如何实施您的网络安全管理计划

安全资讯 小布 465浏览 0评论

网络安全是一场准备游戏,希望最好,但也做最坏的准备。有了网络安全管理计划,您就可以做到这一点。

了解如何为您的企业规划和实施适当的安全基础设施。

让我们讨论。

什么是网络安全管理计划

与任何其他计划一样,网络安全管理计划涉及为您的组织制定安全策略。

计划中的步骤是灵活的,取决于以下几个因素:

  • 预算
  • 组织结构和规模
  • 第三方网络
  • 信息系统规模

然而,即使考虑到这些因素,任何组织都可以而且应该从一些一般步骤开始,从评估您当前的环境开始。

评估您当前的安全环境

安全管理规划的第一步是进行自我审计。审计的目的是评估您现在的情况。这些审核将帮助您了解您的差距所在以及您已经在正确执行哪些操作。

正如我们将在以下两节中看到的,评估将分析是任何安全基础设施的两个核心组件:

  1. 组织安全
  2. 技术安全

组织安全

在评估您的组织安全性时,您应该注意有关组织人员和流程的要点。

作为企业组织安全的一部分,您可以期望看到的控制类型是:

  • 政策和协议:什么样的政策已经到位?(一些例子包括密码管理政策、数据管理政策、数据合规政策)。一旦确定,您将需要评估它们的有效性。是否遵循政策?是否有一些缺失?
  • 员工安全意识:组织安全的第二个也是最突出的部分来自人员本身。当所有技术安全都失败时,人是最后一道防线,可以决定是否发生漏洞。训练有素的员工将更有效地阻止潜在的违规行为。
  • 物理安全:通常是网络安全的一个被忽视的方面,物理安全涉及确保仅限授权人员访问办公空间。轻松识别获准进入的人员以及可能成为潜在攻击者的人员。作为评估的一部分,您应该认真检查所有包含敏感数据或访问它的方式(如服务器)的物理空间。

以上是组织安全的一些广泛示例,许多企业可以与之产生共鸣,并且必须在某一时刻实施。在审核期间,您需要检查组织安全的这些部分的当前有效性。

技术安全

自我评估的第二部分是研究技术安全。技术安全将涉及网络安全的所有非组织方面,例如:

  • 防病毒和反恶意软件:这些工具包含在软件包中。在评估期间,您应该检查安装的软件(品牌)、您是否使用最新的补丁更新以及安装了该软件的端点(计算机、笔记本电脑等)的数量。
  • 防火墙:防火墙现在是任何安全基础设施的组成部分。如果没有,您的信息系统就会容易受到不安全的外部互联网流量的影响。在审核期间,检查防火墙是否正在使用、什么类型以及规则更新的频率。
  • 数据加密:在评估过程中,检查数据存储系统是否加密。加密应分三个阶段进行评估:静态数据、使用中的数据和传输中的数据。您必须单独评估这些阶段,因为每个阶段都代表一个新的潜在攻击向量。

一旦您评估了当前的安全环境,您就可以进入以下管理计划阶段,评估风险。

评估风险

通过上一阶段生成的审计报告,您现在可以鸟瞰安全漏洞。

您的安全基础架构中的这些漏洞对您的组织构成威胁,您应该制定应对它们的策略。

这意味着在计划的这个阶段,您应该关注不注意这些差距的风险。

通过将风险分为低风险、中风险和高风险来分解您的风险承受能力。通过参考您的自我审核,您可以检查差距并将它们归入这三个类别。

在低风险层(您可能将其称为可接受的风险)中,您会提到可能缺乏的安全功能,但如果未解决,也不会造成巨大损失。例如,在您的自我评估期间,您注意到某个特定系统中的加密很弱,但该系统处理低风险数据。

