企业的安全策略用来保护数据,客户技术系统,定义公司的安全状态,并且将内部和外部风险实现最小化。企业的安全策略如此重要,然而一些公司在编写安全策略的时候,难免有一些误解,有时错误如此严重,将导致重大的损失。以下将详细揭秘安全策略中五大常见错误。
  没有安全策略
  作为一种安全策略错误,要么是没有安全策略,要么只有一个不成文的只是由几个管理人员讨论确定下来的零星的规定。
  这样的行为将导致公司面临很大的安全风险。当然了,一旦安全策略策确定下来,企业发现很多时候公司的系统都违反了规定要求。这并不奇怪,这说明安全政策制定与现行的IT操作不相适应。这说明公司在制定安全政策时候应该对公司的系统有一个整体上的了解,分析风险,评估风险带来的损失,达到与新的安全政策的统一。
  安全策略缺少更新
  如果你很幸运,没有成为上述列举的错误的受害者,但是你还得面临另一个安全问题,仅仅有美好的文字策略是远远不够应对安全问题的。
  不可避免的是,公司的网络不断在变化,相应的安全风险和兼容性的问题也在变化。很显然,随着风险和企业网络的编,安全策略也应及时更新。
  升级安全策略原因很多,新的技术的部署,新的管理规定的出现,企业的增长,合并等带来新的数据和用户,新的商业部门的成立等等,这些都需要新安全策略的有效保护。
  那些对这些变化视而不见的企业将会面临很大的安全风险,在这样一个网络危险如丛林一样危险的时代,也许就是坐以待毙了。
  不考虑安全政策的兼容性
  如果企业有了及时更新的安全策略,那么你已经迈出了重要的步骤,然而这还不够。
  安全策略有效与否很大程度上在于员工是否意识到其指导或是限制作用。首先,为了执行这一策略,企业应该保证文件分发到所有的员工手上,进行必要的安全意识培训,特别是安全策略更新之时。还有,为了保证政策的有效性,适当的监督是必须的。
  也许最有效的跟踪安全策略有效性的方法是使用日志。搜集和分析日志收据有助于知道网络环境中发生了什么。如果一位员工将工作文件发送给一个私人帐号或是准备访问超出其权限的数据或是***进行了几次不成功的对服务器的探测,日志中将会记下所有这些信息。使用日志进行用户和系统活动跟踪分析,然后将其与安全策略进行对比是检验安全政策有效性的最好方法。
  安全策略中只包含技术
  如果以上三步你都做好了,那么这点你必须特别关注。
  如果安全策略中只含有技术安全(密码复杂度,防火墙规则,***检测警报,杀毒库的升级),然而却对人的活动不闻不问,那么企业将面临软威胁:内部的特权被滥用,计算机资源的私人使用等等。我们不是否认在安全策略中使用技术性的东西,然而安全策略是一个三位一体的东西,包括“人,过程,技术”。
  再次强调一下,日志数据对于这三者之间的平衡很重要,正如用户活动和系统活动由日志捕捉一样。
  安全策略撒网太大,过于宽泛,并且不适用
  安全策略应具有针对性
  如果安全政策中使用了大量的安全术语,有130页,我想大多数的都会望而生畏,那么在工作中违反就很正常了。相似的是,如果政策中的规章制度与员工在日常中的一些主要操作行为相左的话,就会造成很大的不便。如果这样的话,政策还没有制定出来就得进行教育。由上可知,一个简明的安全政策将会创造很大的便利。
  以上我们看完了安全策略中5大应该注意的问题。对于有明确目的的安全政策来说,清晰的用词和及时的更新都是必须的。它应该包含技术和非技术区域,最后兼容性也应该注意。