黑客在门-安全博览会

　　在几乎所有电气或机械设备都可以连接到互联网的世界中，如果远程攻击者获得访问权限，物理安全部署可能会受到损害甚至完全无用。

　　当为保护这些资产而部署的InfoSec（信息安全）防御级别不足或配置不当时，可能会发生这种情况。如果对手认为信息非常有价值以至于证明入侵是合理的，那么这些系统就会无所畏惧。鉴于存在大量自动黑客工具，这些不法分子所享有的匿名性以及相对较低的起诉风险，如果您的组织未能恰当地解决信息安全风险，则违规的可能性很高。

　　成功保护您的InfoSec资产依赖于接受，就像物理安全一样，InfoSec无法保证。相反，信息安全的目标是使一个潜在的入侵者难以闯入一个系统，以至于它根本不值得他们付出努力而且他们会在其他地方尝试。

　　联邦政府的强制违反披露法律将生效的22 次由于不良的信息安全部署中发生的二月2018年违反将承担联邦政府私隐专员的愤怒，谁都会认为宽松的信息安全控制是一个贫穷在确定对有罪组织的惩罚性赔偿时的借口。组织应评估与网络攻击相关的声誉和业务风险，并制定适当的风险处理计划以降低此风险

　　在考虑从哪里开始设计InfoSec方法时，首先要规划您的策略。重点应放在：

　　确定客户的期望水平

　　获得客户高层领导的支持

　　从风险和合规性的角度，教育您的客户了解为什么适当的信息安全状况符合他们的利益。

　　确定建立，维护和监督控制的责任。

　　设计适当的InfoSec控件，以保护客户端的环境，包括技术控制，管理控制，当然还有物理控件。

　　确保更新任何灾难恢复或业务连续性计划以适应与InfoSec相关的中断事件。

　　安排InfoSec系统的合规性检查和审核，以确保系统以所需级别运行。

　　接受这样一种观念，即如果违规将发生，但是当违规行为发生时，确保计划，排练和评估此类事件的意外事件。

　　接受信息安全并非一刀切，也不会让人忘记。

　　记录您的计划，程序和政策，并使相关人员能够轻松访问这些计划，程序和政策。

　　一旦制定了信息安全战略，就需要实施。需要解决一些关键领域，以实现明确战略的目标：

　　部署技术控制以保护您的网络，设备和电子基础设施。在物理安全领域内，从软件角度“强化”所有物联网设备和网络至关重要。除此之外，确保仅在授权人员的情况下，对物理和逻辑上的这些设备的访问权限。

　　确保软件，固件和应用程序保持新颖。确保计划并实施所有设备的补丁管理（包括摄像机，网络交换机，路由器和基于IP的设备），并尽快部署应用程序/操作系统更新。

　　保护组织可能正在使用的任何基于云的服务。

　　拥有完整且经过验证的数据备份，并确保定期进行灾难恢复测试，以确保备份数据的完整性，可访问性以及备份系统中任何服务恢复符合组织的停机时间限制

　　确保您的战略能够满足用户的教育和意识。例如，意外数据丢失可能来自用户选择弱或容易猜到的密码或用户无意中向错误的收件人发送电子邮件。

　　利用具有适当资格的托管信息安全提供商的服务，该提供商可以提供组织技能，以及提供绝佳InfoSec保护所需的经验。

　　让法律顾问参与您的战略，无论是内部法律顾问还是专门从事信息安全法的外部公司。

　　将任何剩余风险转移到适当的网络违规保险政策，以确保在发生违规行为时可以避免与事件响应相关的费用。

　　承诺由经过认证的专业外部提供商定期进行InfoSec评估，审核和审核。

　　部署良好的信息安全控制将需要付出努力并专注于实现，并需要不断保持警惕。但是，在正确规划，执行和维护时，这些控制对于组织的弹性是必不可少的，对于任何基于电子的和连接的物理安全部署的长期成功至关重要。

　　凡本网注明“来源：Ky开元集团国际展览导航”的所有作品，版权均属于Ky开元集团国际展览导航，转载请注明。

　　凡注明为其它来源的信息，均转载自其它媒体，转载目的在于传递更多信息，并不代表Ky开元集团国际展览导航赞同其观点及对其真实性负责。