注意安全缺口:企业安全管理的基本指南

企业安全包括保护企业的物理和数字财产所需的策略、流程和基础设施。

企业安全管理(ESM)是一个系统和集成的过程，通过策略和资产和安全工具的明智配置来解决对未授权访问的关注。ESM考虑所有可能阻碍或损害组织基本和关键功能的风险。作为一项整体工作，企业安全管理在整个组织中应用安全策略，包括多个平台、基础设施和所有安全点产品、设备、应用程序和业务流程。ob欧宝娱乐app手机下载企业安全还包括法规遵从性，并应用法规遵从性框架作为指导。

企业安全不仅包括在现场存储和操作的资产和数据，还包括驻留或通过分布式设备、私人员工设备和云的事务和信息。它不仅涉及物理和信息安全，还涉及内部和外部威胁，以及员工造成的有意和无意的问题。

企业安全管理工作由企业领导团队领导，包括(但不限于)CIO、CISO和CSO，他们鼓励具有安全意识的文化。他们还把促进安全作为一项战略努力。

企业安全管理可以看作是企业安全管理的一种表现企业安全治理。企业安全治理就像确定战略计划的路线图，以满足法规和其他需求、控制风险以及适当地管理人力和财务资源。欧宝体育app官方888治理要求管理层赞助工作，以确保任务和愿景与业务目标和遵从性义务保持一致。

一些公认的企业安全治理框架包括:

• COBIT(信息及相关技术的控制目标):调整技术和业务需求的最佳实践。
• ITIL(以前称为信息技术基础设施库):一组用于使IT服务与业务需求保持一致的最佳实践。
• ISO 27001(国际标准化组织):包括信息安全管理的要求。
• NIST(美国国家标准与技术研究所):NIST为网络安全提供了至少一个框架。
• HIPAA(健康保险流通与责任法案):保护个人隐私及其健康记录的联邦法律。
• PCI DSS(支付卡行业数据安全标准):业界创建的一套最佳实践，用于在借记卡、信用卡和其他电子交易期间保护个人信息。
• 袜萨班斯-奥克斯利法案:管理公司财务报告的联邦法律。
• FISMA(联邦信息安全管理法):保护政府信息免受自然或人为威胁的框架。
• GLBA(格雷姆-里奇-比利利法案):一项限制金融机构如何管理个人私人信息的联邦法律。

有关更多信息，请参阅我们的文章理解IT遵从性。

如果企业安全管理为制定安全计划提供了组织结构和文化，企业安全风险管理是识别风险和威胁，确定如何减轻它们，并记录政策和最佳实践的过程，以主动和被动地应对未来发生的事件。

ESRM的组成
您可以像对待一个有自己愿景、使命和目标的项目一样对待ESRM。愿景是保护整个组织的资产，以便它能够执行其更大的业务愿景和使命。任务持续地识别、分析和响应业务风险。目标创建、维护和促进策略和最佳实践，以保护组织免受安全风险。

如何实施企业安全风险管理

尽管ESRM的具体应用可能有所不同，但以下是被普遍接受的风险管理步骤:

• 组织范围内的调查资产:要了解什么处于风险之中，您必须知道您拥有哪些资产、关键基础设施和资源，以及它们为什么重要。欧宝体育app官方888
• 威胁建模和评估及风险评估:诚实地审视一下企业当前的安全状况。你的弱点是什么?每种资产的风险是什么?你的竞争对手是谁?还有谁会妨碍你的生意呢?需要考虑的一些基本风险包括对SSL和授权检查的需求，以及针对SQL注入的措施。
• 制定风险缓解计划:与涉众协调，确定如何管理风险和确定安全目标。选项包括停止有风险的活动、计划安全事件的缓解，或者只是接受风险。
• 创建企业安全策略:创建公司安全策略是必要的，并且必须涵盖组织的所有方面和资产。
• 追求持续改善:企业安全工作可以作为一个独立的项目开始，但需要持续的考虑。负责安全的人员必须及时了解组织内外的威胁和趋势。安全事件需要适当的根本原因分析——这应该包括直接负责安全的团队成员以外的成员。事件为重新评估风险和应对措施提供了明显的机会，无论事件是否发生，都应定期审查威胁分析和应对计划。

安全策略
毫无疑问，您的安全策略必须适用于整个组织。保单的部分内容可能包括以下内容:

• 网络接入指南:谁被允许进入网络?哪些部分受到限制?使用有时间限制吗?
• 密码指南:强密码由什么组成(例如:长度和复杂度)?多久换一次?
• 网络的使用:什么是可以接受和不可接受的网络使用?
• 移动设备策略:网络上可以使用哪些设备，它们可以访问哪些数据或程序?
• 物理控制策略:你们控制进入服务器机房的权限吗?您是否将备份存储在安全的位置?保护物理访问的策略是什么?
• 政策执行:如果违反政策，后果是什么?

