安全拥有和有没有

How organizations can stay above “安全贫困线”

经过 Javvad Malik,Security Advocate,Alien Vault

回到2010年左右/ 2011年时间框架,Wendy Nether创造了短语“安全贫困线”她假设某个组织,出于一个原因或其他(通常缺乏资金),可以’T承担有效的信息安全级别。

近十年来,虽然该术语在信息安全社区中被频繁使用,但我们现在更好地解决问题我们’ve identified it?

我向她的思想问了温迪,她说,“我认为我们甚至不接近理解它。我认为解决它将努力努力美国医疗改革的水平 。“

这是一个病态的想法,可以让一个有一种无助的感觉。所以,我以为我会尝试在表面下划伤,看看我们能够了解安全贫困线。

技术债务

多年来,技术债务的术语在信息安全范围内变得更加普遍。由于他们的决定,公司将累计技术债务或信息安全风险’做了。例如,如果在进行完全渗透测试或代码审查之前推出服务,则会增加在现场环境中修复任何后续问题的债务。

指数损失

技术债务的挑战之一是它不会以线性方式发生,而是债务或低于贫困线的抵押率。

对运营小企业的人来说,事情变得更加清晰,对他们所面临的一些挑战更加清晰。

大乐透走势图500期图安全,最初需要对不同领域的投资,即聘请专家,或投资技术。其中任何一个都不是投资中最小的。但是当持续成本时,保持安全性的成本,承担正在进行的测试。然后,当希望与较大的公司进行业务时,较小的公司通常受第三方保证流程,他们需要展示他们符合较大公司的所有大乐透走势图500期图安全要求,即使在控制可能无法直接适用的情况下。最后,如果发生事件,已经投入安全的公司面临着损失的业务损失,甚至是合作伙伴,监管罚款的法律行动以及事故恢复和公关管理的成本。

信息安全多少钱?

在安全世界中需要考虑这样一个看似无穷无尽的洗衣书,关于大多数企业的思想的问题是'多少足够'?不幸的是,如果你正在寻找一个艰难的数字,你会失望的。因为大乐透走势图500期图世界中存在的威胁和挑战代表了移动目标。

但这并不意味着所有努力都是徒劳的,更多的是一种不同的案例。

看这个的一种方法可以通过有限和无限游戏的镜头,这是由詹姆斯的1986年同名书中创造的。

这个想法是,有两种游戏,有限和无限游戏。有限游戏是那些有规则,例如许多参与者,界限,持续时间等规则。经过一定的一段时间,赢家按照约定的规则宣布。

如果您尝试将大乐透走势图500期图安全视为有限游戏,您将不可避免地将您的头发拉出挫折,并准确地转向城市字典如何描述 infosec. .

大乐透走势图500期图安全更像是无限的游戏–没有设置规则或边界的地方,甚至是经典意义上定义的胜利者或失败者。相反,无限游戏的目的是始终处于继续游戏的位置。

继续游戏

要求公司在资源稀缺时继续比赛,他们生活在安全贫困线上。但是一旦你了解游戏,玩家,碎片和移动,就会更容易规划你的策略。为此,考虑以下几点是有用的。

  1. People

拥有合适的人可以成为与否之间的区别。它并不一定意味着雇用整个安全部门。有时,所有它需要的是顾问,以帮助提供指导和转向最佳安全实践,以确保从一开始就建立安全。

  1. Technology

在过去十年中,IT安全技术已经走了很长的路要走。虽然持续的新闻周期可能觉得事情变得更糟,但我们实际上看到更多的攻击专注于通过大乐透走势图500期图钓鱼,或者通过第三方妥协。

因此,在提供更广泛的能力的技术中广泛投资是有意义的。这些更实惠,而不仅仅是购买,而且持续维护。

  1. Outsourcing

在今天的云和服务提供商的年龄,对于许多情况来说,它没有意义上内部的一切。确保信誉良好的MSSP的服务可以带走运行自己的安全操作中心的需要。或在保留者上有公关机构可以帮助平滑任何需要报告的事件。

  1. Insurance

最后,如果无法减轻或接受风险,请考虑将其转移到保险提供者。保险不仅可以帮助减轻违约的财务成本,但它可以在向客户,股东或合作伙伴展示保险是一个广泛的大乐透走势图500期图安全计划的一部分,以保持数据安全的一部分。

关于作者

Javvad Malik是Alienvault和基于伦敦IT安全专业人员的安全倡导者。在加入Alienvault之前,Javvad是一个451个研究的高级分析师,提供技术供应商,投资者和具有战略咨询服务的最终用户,包括竞争性的研究和上市定位。他可以达成 推特 , YouTube 或通过 他的网站 或者 Alienvault的网站 .

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请