“安全的组织”所具备的十大特质

安全
在信息安全方面取得成功的企业往往有着良好的安全习惯。在本文中,专家Steven Weil回顾总结了至关重要的十大最佳实践。

在为众多组织提供信息安全服务的18年职业生涯期间,我见过许多在信息安全方面做得不错的组织——他们通过正确识别风险以及优先级排序,妥当保护关键数据,及时缓解安全风险,当然也有许多做得不好的。

[[124630]]

那些具有良好安全习惯的组织(“安全的组织”)具有某些共同的特质,而这往往正是那些信息安全工作做得不到位的组织(“不安全的组织”)所缺乏的。

在本文中,我们会审视“安全的组织”所具备的十大特质。

“安全的组织”所具备的十大良好安全习惯

1. 在安全的组织中,信息安全工作得到高层管理的支持。高层支持包括制定信息安全的可用资源和预算,以及明确声明信息安全是该组织的优先事项。既然由高层管理者为组织确定优先级并定下基调,那么没有他们明确和持续的支持、想要成为一家安全的组织将极为困难。近期接连发生倍受瞩目的安全事件,这促使多数高层管理者现在理解到信息安全工作的重要性,并将支持信息安全工作的投入。

2. 安全的组织会定期识别并记录客户和/或公司自有的敏感数据如何流入、经过和流出组织。这使得组织能够集中时间、精力和金钱在敏感数据保护上。相反,一个组织难以去保护它并不了解的目标,而且如果组织不执行这项工作的话,他们也难以做出努力去保护他们的数据。

3. 安全的组织会为所有处理、传输或存储敏感数据的系统创建和维护一份正式的记录清单—包括操作系统,物理的或是虚拟化的,以及已经安装了哪些主要应用程序。没有这样一份清单,组织不能充分理解它所必须保护的系统。而具备这样一份清单,组织得以快速确定特定的安全漏洞是否会影响该组织的相关系统。

4. 安全的组织会对敏感系统与非敏感系统进行分区隔离,具体通过跳板模式配置、防火墙规则、路由器访问控制列表(ACL)或交换机VLAN划分。这样能使得组织内敏感系统的攻击面最小化,并允许严格控制和有日志记录的系统访问。

5. 安全的组织具备强变更控制流程,并被严格执行。包括紧急变更在内的各项变更都会被完整记录,然后进行正式审核并被批准。未经批准的变更会导致无人知晓的安全漏洞,直至安全事件的发生。

6. 安全的组织具备强配置管理流程。通过一种自动化配置流程或诸如Puppet或Chef这类配置管理软件工具,对敏感系统进行加固和必要功能的构建。初始构建以后,使用配置软件工具周期性检查系统配置、确保系统保持加固状态,或者采用强变更控制以维护系统配置并防止服务器蠕变。

7. 安全的组织存储尽可能少的敏感信息在它们的系统上。对于那些出于商业或法律原因必须保存的敏感信息,遵循每一个正式记录的数据保留策略、存储在尽可能少的系统上,当不再需要时则予以安全地删除。所有存储的敏感信息会被定期审查并应证明是正当存储。

8. 安全的组织都采用强加密存储和传输敏感数据,并具备强健的加密密钥管理步骤和流程。如果进行正确实施和管理,强加密的数据本质上是“无法破解的”且对攻击者不可用。

9. 安全的组织持续收集和检查敏感系统产生的日志。使用脚本或自动化流程按照预定义事件进行日志检索,例如添加新帐号一类事件。当检测到这样的事件,会发送告警给具体负责的员工,后续由他负责事件调查。

10. 安全的组织通过脆弱性扫描或渗透测试,定期测试敏感系统的脆弱性。正确、定期完成这样的测试,能对组织安全控制的有效性提供“真实世界”的确认。如果一个组织未在测试它的防御能力,那么黑客很可能会做这项测试—当然他们并不会报告最终结果。

结论

上述这十项良好的安全习惯可以使组织安全并保持它的安全性。通过细致的规划和设计,这些特质可能成为组织的一部分,即使组织未采购或实施复杂且昂贵的技术方案。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2021-06-02 05:55:23

黑客组织网络攻击网络安全

2022-06-16 11:02:18

IT领导者首席信息官

2022-07-01 10:32:24

首席信息安全官CIO

2009-08-03 11:49:17

2023-08-21 13:22:28

2013-01-11 11:32:51

2016-01-27 13:14:10

2011-08-12 09:20:29

云计算云计算标准

2019-07-04 11:33:21

信息安全安全IT

2022-01-14 14:33:20

安全挑战勒索软件供应链

2013-04-08 09:38:37

Hadoop大数据数据安全

2015-06-15 09:28:34

2010-11-11 13:44:46

2009-12-08 17:56:11

2024-12-02 13:29:46

2009-11-16 16:07:06

2013-06-18 09:44:59

IT安全IT安全误区Gartner

2022-09-07 11:53:00

Web应用安全Web服务程序

2020-07-30 07:00:00

API安全威胁零日漏洞

2015-11-02 14:15:05

点赞
收藏

51CTO技术栈公众号