每个组织都需要一个信息安全计划,因为数据已成为世界上最有价值的商品。与所有珍贵的东西一样,数据受到管理机构的严格监管,并且受到每个人(包括骗子)的觊觎。这就是网络犯罪不断增加的原因——与日益严格的合规环境同步。
最新的前景令人震惊:绝大多数 (83%) 的公司在其一生中很可能会经历至少一次数据泄露。对于许多资本不足的企业来说,一次入侵很可能成为最后的阻碍。据 IBM 报告,到 2022 年,平均数据泄露成本为 435 万美元。(如果您的企业在美国运营,这一影响可能会给您的钱包留下更大的坑大约 944 万美元)。随着越来越多的组织受到网络犯罪的困扰,据 Statista 预测,到 2024 年,信息安全市场规模将增至约 1750 亿美元。尽管如此,恶意黑客仅占数据安全总体风险的一部分。
公司需要将自然灾害、人为错误、系统缺陷和一系列违规处罚纳入其数据保护策略。没有可行的方法来解决这个困境,因为当今大多数企业都需要处理和存储数据——他们自己的、他们的供应商和他们的客户。与那些老式机构一样,现代企业必须保护其宝贵的货币(即数据),就好像一切都依赖于它一样。做到这一点的最佳方法是从强大的信息安全计划开始。
什么是信息安全?
信息安全 (InfoSec) 是指管理和保护敏感数据的实践、流程和工具。其主要目标是控制对信息的访问,以维护 CIA 数据保护三合一(机密性、完整性、可用性),而不显着妨碍企业生产力。
主要机构是这样定义信息安全的: “保密性(确保信息只能由有权访问的人访问)、完整性(保障信息和处理方法的准确性和完整性)和可用性(确保授权用户可以访问信息)”需要时访问信息和相关资产)。” – ISO/IEC 27002 “确保在企业内部,信息受到保护,防止向未经授权的用户泄露(机密性)、不当修改(完整性)以及在需要时不被访问(可用性)” – ISACA。
什么是信息安全计划?
信息安全计划是指组织为保护敏感数据而建立的成文的策略、目标、系统和流程集。此类计划包括安全措施、身份验证方法和响应协议,用于减轻风险和解决可能破坏公司数据完整性、机密性或可用性的主动威胁。
为什么需要信息安全计划?
组织必须制定信息安全计划才能参与数字经济。这样的组织带来的危险远远超出了其自身业务的范围,还延伸到了其客户、供应商和与其进行交易的其他实体的业务。 网络犯罪 (尤其是 数据泄露 )可能会针对数据流难以跟踪和保护的复杂供应链。如果您与信息安全措施较差的实体交换敏感数据,威胁行为者很容易危及您的数据。这就是为什么许多谨慎的公司(以及几乎所有投资者)在开展任何业务之前都需要供应商、第三方和潜在投资方就其数据保护程度提供具体保证(例如 ISO 认证和 SOC 报告)。
信息安全计划有助于建立公司获得这些具体保证的流程。最终,精心设计的信息安全计划使公司在多个方面受益:a) 它有助于降低数据未经授权的暴露(机密性)、损坏(完整性)和意外不可访问(可用性)的可能性。以正确的方式实施,信息安全计划可以帮助组织更轻松地遵守监管要求和行业标准,从而避免因不合规而遭受昂贵的处罚和失去机会。
如何制定良好的信息安全计划?