您的策略可能包括检查表和报告模板，例如找到的信息安全事件报告模板在这里。

15年前，你可能会认为，一台调制解调器关机、办公室前门上锁的电脑就足以保护你的网络和数据了。现在情况已经不同了。相反，今天的安全必须是战略性的、系统性的和可重复的。以下是组织破坏自身安全性的常见方法。

• 将安全视为独立的实践。企业安全不能孤立无援。它必须整合到组织的核心竞争力中，并让每个团队成员都参与进来。
• 由于担心打乱工作流程而未能打补丁和升级。及时升级和打补丁是保护网络最简单、最有效的方法之一。补丁应该获得更高的操作优先级。
• 不受限制的BYOD(自带设备)。
  

  就像Rhino的Benjamin Caudill安全实验室他说:“虽然BYOD可以是一种经济有效的方式，让用户使用他们更舒适、更熟悉的设备，但管理这些设备的政策和技术控制至关重要。如果不加以检查，它们可能会导致敏感数据的丢失，例如源代码或客户信息。”

• 对安全的随意态度。把备份设备放在文件柜或小隔间里不加保护，在无人看管的情况下，没有屏幕保护程序密码来保护笔记本电脑和台式机。
• 假设端点安全性和被动扫描足够。web应用程序的流行使得几乎每个站点都容易受到跨站点请求伪造、跨站点XSS脚本等攻击。站点需要健壮的安全性，例如OWASP技术。网络必须积极主动，不断监测威胁并了解新的风险。
• 在软件部署阶段进行测试，但在系统上线后不进行持续测试。镜像，即数据库的两个副本位于不同的计算机上，用于测试，并且不会中断工作或客户访问。
• 将安全性视为一次性项目。漏洞分析和威胁监控必须保持不变。现在的安全既要主动，也要被动。
• 没有为客人和wifi设置单独的网络。独立的网络可以帮助隔离恶意软件，保护敏感数据免受未经授权的访问。

企业信息安全涵盖了CIA:信息的机密性、完整性和可访问性。但它也涵盖了合规。出于信息安全管理的目的，信息可以存在于结构化源(如数据库)或非结构化源(如Word文档、图像和pdf)中。企业信息安全的实践包括理解谁应该有权访问哪些信息。企业信息安全现在依赖身份和访问管理保护数据的技术。

安全体系结构描述了与系统体系结构的其余部分相关的实现安全基础结构的总体设计。这些控制是为了维护系统内的机密性、完整性和可用性(这些被称为质量属性)。强大的安全主体可能包括单独的安全域，或使用信任级别和分层网络，并包括确保在安全事件发生后业务功能的弹性的方法。该体系结构还应基于公认的行业最佳实践和监管框架。

个人电脑革命将办公工作站的力量带入了家庭。但现在，员工希望将自己的工具和设备集成到工作场所。除了笔记本电脑，设备还包括平板电脑和手机。这为将恶意软件引入网络或丢失数据创造了无数的可能性。

“对于那些较大的组织来说，移动设备管理(MDM)工具可以有效地管理各种移动设备，并确保基本的安全卫生(例如全磁盘加密)得到实施，”Caudill说。

移动设备管理(Mobile Device Management, MDM)程序将企业内容包含在加密空间中，与用户的私有内容分开。有些程序还可以防止电子邮件和附加文档中的内容被复制到用户的桌面或转发到组织域之外。mdm通常还提供可以过滤url的安全浏览器。其他功能包括VPN(虚拟专用网)和其他连接的日志记录。

两个功能强大但可能存在争议的MDM服务包括地理位置和地理围墙。通过地理定位，可以跟踪丢失和丢失的设备，使您能够恢复昂贵的资产和敏感数据。然而，地理定位的一个副作用是跟踪员工。例如，公司可以看到设备和携带它的员工是否访问了竞争对手的网站。类似地，如果设备被带入设施的限制区域，地理围栏可以发出警报。

