在IT审计之外的思考(检查)复选框

经过多年的安全团队深入到合规性预算桶找到他们需要为他们的安全努力的资金,一些组织都注意到,虽然它获得短期资本,实践回来困扰他们的长远目标。虽然这听起来陈词滥调听到达标不等于安全,许多企业正在采取措施,以确保他们的重点是建立弹性的IT,而不是仅仅在通过审核。

[合规是不是安全的,但公司仍装作是,根据调查]

IT专家专业社区Wisegate最近的一份报告,从遵从性转移到基于风险的安全性,发现实现风险管理程序的首要驱动因素是满足法规遵从性需求。不到一半的受访者提到了总体的威胁情况,或者他们有兴趣站在袭击者的前面。

这种令人不安的态度可以解释为什么如此多的组织仍然处于消防模式——从一个漏洞或安全紧急情况跳到下一个,而没有任何机会在风险面前采取行动。

尽管它当然可以认为,和强烈,安全不是认真对待前几天在《萨班斯-奥克斯利法》等法规要求,PCI DSS,与其它各种违反信息披露的法律法规和数据之后,它也肯定更严格的强大的情况下,长期来看,组织为他们的努力今天更好。令人失望的是,为了通过下一次审核并能够向管理层表明其IT系统是符合要求的,许多组织只做了所需做的最少的事情。

“为什么这些规定实行的整个原因是为了尽量确保组织更安全,但可悲的是什么是经常发生的事情是清单达标,”糖果亚历山大,在长期护理伙伴有限责任公司,目前成员前CISO说董事在信息系统安全协会董事会。

[12个个头实施GRC]

这是为什么呢?因为遵从性对管理人员、专家和CISOs来说更容易推销。马萨诸塞州蓝十字蓝盾公司(Blue Cross Blue Shield)的企业架构师马丁•桑德伦(Martin Sandren)表示:“如果你真地观察资本的最佳商业用途,对许多高管来说,仅仅从投资回报的角度来看,在安全方面投入大量资金是否合理,这是有争议的。”

有几家公司真正“得到它,”亚历山大说。“他们知道他们都符合,但他们也知道,他们可能会,也可能不会,也是安全的。”

这些情绪在我们的第十一次年度全球信息安全调查,普华永道CSO和CIO杂志进行的调查结果一致。超过9,600组织的调查发现,只有17%的受访者怎样才算成熟的风险管理程序。这样的程序将包括具有良好的整体信息安全战略,采用一个组织的首席信息安全官或同等谁报告给主管领导,其测量和在过去一年中审查安全的有效性,并了解什么安全事件的类型都发生在组织内的过去的一年。

[安全性和脆弱性评估:4个常见错误]

那么,组织如何从遵从性和检查表心态转向更全面的风险管理呢?加拿大艾伯塔省政府的CISO的Tim McCreight说:“这是一个巨大的飞跃。”这是一个跳跃,包括从在事件发生时对其做出反应,并试图强制对业务进行安全控制,到使业务能够理解风险并做出适当的基于风险的业务决策。“这需要企业了解自己的风险承受水平,”McCreight说。

听起来很简单,但它是什么,但。如何安全专业人员把业务不仅关心它的安全隐患,但也明白接受太多的IT风险企业带来的后果?

Sandren解释了它如何采用良好的安全度量。他表示:“蓝十字蓝盾的治理结构是建立在风险评估的基础上的,风险评估完成后再由公司签字批准。”“这不是一件容易的事,对一个组织来说,接受风险成本总是很难的,官员们往往不想接受任何风险,或者他们想完全忽略风险。”

分析师和总裁Mike Rothman是在IT安全公司Securosis说,无论是难度,最好的说服者之一是数据。“你会想,你可以呈现给企业,以收集尽可能多的数据和指标。你怎么被更迅速地响应降低风险以及如何安全投资保护关键业务资产将引起他们的注意,”他说。“高管喜欢图表和数字,更准确可信的更好。”

McCreight同意对获奖企业的芳心,以此来从合规性驱动到IT风险管理驱动程序移动的重要性。他补充说,服用安全集成的小步骤到业务操作中可以走很长的路也是如此。“是网络安全团队意识到新的项目,因为它们产生的?是在新的IT计划的设计阶段中带来安全?他们需要的过程中不可或缺的一部分,”他说。

[GRC:试图把咬了一口的风险]

什么它归结为是,它是关于目标不那么显着转变 - 从符合使系统更具弹性的攻击。而且,就像IT安全本身,还有如何到达那里没有简单的清单。“有没有正确或错误的方式去那里每一个组织将是不同的,因为都有着不同的风险,他们有不同的风险承受能力,”亚历山大说。“最重要的是工作在到达那里。”

这个故事“跳出IT审计(勾选)框思考”最初是由方案

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对最重要的话题发表评论。
有关:

版权所有©2013Raybet2

IT薪资调查:结果是