх», гарантирует, что люди, наиболее ответственные за защиту корпоративных активов, продвигают программу вперед.

Дорожная карта необходима для отображения шагов, необходимых для достижения цели. Дорожная карта должна включать этапы, сроки, результаты, необходимые входные данные, ресурсы и ограничения. Он также должен определить план коммуникации. Дорожная карта поможет перевести организацию из текущего состояния безопасности в желаемое состояние безопасности.

Убедитесь, что стратегия безопасности разумна, действенна, сбалансирована и допускает гибкость, позволяющую избежать отклонений от плана. Стратегия должна поддаваться адаптации и представляет собой живой документ, который пересматривается как минимум каждые шесть месяцев.

Чтобы стратегия безопасности была эффективной, она должна соответствовать следующим условиям:

  • Должен быть кратким, ясным и легким для понимания
  • Стратегия должна быть реалистичной в отношении доступного финансирования и ресурсов.
  • Документированная стратегия должна быть составлена организованно, логически организована.
  • Стратегия должна быть адаптивной
  • Должен быть полностью поддержан руководством и руководителями групп, подход «сверху вниз» всегда благоприятен
  • Бизнес-цель должна управлять созданием, внедрением и внедрением стратегии безопасности, а не наоборот.
  • Используйте для интеграции безопасности во все бизнес-функции и процессы
  • Должны поддерживать правила и стандарты, применимые к организации
  • Следует постоянно пересматривать и при необходимости адаптировать
  • Должен быть легко доступен
  • Должен быть создан с намерением иметь его на месте в долгосрочной перспективе

После того, как безопасность реализована и риски снижены, важно формализовать базовый план. Базовый уровень будет действовать как непротиворечивая контрольная точка, используемая для сравнения будущих изменений. Для каждого типа системы можно определить базовый уровень, который показывает существующие параметры безопасности и уровни защиты для каждой системы. Всякий раз, когда вносятся изменения, можно просмотреть базовый уровень, чтобы убедиться, что базовый уровень безопасности постоянно соблюдается. Путем обеспечения базовой безопасности всегда там, где она должна быть, уязвимости безопасности уменьшаются.

Шаг пятый: стратегическое согласование

Мы всегда стремимся к «лучшей» безопасности. Единственный способ, которым мы действительно можем стать лучше, — это знать, с чего мы начинаем, куда нам нужно идти и какие шаги нужно предпринять, чтобы туда добраться.

Цель тщательно спланированной и разработанной стратегии безопасности состоит в том, чтобы она могла постоянно развиваться вместе с изменениями в среде и организации информационной безопасности. Это причина, по которой стратегия безопасности должна быть гибкой и адаптируемой, стратегия безопасности должна учитывать изменения, чтобы быть устойчивой.

Спланированная стратегия безопасности со структурированными шагами обеспечивает непрерывную эволюцию и улучшение процессов и состояния безопасности.

Ядро всех структур безопасности одинаково, однако важно понимать, что программа безопасности должна иметь непрерывный жизненный цикл, который следует постоянно оценивать и адаптировать для улучшения.

Жизненный цикл стратегии безопасности включает:

  • Планирование и организация
  • Реализация
  • Эксплуатация и обслуживание
  • Отслеживайте, управляйте и оценивайте

Без установки такого подхода непрерывного жизненного цикла стратегия безопасности, вероятно, не будет долгосрочной, чего мы и пытаемся достичь. Жизненный цикл обеспечивает структуру, обеспечивающую непрерывность стратегии.

Чтобы реализовать гибкую стратегию безопасности, постоянно смотрите вперед, полагайтесь на происходящие изменения и разрабатывайте стратегию с учетом изменений. Убедитесь, что стратегия безопасности всегда актуальна, просматривая возможные ситуации и то, как вы будете реализовывать свою стратегию для решения этих вероятных сценариев. Готовность к множеству сценариев поможет эффективно управлять рисками.

Стратегия безопасности должна быть функциональной на всех уровнях организации. Помните, что эту стратегию необходимо пересматривать не реже одного раза в год, и она является живым документом.

Убедитесь, что стратегия управляема в изменяющихся условиях, чтобы она была устойчивой в долгосрочной перспективе. Стратегию следует рассматривать как непрерывный процесс, а не статичное событие.

Шаг шестой: Сообщите о стратегии безопасности (программа повышения осведомленности о безопасности)

Важно вооружить всех в организации как можно большим объемом знаний о безопасности. Для обеспечения безопасности организации крайне важно, чтобы все на всех уровнях организации понимали важность стратегии безопасности и ее влияние и поддержку процессов, активов, данных и даже людей внутри организации и за ее пределами (клиенты и т. д.).. Все должны быть осведомлены о проблемах и проблемах, стоящих перед программой безопасности, и чтобы стратегия была эффективной, она должна поддерживаться на всех уровнях.

Программа повышения осведомленности о безопасности обычно нацелена на три типа аудитории: руководство, персонал и технические сотрудники. Каждая форма коммуникации или учебный материал или сеанс должны быть ориентированы на тип аудитории, четко определяя обязанности, ожидания и обязательства для каждой аудитории. То, как вы передаете информацию руководству, а затем техническим работникам, требует двух очень разных подходов, чтобы донести сообщение и заинтересовать каждую аудиторию.

Чтобы стратегия безопасности достигла ожидаемых результатов, обязательно доведите информацию о том, что, как и почему в отношении безопасности, до всех сотрудников организации.

Для эффективного общения и обучения он должен:

  • Будьте всегда в курсе
  • Используйте повторение наиболее важных сообщений в различных форматах
  • Будь веселым, позитивным и с чувством юмора
  • Быть всеобъемлющим и простым для понимания
  • Применяться и поддерживаться руководством

Вывод

Заглядывая в будущее безопасности, можно сказать, что безопасность, вероятно, будет обеспечиваться путем уравновешивания средств контроля и рисков для создания масштабируемой и гибкой стратегии. Более постоянный внутренний мониторинг и обмен информацией о безопасности, вероятно, будут способствовать более эффективному подходу к обеспечению безопасности.

Инвазивные меры безопасности будут ограничены, поскольку организации быстро теряют контроль над устройствами и службами, которые использует персонал, поскольку BYOD становится нормой. Организации, скорее всего, потеряют контроль над тем, как сотрудники и клиенты защищают информацию. Мы приближаемся к тому времени, когда организации, вероятно, больше не будут владеть своей ИТ-инфраструктурой и, следовательно, не будут иметь прямого контроля над своей безопасностью.

Важно понимать, что информационная безопасность — это не только брандмауэры, антивирусное ПО и пароли. Информационная безопасность — это непрерывный процесс, требующий постоянного управления. Это коллективная стратегия и практика, связанные с идентификацией и защитой информационных активов организации для достижения устойчивости, конфиденциальности, целостности и доступности (CIA).

Будущее безопасности — это то, где барьеры против злонамеренных действий являются низкими и хорошо спланированными, а управляемые стратегии безопасности находятся на переднем крае снижения риска безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023