以下是帮助您制定强大的信息安全计划的一些重要步骤。
组建信息安全团队
毫无疑问,这应该是大多数尚未制定信息安全计划的组织的第一步。这是因为信息安全不应该是一项单独的事业。它需要利益相关者和 IT 安全专家之间的持续合作,他们将专注于保护公司的数据或流程。您需要有能力且可靠的人员来为您的公司构建和管理信息安全基础设施,包括负责并接受培训以响应安全事件的专门团队(即网络安全事件响应团队或 CSIRT)。
审核和分类您的数据资产
只有知道某物是什么以及在哪里,您才能保护它。对您的 IT 资产和每项资产的指定保管人进行全面盘点。包括您的组织使用(或拥有)的所有硬件、软件、数据库、系统和网络。根据数据资产的性质、存储和访问方式以及与这些资产相关的漏洞、风险和现有保护对数据资产进行分类。您的信息安全团队必须知道数据存储在哪里、谁有权访问所述数据、如何处理数据以及如何保护数据。此外,某些类型的数据需要更强的保护,包括 PII(个人身份信息)、PHI(受保护的健康信息)和 NPI(非公开信息)。
评估风险、威胁和漏洞
对存储和处理数据的系统和网络进行彻底审查,以检测、识别和评估安全弱点、风险、威胁和漏洞。对这些风险和漏洞进行分类并确定优先级。一些需要改进的常见领域包括过时的硬件、未打补丁的软件应用程序以及对员工的 IT 安全意识培训不足。您的团队还应该评估您公司已经采取的 IT 安全措施。您可以使用美国国家标准与技术研究院 (NIST) 开发的网络安全框架等工具来帮助您涵盖所有基本基础。您的网络风险评估不仅必须包括您的内部系统,还必须包括与您的组织开展业务的第三方的系统。列出第三方实体在与您的组织开展业务之前需要满足的要求/标准(例如 SOC II 合规性)。
解决信息安全状况中的薄弱环节
这就是您堵住防御层漏洞并改善整体安全状况的地方。目标是消除可以消除的风险,并最大限度地减少无法完全消除的风险,从最严重的威胁和漏洞开始,一直到对业务潜在影响最小的威胁和漏洞。根据您的具体要求,您可以考虑有助于增强和加强信息安全策略的解决方案,包括 MDR(托管检测和响应)和安全监控服务。
扫描监管和标准情况
根据您的业务范围、位置、客户群体和其他因素,您的组织必须遵守许多监管要求、行业基准和自我实施的标准。其中包括健康保险流通与责任法案 (HIPAA)、通用数据保护条例 (GDPR) 和支付卡行业数据安全标准 (PCI DSS) 要求的强制性 IT 安全实践。一些外部利益相关者,例如业务合作伙伴、独立审计师和进行尽职调查的潜在投资者,也可能需要具体的合规实践和详细的文件。对形势进行彻底审查,确定哪些法规、指令和标准与您的组织相关。
制定合规计划
多年来,监管合规性的相关性和复杂性不断增加,现在要求组织制定和实施全面且一致的合规计划。鉴于全球监管环境趋紧,不这样做的代价可能会非常高昂。例如,亚马逊在 2021 年因不遵守 GDPR 指令而遭受了近 7.81 亿美元的罚款。违反当地市场法规的成本也可能高得令人望而却步,花旗集团就是一个例子,该集团因违反监管机构的一项核心原则而被英国金融行为监管局 (FCA) 处以 1500 万美元的罚款。管理合规风险可以帮助您避免陷入这两种情况。确定法规和标准要求后,将您的合规性需求与适当的实践和技术解决方案结合起来,以弥补公司法规状况中的任何差距。
制定事件管理和灾难恢复计划
在上下文中,“事件”是指可能导致任何违反中央情报局信息安全三合会的事件和情况。此类事件包括网络攻击、自然灾害、人为错误、系统故障以及其他可能导致损坏、未经授权的披露或意外数据无法访问的情况。精心设计的事件管理和恢复计划概述了所有潜在风险,将每个风险映射到组织相应的响应策略,以最大程度地减少损失并在发生重大破坏性事件时尽快恢复正常运营。详细说明每种事件类型的响应策略可以帮助您的团队和其他利益相关者冷静、有序且自信地应对每种威胁。许多组织将此步骤与其整体业务连续性计划联系起来。
装备和培训您的员工
总而言之,您的员工仍然是您的第一道防线。然而,它们通常也可能是安全基础设施中最薄弱的环节,是大多数网络犯罪分子青睐的攻击媒介。因此,员工培训应该成为任何信息安全计划的一部分。通过不断对员工进行 IT 安全培训,他们可以成为您应对各种信息安全风险的有效资产。
进行定期审计、漏洞评估和渗透测试
计划可以是好的,也可以是坏的,可以是充分的,也可以是不充分的。但一旦有事情考验你的计划,你就会知道。您愿意通过一个实际的、潜在的破坏性事件(及其所有不可预测的后果)来证明您的计划的价值,还是让一家独立的安全公司客观但安全地为您进行测试?技术和合规性审计、漏洞评估和渗透测试是您最好的朋友,可以检测(和解决)您的盔甲中的弱点,并保持您的信息安全基础设施配置良好、处于最新状态并与威胁中出现的风险保持一致和合规情况。
对于许多组织来说,建立和记录信息安全计划可能是一项艰巨的任务,特别是那些努力跟上数字经济以及随之不断发展的监管和行业标准的组织。您可以选择让您的团队完成所有繁重的工作或向专业服务提供商寻求专家指导。这样做将放弃昂贵的试错方法,转而采用最佳实践驱动的框架,从而有助于快速跟踪流程。信息安全计划应提供有关如何在网络中保护数据以及您的团队如何应对威胁其机密性、完整性和可访问性的不同类型风险的快照。