在您的风险评估中,您可以将此视为可接受的风险,因为数据泄露不会导致重大的财务或数据丢失。

然后,您可以对其他两个级别的风险(中和高)重复这些过程,这将生成一个整洁的风险评估,让您对情况有一个很好的了解。

这种评估对于那些预算有限的公司来说是无价的。在安全实施方面,了解可接受的风险和高风险可以为您节省大量资源。

即使是那些拥有大量预算的公司也拥有更大的信息系统,追溯实施安全基础设施可能是一项非常昂贵的工作。

团结人员和安全流程

网络安全管理计划的前两个阶段是“准备步骤”,因为不需要采取实际行动。在下一阶段,是时候开始与团队其他成员进行转换了。

网络安全是不再“只是一个IT问题”,并要求所有那些为公司工作的参与。

然而,主要在实施方面的责任负担仍然更多地倾向于 IT 和信息安全团队。但安全环境的维护需要各方各司其职。

这看起来如何取决于组织本身。一些较小的团队更加敏捷,这意味着他们的实施策略是灵活的。此外,让整个团队参与进来要容易得多,并且对安全文化具有积极的持久影响。

在大型企业和中小企业中,此阶段的主要好处是发现新的且具有成本效益的方法来实施该战略。它还鼓励从严格以 IT 为中心的思想可能错过的其余操作中获得新的洞察力。

实施控制 

组织的关键人员入职后,就该审查和实施审核期间发现的控制措施了。

反思审核过程中发现的差距,并将其与下一阶段评估的风险进行比较。这种做法将确定需要实施哪些安全控制作为管理计划的一部分。

这些控制也将决定安全环境的未来维护将如何发展。它们基本上成为安全基础设施的支柱。

在这个阶段,您需要检查您的预算,看看什么是可行的。一些较重的投资将包括硬件和软件等技术。您可能还需要考虑一些服务成本,例如员工意识培训。

最后,争取托管服务安全提供商(MSSP)的帮助可能是值得的他们可以负责管理安全方面,例如防火墙配置和维护或安全策略创建。

无论您选择走哪条路,计划的这一部分都需要您采取行动。如果我们回到风险分析和审核,安全控制自然会从检查这两个阶段中产生。

但是,您始终可以查看众多网络安全框架之一以供参考。确保它们来自信誉良好的来源;一些建议包括:

  • NIST网络安全框架
  • 独联体CSC

监控和记录策略

一旦您审查并实施了所有先前的管理计划阶段,剩下的就是维护计划。

监控要求您的组织为安全操作投入一些时间和资源。本质上,您将监控所有以前实施的安全控制(在前面的部分中讨论过)。

您的目标应该是评估计划的整体有效性。例如,假设您的网络安全实施涉及托管防火墙的应用。

然后,您应该检查以下内容:

  • 您是否为您的企业选择了正确的托管服务?
  • 规则是否定期更新以应对最近的威胁?
  • 防火墙是否在不中断业务流程的情况下完成其工作(是否存在平衡?)

除了安全的技术方面之外,您还应该记录过程数据,即策略和协议的运作方式。大多数技术安全工具都带有内置的日志记录工具,但您必须对流程更有留意。

您可以使用问卷和调查等技术来衡量政策的有效性。通过直接询问您的员工,研究或问卷将表明他们遵循准则的程度,同时获得改进准则的宝贵意见。

但是,您不应以方便的名义损害您的安全。始终保持平衡;高舒适度通常与较低的安全性相关,这是您需要考虑的成本。

培育安全文化

最后,强烈建议使用该计划来建立安全文化。这个“步骤”并不完全是你写进计划的东西,而是程序可以作为最终目标努力的东西。

创建安全文化说起来容易做起来难,但拥有正确的网络安全管理计划可以鼓励人们这样做。培养一种文化来自组织内部,需要每个人的参与。

您必须制定对员工友好的政策,鼓励他们参与主动安全。

主动安全在这里至关重要。你采取的措施和你设计计划的方式将决定你的结果。假设您发现自己是组织中的安全领导者。在这种情况下,您必须确保每个人都对组织的保护负责。

安排定期复习课程,让每个人都了解最新的安全相关新闻及其对业务的影响。

计划的这一部分仅受您的创造力的限制。尽可能发挥想象力,让尽可能多的组织成员参与进来。

回顾和结束语

安全实施不是很复杂。设计和制定计划对于维护安全的信息系统至关重要。

而且,当一个计划汇集在一起​​时,我们不是都喜欢它吗?

因此,请带上您的 A 团队并:

  • 评估您当前的安全环境
  • 评估安全漏洞的风险
  • 团结人员和安全流程
  • 实施安全控制
  • 监控并记录您的策略
  • 培育安全文化

不要等待;立即实施您的网络安全管理计划。

如果您正在努力掌握不断变化的威胁环境,请立即联系布尔云安团队

全国首屈一指的网络安全提供商为您提供保障。让我们帮助您制定从战略制定到实施的管理计划。

我们了解安全法规、架构实施和威胁分析的来龙去脉。立即获得您的定制治疗并在此处安排咨询。

转载请注明:布尔云安的博客 » 如何实施您的网络安全管理计划

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址