黑客在門-安全博覽會

　　在幾乎所有電氣或機械設備都可以連接到互聯網的世界中，如果遠程攻擊者獲得訪問權限，物理安全部署可能會受到損害甚至完全無用。

　　當為保護這些資產而部署的InfoSec（信息安全）防御級別不足或配置不當時，可能會發(fā)生這種情況。如果對手認為信息非常有價值以至于證明入侵是合理的，那么這些系統(tǒng)就會無所畏懼。鑒于存在大量自動黑客工具，這些不法分子所享有的匿名性以及相對較低的起訴風險，如果您的組織未能恰當地解決信息安全風險，則違規(guī)的可能性很高。

　　成功保護您的InfoSec資產依賴于接受，就像物理安全一樣，InfoSec無法保證。相反，信息安全的目標是使一個潛在的入侵者難以闖入一個系統(tǒng)，以至于它根本不值得他們付出努力而且他們會在其他地方嘗試。

　　聯邦政府的強制違反披露法律將生效的22 次由于不良的信息安全部署中發(fā)生的二月2018年違反將承擔聯邦政府私隱專員的憤怒，誰都會認為寬松的信息安全控制是一個貧窮在確定對有罪組織的懲罰性賠償時的借口。組織應評估與網絡攻擊相關的聲譽和業(yè)務風險，并制定適當的風險處理計劃以降低此風險

　　在考慮從哪里開始設計InfoSec方法時，首先要規(guī)劃您的策略。重點應放在：

　　確定客戶的期望水平

　　獲得客戶高層領導的支持

　　從風險和合規(guī)性的角度，教育您的客戶了解為什么適當的信息安全狀況符合他們的利益。

　　確定建立，維護和監(jiān)督控制的責任。

　　設計適當的InfoSec控件，以保護客戶端的環(huán)境，包括技術控制，管理控制，當然還有物理控件。

　　確保更新任何災難恢復或業(yè)務連續(xù)性計劃以適應與InfoSec相關的中斷事件。

　　安排InfoSec系統(tǒng)的合規(guī)性檢查和審核，以確保系統(tǒng)以所需級別運行。

　　接受這樣一種觀念，即如果違規(guī)將發(fā)生，但是當違規(guī)行為發(fā)生時，確保計劃，排練和評估此類事件的意外事件。

　　接受信息安全并非一刀切，也不會讓人忘記。

　　記錄您的計劃，程序和政策，并使相關人員能夠輕松訪問這些計劃，程序和政策。

　　一旦制定了信息安全戰(zhàn)略，就需要實施。需要解決一些關鍵領域，以實現明確戰(zhàn)略的目標：

　　部署技術控制以保護您的網絡，設備和電子基礎設施。在物理安全領域內，從軟件角度“強化”所有物聯網設備和網絡至關重要。除此之外，確保僅在授權人員的情況下，對物理和邏輯上的這些設備的訪問權限。

　　確保軟件，固件和應用程序保持新穎。確保計劃并實施所有設備的補丁管理（包括攝像機，網絡交換機，路由器和基于IP的設備），并盡快部署應用程序/操作系統(tǒng)更新。

　　保護組織可能正在使用的任何基于云的服務。

　　擁有完整且經過驗證的數據備份，并確保定期進行災難恢復測試，以確保備份數據的完整性，可訪問性以及備份系統(tǒng)中任何服務恢復符合組織的停機時間限制

　　確保您的戰(zhàn)略能夠滿足用戶的教育和意識。例如，意外數據丟失可能來自用戶選擇弱或容易猜到的密碼或用戶無意中向錯誤的收件人發(fā)送電子郵件。

　　利用具有適當資格的托管信息安全提供商的服務，該提供商可以提供組織技能，以及提供絕佳InfoSec保護所需的經驗。

　　讓法律顧問參與您的戰(zhàn)略，無論是內部法律顧問還是專門從事信息安全法的外部公司。

　　將任何剩余風險轉移到適當的網絡違規(guī)保險政策，以確保在發(fā)生違規(guī)行為時可以避免與事件響應相關的費用。

　　承諾由經過認證的專業(yè)外部提供商定期進行InfoSec評估，審核和審核。

　　部署良好的信息安全控制將需要付出努力并專注于實現，并需要不斷保持警惕。但是，在正確規(guī)劃，執(zhí)行和維護時，這些控制對于組織的彈性是必不可少的，對于任何基于電子的和連接的物理安全部署的長期成功至關重要。

　　凡本網注明“來源：盈拓國際展覽導航”的所有作品，版權均屬于盈拓國際展覽導航，轉載請注明。

　　凡注明為其它來源的信息，均轉載自其它媒體，轉載目的在于傳遞更多信息，并不代表盈拓國際展覽導航贊同其觀點及對其真實性負責。