警惕和事物的企业

大多数企业在环境中允许在其环境中,不同程度的监督。通常,这些是平板电脑和智能手机,但是在企业中带来的其他物品网站的数量正在上升。我喜欢将此称为事物的企业。

我携手合作的许多组织刚刚开始努力解决这一转变的影响,我认为需要考虑一些方面,因为我们处理这种新现实。以下是一些要考虑的项目的快速损失。

你站在哪里?
首先,决定您的企业立场关于非托管设备:是否允许您的环境中允许?答案可能取决于设备的类型,因为您可以允许智能手机和平板电脑,但例如排除笔记本电脑。您还应该预测智能灯泡,无线高保真音乐系统等的东西。

对于允许的设备,您对使用方式的期望是什么;需要哪些或INFOSEC参与或批准;以及如何检测“rogue”设备如果它们显示在您的网络上?政策描述了您的期望,因此请确保您对您所期望的内容很清楚。

您是否清楚地传达您的期望?
接下来,请查看您的政策和实践。它’真的,您有关于如何涉及Uncanage的设备将参与环境的预期,但您的政策是否支持您所需的结果?如果没有,请更新您的策略以反映您的组织’在这个问题上的立场–否则你的用户赢了’T有一个你的期望,每个人都会受挫。

要创建问责制环境,请确保有机制来判断有人是否违反了您的政策。如果可以的话’t识别并包含策略违规,您需要在您的环境中实现其他控件,或删除策略的那个部分,直到您可以检测到违规行为。毕竟,如果你不’T有手段来强制执行违规行为,这只是一个希望,而不是政策。

您的用户是否了解您的政策?
一旦政策清楚地记录了,你知道你是如何的’LL强制执行它们,与您的用户社区的通信至关重要。我曾经与一个巨大的公司的CISO合作,他让我审查了他的安全政策,以确保他们足够了。他递给我几个大粘合剂,我问他,“您有多少用户了解这些策略?”

在他的案子中,唯一知道的人是他的系统管理员,他的安全团队和他的直接员工。该公司的其余部分没有’T对这些政策存在任何想法。我延期了审查他的政策直到他’D将它们传达给公司(大约一年后);我的断言:如果没有人知道它的政策’真的很重要,粘合剂中的策略是否有任何好处。

顺便说一下,我发现组织更有效,不仅传达政策细节,而且还要记录政策的目标以及“thou shalt”语。换句话说,解释一下“why”以及每个政策的预期结果。在这些情况下,即使他们不,你通常可以让用户买入目标’喜欢你的内容’重申他们要做。事实上,我与之合作的组织之一能够通过从其用户社区提出建议来大大提高合规性。了解规则目标的许多创意用户能够以较低的摩擦方式实现目标。

持续情境评估
现在你’ve决定了你想要的东西,有政策和控制,以确保您的期望得到满足,人们知道什么’他们的工作才刚刚开始。事物企业的威胁景观不断变化,因此需要保持不变的警惕。这意味着建立一种策略,可以持续发现和对其的认识’在你的网络上,所以你不’在没有实现它的情况下,T突然变得脆弱。

这一策略的一个关键部分是超越发现积极分析,探测和风险评分,在我们的网络上显示出来的设备,无论它们是否直接(插入您的网络或直接连接到您的无线接入点),或间接(您员工的一部分’ or partners’网络和通过远程连接使用核心网络混合)。我描述了这一点“测量你的攻击表面’因此,您可以客观地确定风险和曝光随着时间的推移如何变化,并且应该尽可能多地自动化。

在这些系统上的可定位系统或已知漏洞中的显着增加可能会导致攻击表面中的尖峰,这不仅应该被注意,而且应该触发安全团队内的比例响应。毕竟你所知道的越多,你的装备越好就是做一些关于这种情况的事情。

业务环境可以胜过技术背景
许多组织主要依赖于技术背景,如CVSS分数,补丁级别等,以驱动他们的行动。这可以工作,但如果您还将业务环境集成到您的评估标准中,我发现它更有效。业务环境包括位置,商业目的,无论是资产房屋还是处理敏感信息,无论是特定的SLA所在的’S或监管要求等。

整合业务和技术背景允许您制定原因,有关如何响应攻击曲面的变化的理由,以商业为导向的决定。例如,中等严重性安全曝光对订单处理所涉及的高度关键服务器的潜在业务影响对于在内部媒体服务器上的高度严重性安全问题中解析,更重要。如果你完全依赖于技术背景,你’重复您的企业任何兴趣,您可能不会申请贵重资源’ll获得最大的回报。

事情的企业从不睡觉
I’只能在这里刮伤表面,但要记住的关键是我们现在生活在一个世界“things” we don’控制可以突然威胁到资产和数据’重新负责保护。开发一种自动化的可扩展策略,允许您快速识别潜在的安全威胁,根据业务风险优先考虑它们,并根据您所看到的,在保护您在事物企业中对您的业务至关重要。

分享这个