有限的网络可视性等于有限的控制,而这又增加了信息安全风险,企业面对的网络安全的挑战也会随之增加。网络可视性较差的大部分原因在于企业网络的复杂性。企业环境中的系统、应用、供应商、流程和人员以及企业遇到的安全困难数量之间有着直接的可量化的关系。
随着时间的推移,企业IT和安全专家都不得不看到越来越多的“东西”堆积在已经非常庞大的系统之上,就像不断堆积在你收件箱中的邮件。这个问题部分在于缺乏资源,还有的则是没有意识到这个问题。这很可能导致你你无法发现网络中的安全问题,并最终导致数据泄漏事故的发生。例如网络中的所有移动设备或每天使用的云计算应用。很多事情在你眼皮底下发生,而你没有丝毫察觉。如果你不知道什么东西在什么地方,你就不可能保护你的网络。
如何了解和保护你的网络
为了正确地保护企业网络及其信息资产,我们必须比对手更好地了解网络。在本文中,我们将介绍三个重要的步骤来帮助你确定、评估和保护企业网络。
一、了解什么信息在什么位置以及它目前的风险情况
很多企业还没有执行深入的安全审查,还有些企业则没有审查正确的位置。如果你不能明确信息的位置,你就不能说一切都在控制之中。对此,你可以从盘查你的网络系统开始。到目前为止,我从来没见过也没听说过“当前系统库存”这个东西,即使是在最小的环境。最后你需要分析你的敏感信息的位置。你可能已经有信息分类系统,这是一个良好的开端,但你必须更深入地挖掘。例如查看移动设备、打开网络共享和云应用。人们很容易认为这些领域没有任何价值,高管也一直这么认为,但当你获得更多网络透明度后,你会惊讶地发现有多少信息不在你控制之内。
二、了解你的工具
很多时候,我们有我们需要的所有信息,我们只是不是很了解我们的工具或者让它们共同运行来处理重要的事情,以让我们可以充分了解在特定时间网络中所发生的事情。我们甚至没有很好地了解基本技术,例如防火墙和日志记录系统。即使这不是你的日常工作的一部分,你也应该更好地了解漏洞系统软件、数据丢失防御工具、日志管理或安全信息和事件管理系统等。无论你是实际操作的技术人员还是高层管理人员,你和你的同事了解更多的信息和事件,你将获得更好的监管水平和问责制,这将最终有助于帮助降低你的信息风险水平。
三、根据风险水平确定优先次序
虽然看似枯燥和不重要,但时间管理对你能够实现的信息安全水平有着巨大的影响。你需要了解什么工作对业务有着重要作用。每个营利性企业的核心目标是获得并留住客户,而政府机构和非营利组织则需要在特定的预算内完成其工作。你的IT工作如何能够守住这个底线?你需要能够寻找一种方法来分配业务价值到不同的信息资产,然后与IT之外的人沟通现有的风险水平。你认为应该使用什么解决方案?有没有方法来简化你环境中的所有移动部件。
我看到IT和安全专业人员让网络复杂性不断提高,虽然这可以为他们提供很好的就业保障,但并不利于企业的安全状态。同样地,我看到管理层拒绝资助信息风险评估,因为他们知道,在风险被记录后,它们必须得到解决。你的企业不能容许这些政策复杂性。
现在,企业网络比以往任何时候都更大和更复杂,但这不能成为借口。你需要了解你所有的东西以及你环境中正在发生什么情况。最终,你必须这样做来尽量减少对你最重要的业务的影响。调整你的策略,了解你的网络,专注于你的工作,积极地管理任务,并准备好做出回应。这是所有这一切的诀窍。