初创公司可以从数字化转型中学到的5件事 战时企业家的生活故事 如何确定您的医疗索赔计费服务的最佳市场 大多数初创公司都知道不会犯的明显错误 (但无论如何还是会犯) 如何找到你有利可图的想法 为了增加成功的机会,进入一个你知道的行业 为什么我给我的团队买了100双运动鞋 在迈向企业家之前,您必须回答8个棘手的问题 使用 “事实” 方法来提出正确的想法 30岁前你应该学到的7个商业课程 成功餐饮活动的提示 在为时已晚之前申请商标 管理远程团队的7个技巧 (信息图) 创业投资者在投资前寻找的5件事 成功启动中西部创业的4个技巧 在迈向企业家之前,您必须回答8个棘手的问题 创业投资者在投资前寻找的5件事 3种策略,使您的产品在走出阴影之前达到最佳状态 管理远程团队的7个技巧 (信息图) 3甚至证明荒谬想法的网站都可以成为在线赚钱的人 2使命驱动的企业家分享他们的成功之路 赢得商业和生活的3个关键 如果你不想成为企业家也没关系 对幸福的不懈追求 创业或发展企业时的14种省钱方法 杰西卡·阿尔芭和莎拉·米歇尔·盖拉的重要创业课程 一方: 建立你的单人公司 创业创业的8条财务提示 企业家必须了解有关Cap表管理的12条规则 在线商务教练的隐患 你的商业计划必须回答的6个问题 辞职或被搞砸了之前必须做的7件事 企业家犯的6个最大的创业错误 为您的创业公司寻找创意员工的4种明智方法 帮助您经营多个企业的4个技巧 当你不能辞职时如何创业 这些标志是您成为企业家的正确时机 自制的成功故事是否说服某些大学没有必要? 每个小企业网站应该具备的5个关键要素 你应该创办一家公司而不是创办一家初创公司的4个理由 今天赚100美元的50种方法 2个兄弟如何复兴他们家庭的田纳西州威士忌酒厂 建立了150万美元的演讲厅的人的6个成功秘诀 开展业务时需要打电话的5个好处 在将自由职业者转变为代理机构之前要知道的6件事 “Catpreneurs” 在纽约的第一届 “猫营” 研讨会上团结起来 在试镜中被拒绝如何使我开始成为企业家 这些业务的增长速度是美国的两倍 绿色场景: 草坪护理和园林绿化行业的机会 我如何在管理代理机构的同时开始成功的在线业务
您的位置:首页 >综讯 >

在您的公司中建立面向安全的文化的四个步骤(第2部分,共2部分)

2021-03-01 14:20:01 来源:

既然您已掌握了噩梦般的场景,并且了解了在整个投资公司中树立安全文化的重要性,那么以下四个步骤将指导您逐步建立这种文化。

1.建立计算机事件响应团队

首先创建一个“计算机事件响应团队”,该团队将监督您的信息安全策略。尽管IT专业人员负责监督和维护您的计算基础结构,但是您还需要业务用户在您的安全计划中扮演中心角色。毕竟,他们是使用这些资源的人,并且可以代表最大的漏洞和风险。尽管团队的职责可能有所不同,但许多CIRT都活跃在几个关键领域:

制定计划–该团队应制定信息安全计划,并与各个部门的同行紧密合作以实施和维护该计划。制定培训计划–使公司的安全计划和政策投入运营。对事件的响应–业务用户可以添加宝贵的见解,评估违规的业务影响,确定必须通知谁等等。与同行进行交流– CIRT团队成员向同事宣传,并使安全放在首位。它们还帮助同事自我评估安全风险并鼓励不断的警觉。

2.定义您的条款

机密信息

在确保您的机密信息安全之前,重要的是要准确定义您的意思-确保组织中的每个人在字面上和形象上都在同一页面上。

许多公司创建了一个10或20页的书面信息安全计划,该计划将用于管理机密信息和计算服务的创建,访问和删除的定义和策略形式化。包括个人识别信息(PII)的定义,用户访问权限和角色的描述或有关USB拇指驱动器的策略,这些都可以作为一切。重要的是,您已经明确,明确地记录了公司处于风险中的资产和服务的各个方面。多学科的跨职能团队通常在这些工作中表现最佳。

技术保障和回应

从业务角度来看,CIRT团队可以帮助IT部门制定应有的技术限制-从移动设备的加密到锁屏策略,USB使用,防病毒扫描,垃圾邮件过滤,密码策略,渗透测试,审核,以及更多。这些是技术专家不应完全掌握的问题。

如果发生违规,您的CIRT可以在评估事件的影响后管理并促进所需的响应。这可以包括与内部利益相关者合作,并根据法律要求通知监管机构和政府官员。您的业​​务人员(而不是IT团队)知道这些数据的价值,因此他们最适合定义响应。

3.提供全面的培训

如果适当的安全措施无法在整个组织中快速统一地传播,那么所有文档,委员会和会议都不会产生任何有意义的影响。而开始发生的方式是通过系统和全面的培训实践。

面对面–面对面,由讲师指导的动手培训是灌输安全文化的最佳方法。不需要(也不应该)强调很多技术方面的细节。相反,应专注于业务用户需要知道哪些内容以保持IT资源的安全和受保护。 视频刷新器–当员工有快速问题或不适合面对面交流时,点播视频课程可以填补重要空白。尽早开始–将安全培训纳入您的入职流程–并要求员工在雇用日期之前就开始培训。确保新员工从第一天起就认识到自己的职责。持续前进–意识不会随着培训而停止。关于数据安全的定期新闻通讯是一个不错的策略。高层管理人员的定期提醒也可以增强您的安全意识。更新您的团队有关新出现的威胁策略和来源的信息。

4.记住内部文化在外部传播

即使您已经锁定了内部系统,实施了最佳实践策略和程序,并培训了员工以“安全第一”的思维方式,仍需要做更多的工作以文化为导向。

评估第三方风险–也许安全链中最薄弱的一环是您对(或没有)控制力:合作伙伴的绩效。您是否分析了战略业务合作伙伴的安全实践?您可以外包,但不能外包安全责任。监管风险–遵循正确的安全做法,将使您能够从行业和政府监管机构进行彻底审核。您在公司内部所做的事情将极大地影响您的外部声誉。个人电子邮件–即使您的员工使用与工作相关的电子邮件来遵循您的所有流程和惯例,但如果她的私人个人电子邮件遭到破坏或损坏,您仍然很容易受到攻击。这可能会无意中打开您的网络环境的后门。这意味着对安全的警惕必须从专业领域扩展到个人领域。

结论

当然,对于任何对冲基金或私募股权公司而言,拥有适当的外围防御措施和严格的安全控制是不可谈判的要求。但是,企业IT安全中的新前沿不是技术而是人。通过发展内部安全文化,组织所做的工作远远不止于部署和配置位和字节。它致力于定义和遵循深思熟虑,范围广泛的策略,以消除不必要的内部漏洞,这些漏洞通常不会被人们所认识。

从经过适当培训和人员配备的计算机事件响应团队到精心定义的策略和过程以完成培训,金融服务公司可以采取简单但重要的步骤来防止违规,增强安全性,改善法规遵从性并增强客户信心。

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经