MDM程序使用服务器和客户机元素，它们可能由您当前的第三方供应商或其他供应商提供。IT管理员从一个集中的控制台管理所有设备用户，这提供了移动使用的可见性和更高的安全性。

今天的安全性必须是端到端的，并且在组织中无处不在。但是，IT或安全团队如何在执行操作职责的同时管理这一切呢?越来越多的组织将需要一个企业安全管理平台。功能通常由软件代理控制，软件代理通过位于服务器上的中央安全服务进行扫描和管理。ESM组件通常侧重于用户管理和漏洞评估，并包括以下职责:

• 管理跨程序和平台的安全性。
• 执行密码和单点登录策略。
• 管理增加和删除临时和终止员工。
• 提醒组织注意威胁和违规行为。
• 在业务流程和遵从性需求之间架起桥梁。
• 提供安全报告功能。

托管安全服务提供商(MSSP)的好处
无论您的IT团队多么先进和强大，ESM软件都可能难以配置，更不用说管理了。您可能会发现将网络安全委托给托管安全服务提供商是有利的。确保任何平台的产品都符合您组织的用例，并寻找这些功能:

• 24/7监控和管理。
• 及时发现威胁和漏洞。
• 防止恶意软件，包括特洛伊木马、广告软件、间谍软件、垃圾邮件、网络钓鱼和病毒。
• 能够识别和访问管理解决方案。
• 管理防火墙和VPN解决方案以及端点安全解决方案。
• 电子邮件安全管理和web安全管理。

SIEM是安全信息和事件管理的缩写。SIEM软件提供基于控制台的网络、访问、端点和漏洞视图，并提供实时监视和威胁事件缓解。SIEM系统搜索日志或信息，以创建关于网络、用户和应用程序行为的报告，并将这些报告用于分析目的，以检测安全事件和遵从性审计。SIEM系统可以包括或与其他安全支持方法一起工作，包括:

• 日志管理，提供对系统访问和事件的洞察
• 异常检测
• 事件取证
• 配置管理，以确保可靠的、可重复的构建实践，并保留如何以及何时添加组件的历史记录
• 漏洞管理，定期识别和修复系统漏洞
• 网络流分析
• 威胁检测和从网络、服务器、用户和应用程序进行监控的能力
• 从数十亿个数据点中检测高风险行为
• 实时或接近实时的行为分析

SIEM平台可以在本地实现，并由企业自己的IT安全团队管理，也可以作为托管安全服务提供商(MSSP)购买，MSSP还提供专门的人员来监视、更新和维护服务。

与任何软件投资一样，选择安全管理套件不应该匆忙完成。花点时间定义您的用例，并在购买之前考虑以下因素:

• 您是否具备必要的知识和人员来定制仪表板、连接到适当的日志，并在网络更改时更新配置?没有任何平台可以执行您希望打包的所有定制。
• 确定您的潜在安全套件是否可以查看要监视的日志中的事件。在软件中，不能保证标准格式。
• 确保您的许可选择足够健壮，可以覆盖所有设备和所有潜在事件。您不希望程序在达到限制后突然停止记录。
• 验证是否能够跨网络、跨设备搜索，并根据需要配置分析规则。用于扫描异常和策略违反的关联引擎可能非常敏感。
• 考虑产品的可用性。ob欧宝娱乐app手机下载如果您不能轻松地创建报告，那么您在安全事件中的补救时间可能会受到限制。
• 询问支持计划- 24/7电话支持通常是标准的，但有些计划也可能提供年度现场访问。

存在许多术语来描述企业安全管理的各个方面。企业安全可以有一个体系结构，基于一个公认的框架，或者关注风险和补救，并通过安全平台实现自动化。为了更深入地了解资讯保安，资讯科技专业人士和其他人士可以考虑一个全球信息保障认证或GIAC认证。但重要的是，现代组织必须将安全性视为适用于每个数据源、每个设备和每个团队成员的东西。这是当今加强企业安全的唯一途径网络安全景观。

通过设计一个灵活的平台来满足你的团队的需求，并随着需求的变化而适应，从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并通过汇总报告、仪表板和自动工作流实时了解工作情况，以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时，就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确，但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此，您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的，哪些信息是实现其目标所必需的。