和整合 格列博夫先生认为,的可能性是其实施经济可行性的重要指标之一,其中每个元素都成为单一集成生态系统的一部分,不仅执行其任务,而且还在质量上影响信息安全的整体效率。这种方法既可以提高信息安全性,又可以降低企业信息安全解决方案的总体拥有成本。
“去那儿——我不知道在哪里,带上那个——我不知道是什么”
和整合 Pavel Volchkov,Infosystems Jet 信息安全中心首席信息安全顾问| 2016 年 9 月 13 日
许多人在评估信息安全支出的有效性时都会联想到这些词。在本文中,我们将探讨信息安全专业人员在评估信息安全支出有效性时面临的实际挑战,并提出一些克服这些挑战的想法。
评估信息安全支出的有效性传统上是与信息安全实践最脱节的话题之一。根据我的经验(所有行业中超过 40 个不同的审计和咨询项目),没有一个组织,包括大型燃料和能源公司以及十大银行,拥有真正有效的方法来评估信息安全费用的有效性。尽管如此,这些方法和框架中充满了时髦的缩写:ROI(投资回报率)、CBA(成本效益分析)、QRA(定量风险评估),其主要思想是不要花的钱超过你存的钱。从理论上讲,一切都很简单:
-
资产已分配
- 它们的价值已被确定并分类。
- 将资产与 IT 基础设施相链接。
- 识别了其弱点。
- 与信息安全威胁相比。
- 我们计算了风险(从这里开始我 希腊电报数据 将使用根据 ISO 31000:2009 的风险定义)。
- 与保护措施 和整合 的成本进行比较并实施经济上合理的保护措施。
因此,实施这种方法后
我们可以说资金在 和 欧盟电话号码 整合 信息安全上得到了有效的利用。但在俄罗斯的现实中,这种做法存在很多问题,而且往往是无法解决的。
如果信息安全服务能够自行 史蒂文·格利亚 制造工程师 完成第一阶段(资产分配),尽管有些困难,那么在第二阶段(确定资产的价值和分类)就需要业务部门的认真参与。在大多数组织中,这极难实现:资产所有者没有被识别或没有被正式识别,他们对信息安全问题不感兴趣,也不知道如何确定资产的价值。该问题可以通过创建包含大量示例和引导性问题的精准问卷来解决。