安全人员的任务可能非常艰巨:从诸多担心、不确定因素和似是而非的问题中抽丝剥茧,评估不同的风险状态和这些风险在企业发生的可能性。然后再确定如何使用必要的技术使这些风险最小化。
专注于数据
许多企业花费了太多时间用于工具,而对于数据的重视程度却远远不够。与数据相比,技术相对简单。更困难的问题是理解数据,因为大楼、LAN、主机无法限制数据。
无论IT专业人员还是一般的业务专业人士都需要认识到企业需要部署控制和保护,以跟踪数据的流向和目的地。企业很容易在这方面犯错误。当今的企业需要保护信息的基础架构。但这仅仅是关于数据与技术的第一项措施。多数公司往往并不清楚威胁。许多企业发现,要证明“把钱花在不一定发生的潜在威胁上是合适的”非常困难。情况往往是只有在发生了危害后,企业才开始重新评估其安全策略。
风险的概念
从何处开始呢?要描绘企业信息风险的概况,安全管理者应从确认所有的关键业务过程及其工作方式开始。谁都无法保护并不了解的资产。安全管理者应调查企业的逻辑和物理资产,无论是数据、技术、人员还是过程,都必须包括在内。
安全管理员应与拥有这些过程涉及的人员交流,发现他们的风险要求和感受水平。例如,风险在何种情况下会产生危害?企业的敏感点(痛点)在哪里?是效率还是可用性?亦或是资产自身?这些痛点在不同的企业之间是不同的。
这个过程的一部分就是要理解企业所面临的不同风险状况。在这些状况中,哪些是真正可能发生的?安全管理者应关注哪些?如何应对这些状况,在哪一点上开始对付这种状况?由此,安全管理者才可以部署控制、功能、框架、过程、方法、人员进行应对。企业需要一种信息管理策略,以帮助企业更好地确定和实施安全策略和过程。我们不妨将信息管理策略定义为:为了管理在企业中存在和流动的信息,企业将有益于公司的方法、策略、过程建立起来的一种集合。这种策略可以管理和监视数据。
不仅仅是技术
在确认了适当的风险状况和理解了风险要求后,还要考虑到随着时间的推移,问题会发生变化。企业的风险要求需要重新调整。安全管理员需要讲求实效,并更现实地认识这些风险。在准备好策略、过程、工具后,评估其效能就要求企业具有安全实践和过程的专业知识,并理解公司的内部程序。这种评估可通过内部的专业人员或外部的审计人员实施。
当然,问题是,企业要理解这些过程,从而保证其内部安全策略的相关性和最新。安全是一个不断演变的问题,它不可一蹴而就,而是应当经常评估和修订,以应对不断变化的威胁。对于多数企业来说,这有可能是最大的困难。
如何评估
有专家建议在如下方面评估企业的安全准备水平,或评估当前状态与目标状态的差距:
1. 安全文化:评估企业在安全意识培训中是否使用多种方法。
2. 审计问题:评估企业是否将安全问题包含在项目计划和变更管理过程中。
3. 合规管理:评估企业是否为合规管理过程明确地规定了责任和义务。
4. 策略和过程管理:评估企业将物理安全整合到其它过程的程度。
5. 事件管理:评估企业的事件监视是否包括了所有的安全方面。
6. 风险分析:评估企业是否将风险分析的结果明确地传达给所有重大项目的项目团队。
7. 漏洞管理:评估企业用安全策略和过程审计是否合规的频率。
应对策略
企业在开始规划安全项目之前,管理者应该具备正确的数据防泄密保护的认知及理念,在亿赛通过去十余年中取得的经验来看。数据安全项目有其特有的难点,充分的理解这些难点是制定有效的数据防泄密计划的关键。亿赛通建议企业在实施数据安全的项目中应充分了解以下信息:
Ø 哪些信息是需要保护的?
Ø 这些数据在哪里以及有谁负责保管?
Ø 这些数据面临什么样的风险,现在是如何保护的?
Ø 企业是否已经有数据安全保护的政策及策略要求?
Ø 企业高层及管理层对数据保护的期望及要求有哪些?
在确定了各个问题后,我们便可基本得到数据保护的范围及目标,可以清晰的制定出执行计划及阶段目标。这样可避免在执行过程中项目实施范围外延,时间和成本难以控制等问题发生。
其实,在选择一款合适的产品需要花费大量的时间进行完整的评估及测试工作。同时对于自己企业现状与所处行业特点,企业应该综合考虑选择合适自己的防泄密产品。对于防泄密产品的选择,要考虑安全性、合规性、易用性、成熟度、解决方案及服务能力六个维度,通过综合的考虑和评比完成产品的选型工作,最大程度上降低项目执行风险。经过亿赛通详细的评估及测试,对以下三种数据安全产品的综合评比,仅供参考
数据安全项目作为难度较高的信息安全管理项目之一,除产品本身稳定成熟外,更需要关注的是实施方对于数据泄密风险及项目实施过程中风险的理解和把控能力,以及专业服务团队的能力和经验带来的价值,对于一个成功的数据安全项目而言两者缺一不可。“亿赛通引领数据安全进入智能防护时代”建立信息安全岛,凭借精湛的专业团队以及丰富的数据防泄密项目经验,可帮助企业充分认识数据防泄密的难点,让信息安全不在成为管理者的噩梦和困扰,而是更好的服务于企业数据的风险管理及控制。