企业家的奥秘: 关于创业的5个常见误区 两名妇女开办学校教人们如何成人 如何在9比5的工作中启动您的创业公司 4种方法来决定你是否应该追求你的创业理念 引导最聪明的方式 在与投资者建立联系之前,您必须做的10件事 热情的企业家即使在袜子行业也能找到成功 2021年中小企业数字化赋能系列活动数字赋能融合发展论坛成功召开 6辞职成为企业家的强大好处 研究: 企业选择自由职业者来逃避医疗费用 您是否有能力使您的承包业务取得成功? 停止抱怨,开始胡搞 在前100天获得动力。否则。 你有专业知识让你的承包业务取得成功吗? 鲨鱼坦克的戴蒙德·约翰 (Daymond John) 说,您必须做的3件事可以帮助您的初创公司生存 两小时销售1817万!江西“百县百日”文旅消费季 直播带货大赛正式拉开帷幕 您的公司在启动时可以做的4件事 在您的业务启动前几个月建立炒作的7种方法 你讨厌的朝九晚五的工作并不像你想象的那么安全 购物特许经营时首先要寻找什么 这家公司如何在赚钱的同时有所作为 建立6位数咨询的5个步骤 教练是完美的个人业务的8个原因 党日活动--观看抗美援朝电影《长津湖》 在线课程可能没有您希望的那么有价值 为什么逆戟鲸岛出租车从一个小岛上获得大笔生意 美国各地的社区都在利用企业家精神来推动增长 这是一项6位数的服务业务,您可以以低于100美元的价格开始 企业家应该总是涉足副业。这就是原因。 研究商机时要考虑什么 在为公司聘请公司法律顾问之前,您需要的4个答案 大便! 一个创业故事被释放了。 从员工到所有者转变思维的8种方法 3种类型的体验将帮助你的创业成功 你需要知道的关于打入视频游戏行业的一切 破解App Store代码的5种方法 想成为一名成功的企业家吗?做你知道的。 从他的公寓里打乱一个沉睡的巨人 利基微型公司将如何统治商业世界 帮助您的公司避免顶级创业杀手的4种策略 您的商业贷款被拒绝的8个原因 我从指导世界上最好的加速器的初创公司中学到的东西 如何将你的爱好变成有利可图的商业冒险 最大的公司名称更改 (信息图) 如何找到您的电子商务业务利基 初创公司可以从数字化转型中学到的5件事 战时企业家的生活故事 如何确定您的医疗索赔计费服务的最佳市场 大多数初创公司都知道不会犯的明显错误 (但无论如何还是会犯) 如何找到你有利可图的想法
您的位置:首页 >热点 >

在您的公司中建立面向安全的文化的四个步骤(第2部分,共2部分)

2021-03-01 13:20:18 来源:

既然您已掌握了噩梦般的场景,并且了解了在整个投资公司中树立安全文化的重要性,那么以下四个步骤将指导您逐步建立这种文化。

1.建立计算机事件响应团队

首先创建一个“计算机事件响应团队”,该团队将监督您的信息安全策略。尽管IT专业人员负责监督和维护您的计算基础结构,但是您还需要业务用户在您的安全计划中扮演中心角色。毕竟,他们是使用这些资源的人,并且可以代表最大的漏洞和风险。尽管团队的职责可能有所不同,但许多CIRT都活跃在几个关键领域:

制定计划–该团队应制定信息安全计划,并与各个部门的同行紧密合作以实施和维护该计划。制定培训计划–使公司的安全计划和政策投入运营。对事件的响应–业务用户可以添加宝贵的见解,评估违规的业务影响,确定必须通知谁等等。与同行进行交流– CIRT团队成员向同事宣传,并使安全放在首位。它们还帮助同事自我评估安全风险并鼓励不断的警觉。

2.定义您的条款

机密信息

在确保您的机密信息安全之前,重要的是要准确定义您的意思-确保组织中的每个人在字面上和形象上都在同一页面上。

许多公司创建了一个10或20页的书面信息安全计划,该计划将用于管理机密信息和计算服务的创建,访问和删除的定义和策略形式化。包括个人识别信息(PII)的定义,用户访问权限和角色的描述或有关USB拇指驱动器的策略,这些都可以作为一切。重要的是,您已经明确,明确地记录了公司处于风险中的资产和服务的各个方面。多学科的跨职能团队通常在这些工作中表现最佳。

技术保障和回应

从业务角度来看,CIRT团队可以帮助IT部门制定应有的技术限制-从移动设备的加密到锁屏策略,USB使用,防病毒扫描,垃圾邮件过滤,密码策略,渗透测试,审核,以及更多。这些是技术专家不应完全掌握的问题。

如果发生违规,您的CIRT可以在评估事件的影响后管理并促进所需的响应。这可以包括与内部利益相关者合作,并根据法律要求通知监管机构和政府官员。您的业​​务人员(而不是IT团队)知道这些数据的价值,因此他们最适合定义响应。

3.提供全面的培训

如果适当的安全措施无法在整个组织中快速统一地传播,那么所有文档,委员会和会议都不会产生任何有意义的影响。而开始发生的方式是通过系统和全面的培训实践。

面对面–面对面,由讲师指导的动手培训是灌输安全文化的最佳方法。不需要(也不应该)强调很多技术方面的细节。相反,应专注于业务用户需要知道哪些内容以保持IT资源的安全和受保护。 视频刷新器–当员工有快速问题或不适合面对面交流时,点播视频课程可以填补重要空白。尽早开始–将安全培训纳入您的入职流程–并要求员工在雇用日期之前就开始培训。确保新员工从第一天起就认识到自己的职责。持续前进–意识不会随着培训而停止。关于数据安全的定期新闻通讯是一个不错的策略。高层管理人员的定期提醒也可以增强您的安全意识。更新您的团队有关新出现的威胁策略和来源的信息。

4.记住内部文化在外部传播

即使您已经锁定了内部系统,实施了最佳实践策略和程序,并培训了员工以“安全第一”的思维方式,仍需要做更多的工作以文化为导向。

评估第三方风险–也许安全链中最薄弱的一环是您对(或没有)控制力:合作伙伴的绩效。您是否分析了战略业务合作伙伴的安全实践?您可以外包,但不能外包安全责任。监管风险–遵循正确的安全做法,将使您能够从行业和政府监管机构进行彻底审核。您在公司内部所做的事情将极大地影响您的外部声誉。个人电子邮件–即使您的员工使用与工作相关的电子邮件来遵循您的所有流程和惯例,但如果她的私人个人电子邮件遭到破坏或损坏,您仍然很容易受到攻击。这可能会无意中打开您的网络环境的后门。这意味着对安全的警惕必须从专业领域扩展到个人领域。

结论

当然,对于任何对冲基金或私募股权公司而言,拥有适当的外围防御措施和严格的安全控制是不可谈判的要求。但是,企业IT安全中的新前沿不是技术而是人。通过发展内部安全文化,组织所做的工作远远不止于部署和配置位和字节。它致力于定义和遵循深思熟虑,范围广泛的策略,以消除不必要的内部漏洞,这些漏洞通常不会被人们所认识。

从经过适当培训和人员配备的计算机事件响应团队到精心定义的策略和过程以完成培训,金融服务公司可以采取简单但重要的步骤来防止违规,增强安全性,改善法规遵从性并增强客户信心。

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经