运行IT部门的日常工作有时可能会消耗,通常使信息安全性比保持照明并交付业务价值要低。即使在设立安全计划的组织中,许多次管理员在系统被破坏之前都不知道安全缺陷。
根据国家财务主管办公室佐治亚州的比尔·怀亚特(Bill Wyatt),CIO和CISO的说法,对于组织而言,重要的是要积极主动地进行IT安全性,不仅是反应性的。他的组织使用成熟模型来实现这一目标 - 评估他们的准备并进行预防性改进。
怀亚特(Wyatt)的团队已经接受了美国国家标准技术研究所(NIST)800系列,以便满足《联邦信息安全管理法》(FISMA)的要求。
怀亚特说:“ NIST 800系列是我们确定安全控制的平台。”“首先要拥有一个框架,并知道成功的路线图是什么样的。”
根据怀亚特(Wyatt)的说法,NIST概述了达到FISMA合规性的9个步骤。
对您需要保护的数据和信息进行分类
为保护该信息所需的最低控制开发基线
进行风险评估以完善基线控制
在书面安全计划中记录您的基线控制
向您的信息系统推出安全控制
实施后,监视性能以衡量安全控制的功效
根据您对安全控制的评估确定代理级别的风险
授权信息系统处理
不断监视您的安全控制
除了遵守标准的800系列步骤以建立和优化您的安全框架外,怀亚特还接受NIST特别出版物800-53,该出版物是为了增强政府信息系统的安全性,涵盖移动和云计算,内部威胁,应用程序,应用程序安全和供应链安全。
他说:“当您流过低,中等或高的800-53型号时,您的目标是继续加强企业内的控制措施。”
“一旦建立了足够的控制,就全部是关于改变的监控,并确保有更改管理机制。”
积极主动意味着有效监视
对于怀亚特(Wyatt),积极主动是监视网络和最终设备活动,因此管理员可以在发生安全事件(例如违规)之前意识到潜在的威胁。
“能够有效地监视您的技术生态系统,尤其是减轻所有误报,这是确保您所看到的是真正需要注意的东西的重要组成部分。我想拥有更高的信心,因为大多数爆发的事件都是真正需要回应的事情,”他说。
随着环境中的模型的行动,任何IT安全成熟度计划的功效随着时间的推移会随着时间的推移而提高。根据怀亚特的说法,这导致解决常见的低悬挂果活动,例如进行主动的安全扫描和指纹的正常行为外观。
“不幸的是,似乎需要数年的计划才能成熟,而不是您的员工无能力,而是主要是由于缺乏资源,优先事项和整体领导力承诺。”
