如果我只能给cto和IT团队一个建议,那就是:数据安全不仅仅是一项IT任务——它涉及人员和流程。作为一名初创公司的首席技术官,你通常会在公司的信息安全问题上担当领导角色。
根据身份盗窃资源中心的数据,2016年美国公司和政府机构遭遇了创纪录的1093次数据泄露,比2015年增长了40%。我们都见过新闻头条和备受瞩目的受害者,但当涉及安全漏洞时,攻击者不会歧视。任何公司都可能成为受害者,导致你的数据、客户数据、财务信息、专有产品信息的损失,并最终失去在市场上的信誉。随着越来越多的流程转移到线上和云端,企业越来越感觉到保持安全的负担。
解决方案?制订资讯保安标准
为了降低事故或泄露的风险,我强烈建议您获得对您公司所服务的市场有意义的信息安全认证。除了让你的数据和服务更安全之外,它还会让你的客户安心,并在市场上提供竞争优势。
它还将有助于降低费用或防止由于服务中断或数据泄漏而造成的业务损失。如果你的公司已经迅速增长,获得认证升级将提供一个有组织的方法和应对安全事件和将迫使您定义的责任,比如谁会管理信息资产,谁有权访问特定的系统,以及如何管理员工的offboarding所以他们不接受你的数据。
在CLOUD9技术,我们最近通过获得ISO 27001和SOC合格证明,两个最广泛认可的安全标准提供了信息安全管理的最佳实践的过程中去。
安全认证过程的4个关键部件
实话告诉你:获得认证需要详尽的文件和专门的团队,但结果是一种保护我们公司和用户数据的可靠方法,以及一个独特的销售谈话点。在进行安全认证过程时,要记住以下四件重要的事情。
1.选择正确的认证
请在相关的业界和产品认证的一些研究。什么是你的客户寻找?这将帮助认证安抚客户,并帮助您赢得更多业务?不仅提供全面的安全系统,也将能看出你的客户共同认证是ISO 27001,SOC(1,2&3),PCI认证,NIST和COBIT。一旦你确定你对工作的认证,委任一名经理或管理团队,需要了解该认证的程序和里程碑。
2.评估风险时,把你的时间
开头的安全认证过程时,第一步是风险分析和评估。您可能需要提交一份正式的风险评估报告作为认证的一部分,但这一过程也有助于为解决当前安全策略的差距提供了路线图。看看你的认证要求的标准,并找出你的资产,漏洞,威胁,可接受的风险程度,以及信息的可用性。风险评估可能需要数周,或者在许多情况下,个月,但是这是一件好事。这项工作应细致和全面。
一旦风险评估过程完成,您将知道哪些领域对您的公司至关重要,并且您将能够创建一个循序渐进的计划来解决您的安全覆盖范围中的任何漏洞。
3.文件,文档,文档
这是非常重要的,我会说这一次的文档。这是保持你的政策,控制,程序详细记录,并针对认证标准发展的重要因素。当您接受安全认证审核,你需要这些文件,以证明目标已经实现和程序正在积极落实。这也是跟踪你做了什么,你仍然需要完成什么最可靠的方法。
另外,你不只是实现了认证,并获得摆脱困境。许多标准涉及的年度审查程序和定期重新认证,所以你不能审计师离开后变得马虎。请确保您有具体的计划,不断提高和记录被集成到日常运营的安全做法。它会让你重新认证过程更加容易,这将确保您始终如一地去冒着持续的基础上贵公司的业务。
4.在你的公司参与让每个人
从事信息安全的最佳做法你的员工的每一个。这关键是要建立一个心态和守法文化,以保护您的公司。这一步是容易被忽视,但没有认证进程的员工敬业度是项目失败的第二个最常见的原因。应当强调的是,整个组织股份公司保留数据,专有信息,甚至办公室负责房地安全。
定期举行会议,解释了认证,它将如何帮助您的公司意味着什么,为客户的意义。保持员工了解的目标,并让他们知道他们可以做些什么来促进公司的认证成功之路。
跟踪员工们哪些工作做得不错,哪些工作做得不好,并与他们沟通哪些需要改进。不要害怕把过程游戏化。例如,在Cloud9,如果员工没有锁电脑,我们就会给他们发“红牌”,让人们知道他们的行为。在认证过程中,以及认证之后,必须指定一名内部领军人物来维护标准并激励这些安全工作——而且员工知道在发生安全问题时要向他发出警报。
按照这些步骤将有助于你作为一个CTO包租信息安全的水域。他们也将确保你不管你是在确保达标认证的过程中,在贵公司实现对安全威胁的全面保障。