信息相关的风险,威胁和合规性

和若干执行咨询委员会。他是一个SANS教师研究员和课程作者。

在这次采访中,他讨论了管理信息相关风险,威胁演变,合规性,安全意识以及他的桑斯“安全必需品Bootcamp风格” training course he’在2012年11月下旬在Sans伦敦托管。

威胁在Abstneck节奏和地下在看似无穷无尽的预算上工作,在寻求保护其组织时,安全专业人员面临的最大挑战是什么?他们应该特别是在寻找什么?

最大的挑战组织面临的挑战正常优先考虑他们应该努力并保持专注的东西。今天的组织正在做好事物,这将有助于保护他们的组织长期保护,但他们并没有做出适当的事情,以防止目前的威胁。关注风险是组织如何获胜。在他们花费一美元的预算之前或他们应该总是问三个问题:

  • 风险是多少?
  • 它是最优先的风险吗?
  • 它是降低风险的最具成本效益的方式吗?

组织应在寻找可能影响其最关键资产的高可能性和高影响力的威胁。

整体安全架构中的安全意识是多么重要?
安全意识非常重要,因为它有助于对齐和重塑用户行为。为了安全意识,成为有效的组织必须在Triad的政策培训意识中保持一致。政策告诉人们该做什么,培训为他们提供了这样做的技能和意识改变了他们的行为。

超越漫画和海报组织需要将指标绑定到每个政策声明。意识会应关注在合规性方面获得最低分数的政策。如果正确完成了意识,组织应了解符合政策的可衡量的改进。

一些倡导合规性,而其他人则为许多对当今不安全感产生影响的许多问题’S组织。什么’你的遵守方面的良好和糟糕的方面?
合规性非常擅长让高管注意并获得适当的资金。但重要的是要记住,通过执行所需的最小金额盲目地试图满足合规性,不一定会导致安全性。但是,如果合规是粘贴要获得适当的焦点,则适当的安全性可能会导致合规性。对于工作有效的合规可以是销售俯仰和目标,但基于风险的安全性需要是焦点,以便组织获得所需的结果。

凭借目前的经济衰退和萎缩预算,管理企业信息相关风险最具挑战性的方面是什么?是否有任何角落从业者可以削减?
较少的资源组织需要更少的人做得更多。最大的挑战正在努力实现太多,而不是正确地专注于最高风险物品。为了在这些挑战时间内取得成功,组织必须确保每个人都在同一页面上至关重要。

安全性应该有一个单一的图表,每个人都同意这一点,以确定关键资产(基于业务流程),威胁(基于可能性),漏洞(基于影响)和整体风险。如果组织中的每个人都集中在一起并与相同的项目对齐,这将允许在整个组织中定义常见的指标。

每个人都可以专注于各自的区域 - 安全可以定义指标,它可以实现指标,审计员可以衡量指标,高管可以了解度量。通过自动化削减角落和更少做更多的方法。现在计算机可以自动执行重复的连续监控,这将使有限公司的工作人员专注于分析。

你的SANS培训课程是什么样的?与会者可以获得什么技能?

SANS SEC401将学生乘坐旅程,展示网络安全的所有领域如何合适。以下是与会者可以获得的一些技能:

1)了解设计安全网络架构的原则。
2)解码和分析跨网络的数据包。
3)在整个组织整合安全性,包括有效的政策,访问控制和事件响应。
4)了解犯罪如何运作以建立更好的防御措施。
5)映射防御解决方案,以防止风险为组织部署正确的安全解决方案。
6)部署提供机密性,完整性,身份验证和不可否认的加密解决方案。
7)构建,分析和安全窗口和UNIX操作系统,可以防御APT。

分享这个