大多数组织并没有制定明确的整体信息安全战略。数十年来,他们将主要精力用于保护网络边界,比如部署防火墙和入侵检测与防御系统。现在,他们发觉网络安全的保护已经收到不少成效,当下更紧要的目标是保护有价值的核心数据和关键业务流程。
越来越多的组织建立了首席信息安全官(CISO)职位,不管这个职位是向CIO,CFO,或向CEO或董事会报告,表明信息安全越来越受到组织高层的重视。
创新的科技如云计算、社交媒体和移动互联网等将会带来业务流程的革命性变化,同时也可能会给信息安全风险管理带来新的挑战。
要使业务获得更好的安全保护,并不是多花钱就可轻松实现的,安全是在寻求平衡,保障安全所需的花费不能超过业务所能带来的收益,所以我们不能花过多的钱,也不能乱花钱。
信息安全管理也需使用科学的方法,如果大型组织暂时没有CISO,则需考虑提拔相应的安全总监或经理主管,给他们这个新的头衔,或者从外界聘请。调查表明,有CISO的组织所受的数据安全损失,要远低于没有的组织。比给头衔更重要的是要赋予这个职位相应的职责——保护组织的关键数据和核心业务的安全。
有了CISO,能将所有的安全保卫工作都交给他(她)一个人吗?当然不行,组织的成功依赖于每个员工的努力,安全保护也是如此。信息安全应该被视为业务流程中应对风险的不可分割的一个新的部分,而不是独立的来限制业务顺利进展的单元。
所以,有必要让组织中的每个员工知晓信息安全对于业务成功的重要性,让经理和员工们知道自己和部门所担当的信息安全职责,让他们接受必要的信息安全意识教育培训,这就是CISO工作的重中之重。
企业的重要数据在员工们之间生成、存储、传输和使用,如果员工没有受到足够的培训,没能意识到安全的重要性,就很容易由于无知或无意地通过社交网络泄露机密数据、陷入商业竞争对手所雇佣的黑客事先布置好的钓鱼网络。
公司的业务信息安全的真正的安全边界不再是您的防火墙,而是员工,网络犯罪分子已深知这一点,想要在较量中胜过这些犯罪分子,我们需要与时俱进,肩负重任的(准)CISO们,该行动起来了。
如何让非信息安全专业的经理们和员工们能够有效识别出各类安全威胁,能够胜过犯罪分子呢?其实人人都能成为独具慧眼的信息安全审核员。我们非常乐意分享一些信息安全和内部审核人员成长初级教程,当然,更可以用来对普通员工进行信息安全意识的教育培训之用。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。
电话:0871-67122372
微信:18206751343
邮件:info@securemymind.com
QQ: 1767022898