每个CIO都必须能够回答的十个安全问题

任何行业的首席信息官都需要了解的最重要的事情是IT安全Logicalis我们是一家国际IT解决方案和管理服务提供商，尽管有炒作、恐惧和可用解决方案的复杂性，但保护数字资产的根本是管理风险。

Logicalis美国安全解决方案副总裁Ron Temske说:“对于It专业人士来说，认真对待他们的It安全风险是很重要的。“首先要确定的是你想要保护什么，以及是否所有的数字资产都需要同样的保护水平。大多数组织都不这么想;他们认为安全是一种单一的、全面的、无处不在的解决方案。人们通常认为，如果他们有防火墙和防病毒，他们是安全的。其他人则认为没有人针对他们。这两种情况都与事实相去甚远。如果你只有传统的杀毒软件和防火墙，你不妨把你的信息泄露出去——你可能正在这么做。一旦威胁越过防火墙，你就失去了对威胁的可视性和控制，这就像员工无意中将感染了恶意代码的USB插入他们的台式机或笔记本电脑一样。你最大的未修补安全漏洞就是你的员工。 And even if your organization isn't high profile, your unsecured IT can become a back door for cybercriminals trying to break into your partners' or clients' systems. The solution is to develop and implement a comprehensive security program that spans the entire attack continuum—before, during, and after an attack."

这就是为什么，Logicalis的专家说，知道你在试图保护什么是至关重要的。安全专业人员常用的首字母缩略词是CIA，它代表机密性、完整性和可用性。

• 机密性主要与保护资产有关，如果这些资产被泄露会对客户造成伤害——想想医院环境中的病人记录或大型零售网站上的信用卡号码。
• 完整性是指确保数据保持准确，患者处方信息就是一个很好的例子。
• 可用性是指确保在需要时可以访问关键业务资产——考虑到医务人员了解患者过敏的重要性。

为了制定一个符合中情局目标的计划，Logicalis建议各组织接受两个重要的事实:首先，由于网络犯罪已被证明是一项高利润的冒险，每个人都有犯罪分子想要的有价值的信息。第二，最终，每个企业都会经历某种程度的破坏。在设计和实现安全解决方案以减轻这些风险之前，Logicalis建议组织与在安全措施方面经验丰富的解决方案提供商合作，这些解决方案提供商可以执行漏洞评估，以确定可以减少组织攻击面的区域。该公司表示，也有帮助的是，正在研究服务，如Logicalis的管理安全产品，可以帮助IT专业人士专注于他们的业务，而不是被不同程度的网络威胁和相关的安全态势变化分心。

logicalis US的IT安全专家杰森•马拉科(Jason Malacko)表示:“企业常常因为担心价格而推迟创建全面的安全解决方案，但其实没有必要。”“确实没有什么灵丹妙药。安全是一个过程，而不是一个产品。那些想要找到“一件事”来保护整个组织的人是找不到的，因为它不存在。这是因为，随着移动性和物联网的发展，不再需要保护单一的边界。安全比这更复杂，作为安全专家，我们的工作就是在帮助客户尽可能全面地保护他们的数字资产的同时，消除这种复杂性。但这并不意味着人们必须耗尽他们的预算;关键是将解决方案与客户的实际业务需求(而不是感知到的业务需求)相匹配。没有人应该买一个1000美元的保险箱来保护一张100美元的钞票。”

网络犯罪是一种阴险的行为;它发生在显而易见的地方，避免被发现，并迅速造成损害。甚至还有网络犯罪即服务(cybercrime-as-a-service)提供给那些缺乏技术知识的罪犯，让他们能够获得总计数千万美元的大奖。那么，您如何准备您的组织来克服最终的攻击呢?根据Logicalis，解决方案从回答10个重要问题开始:

1. 如果你知道你的公司明天就会被入侵，你今天会采取什么不同的做法?
2. 你的公司曾经被入侵过吗?你怎么知道的?
3. 我要保护哪些资产?我要保护它们不受哪些威胁(例如，盗窃、破坏、妥协)?我要保护它们不受哪些人的威胁(例如，网络罪犯或内部人士)?
4. 如果违规，我们将承受什么样的损失(即经济损失、声誉、监管罚款、竞争优势丧失)?
5. 您是否已经超越了“内部vs外部”的基于边界的信息安全方法?
6. 您的IT安全实现是否与您以业务为中心的安全策略相匹配?它依赖于书面政策、技术控制，还是两者兼而有之?
7. 你的物联网(也被称为“威胁互联网”)安全策略是什么?
8. 对于“任何地点、任何时间、任何设备”的移动性，你们的安全策略是什么?
9. 您是否有适当的事件响应计划?
10. 你的补救程序是什么?您能恢复丢失的数据并防止类似的攻击再次发生吗?

来源:Logicalis US