隨著信息安全的概念日益普及，企業(yè)IT部門(mén)也紛紛希望加強(qiáng)自己公司的信息安全。但隨著經(jīng)濟(jì)不景氣，往往囊中羞澀的預(yù)算使得加強(qiáng)信息安全成為了一句空話(huà)。隨著管理層不斷減少I(mǎi)T和信息安全項(xiàng)目的預(yù)算，IT人員必須學(xué)習(xí)如何充分利用有限的資金來(lái)加強(qiáng)安全性。

現(xiàn)實(shí)情況是，在當(dāng)今經(jīng)濟(jì)環(huán)境下，信息安全人員必須以較少的資金做更多的事情，甚至往往沒(méi)有足夠的內(nèi)部人員來(lái)支持企業(yè)的業(yè)務(wù)要求。那么，在這種情況下，我們?cè)撊绾伪Ｗo(hù)信息安全?這里我們將為大家提供五個(gè)訣竅來(lái)充分利用有效的資金，實(shí)現(xiàn)少花錢(qián)多辦事。

秘訣1：共同承擔(dān)責(zé)任

在企業(yè)內(nèi)部主要有幾個(gè)不同的部門(mén)承擔(dān)著信息安全的責(zé)任，因此在召開(kāi)信息安全會(huì)議時(shí)，與會(huì)者必須包含這些部門(mén)的代表。

首先需要確定除信息安全部門(mén)外與信息安全相關(guān)的部門(mén)，例如審計(jì)、IT、人力資源和法律，以確?，F(xiàn)有的信息安全計(jì)劃是否符合他們的要求，并加以鞏固。你需要盡可能地說(shuō)明你的需要和要求，然后看看其他部門(mén)如何規(guī)劃以滿(mǎn)足他們的要求，最佳狀態(tài)就是利用各部門(mén)的資源來(lái)實(shí)現(xiàn)共同的目標(biāo)。

例如，如果你有一個(gè)PCI(支付卡行業(yè))計(jì)劃，那么你知道需要對(duì)哪些人進(jìn)行培訓(xùn)來(lái)執(zhí)行外部滲透測(cè)試嗎?你不需要雇傭外部人員來(lái)滿(mǎn)足11.3要求，你只需要確保公司員工能夠準(zhǔn)確檢查環(huán)境，然后與PCI審查員以及內(nèi)部審計(jì)組協(xié)作來(lái)確定他們能否接受報(bào)告。這樣可以盡可能多的為應(yīng)用安全測(cè)試或者需要專(zhuān)業(yè)支持的項(xiàng)目節(jié)省成本。

秘訣2: 雇傭需要的專(zhuān)業(yè)人員，而不是可能有用的人

很多企業(yè)認(rèn)為一次性花費(fèi)(購(gòu)買(mǎi)技術(shù))能夠解決問(wèn)題，但是實(shí)際上，集成、部署、培訓(xùn)和維護(hù)都是非常昂貴的。

如果你不具備內(nèi)部專(zhuān)業(yè)人員來(lái)支持你所購(gòu)買(mǎi)的軟件，那么為什么不考慮雇傭具備專(zhuān)業(yè)技術(shù)的外部公司來(lái)維護(hù)系統(tǒng)軟件呢?至少，你可以從他們的操作中學(xué)習(xí)信息安全相關(guān)專(zhuān)業(yè)技術(shù)，以便更好的規(guī)劃未來(lái)解決方案。

讓我們以?xún)?nèi)部掃描需求作為一個(gè)例子。根據(jù)PCI DSS的要求，你可能需要一臺(tái)掃描儀來(lái)滿(mǎn)足要求，但是，可能沒(méi)有專(zhuān)業(yè)的人員來(lái)運(yùn)行和維護(hù)掃描儀，擁有技術(shù)往往只是成功的一半

業(yè)務(wù)要求依然存在，但是企業(yè)卻沒(méi)有專(zhuān)業(yè)人員來(lái)操作設(shè)備，企業(yè)在購(gòu)買(mǎi)掃描儀前可以嘗試外包掃描一年來(lái)評(píng)估所有的解決方案，這樣可以幫助企業(yè)評(píng)估長(zhǎng)期業(yè)務(wù)要求和檢查企業(yè)是否能夠利用內(nèi)部解決方案(這個(gè)例子中是指掃描儀)或者管理安全服務(wù)供應(yīng)商(MSSP)提供最佳業(yè)務(wù)支持，同時(shí)還可以讓企業(yè)繼續(xù)將重點(diǎn)放在業(yè)務(wù)需求上。

秘訣3: 選擇合適的信息安全管理服務(wù)供應(yīng)商

管理安全服務(wù)供應(yīng)商能夠明確如何滿(mǎn)足企業(yè)業(yè)務(wù)目標(biāo)，并證明其解決方案滿(mǎn)足企業(yè)業(yè)務(wù)需求和節(jié)省成本。任何管理信息安全服務(wù)供應(yīng)商都能夠?yàn)槠髽I(yè)創(chuàng)造價(jià)值，詳細(xì)列明方法和技術(shù)策略的建議都能夠滿(mǎn)足企業(yè)特定要求。

不要試圖讓你的業(yè)務(wù)滿(mǎn)足MSSP的要求，挑選一個(gè)能夠滿(mǎn)足你要求的MSSP。企業(yè)的成功將來(lái)自于是否能夠?yàn)槠髽I(yè)需求挑選最佳解決方案，這意味著解決方案必須有明確的規(guī)劃圖，才能夠讓企業(yè)專(zhuān)注于業(yè)務(wù)。外包必須外包的技術(shù)，利用外部MSSP和顧問(wèn)來(lái)為企業(yè)創(chuàng)造最大價(jià)值。

秘訣4:聘請(qǐng)一個(gè)合作伙伴，而不是供應(yīng)商

你需要與外部公司建立合作伙伴關(guān)系，此外部公司必須能夠提供你所需要的解決方案，并能幫助你進(jìn)行未來(lái)規(guī)劃。選擇合適的外部公司，要求他們展示技術(shù)深度，以及未來(lái)規(guī)劃，這樣你就可以確定他們的未來(lái)規(guī)劃是否滿(mǎn)足你的要求。

秘訣5: 提供技術(shù)和信息安全培訓(xùn)的資金支持

員工需要知道他們?cè)谄髽I(yè)的價(jià)值，這也是大多數(shù)信息系統(tǒng)和安全專(zhuān)業(yè)人員所認(rèn)可的，所以你需要積極創(chuàng)造培訓(xùn)機(jī)會(huì)，利用網(wǎng)絡(luò)培訓(xùn)和本地ISSA會(huì)議，為CISSP(認(rèn)證信息系統(tǒng)安全人員)或者其他專(zhuān)業(yè)服務(wù)政府建立學(xué)習(xí)小組，進(jìn)行內(nèi)部午休學(xué)習(xí)時(shí)間。鼓勵(lì)員工不斷學(xué)習(xí)技術(shù)和安全知識(shí)，并給予他們足夠的時(shí)間學(xué)習(xí)。

預(yù)算消減并不是信息安全的噩夢(mèng)，我們應(yīng)該要努力研究如何利用有限的資金來(lái)加強(qiáng)信息安全，才不至于讓企業(yè)系統(tǒng)淪為攻擊者的“獵物”。

【編輯推薦】

1. Web安全漏洞之企業(yè)自查
2. Web應(yīng)用防火墻的主要特性
3. 兩種策略選擇開(kāi)源安全產(chǎn)品
4. 數(shù)據(jù)泄露的七種主要途徑
5. 保護(hù)數(shù)據(jù)安全的三種武器