和统治 在本文中我想谈的另一个方面是“资源分配”和“资源分配”等概念之间的区别。不幸的是,在实践中,这些过程之间的差异几乎不被重视。然而它确实存在。例如,在国际标准O-ISM3“开放信息安全管理成熟度模型”中,这些概念被区分为不同的信息安全流程“SSP-6:为信息安全分配资源”和“TSP-2:管理分配的资源”。这并非偶然。在评估信息安全成本的有效性时,这种差异表现得最为明显,必须予以考虑。
资源的“分配”和“分发”与经
典的“人员-流 和统治 程-安全”三角相关。从高层管理人员的角度来看,资源(财务)分配给这个三角关系中的什么并不重要;它们只 伊拉克电报数据 是分配给“信息安全”。同时,大多数情况下,从内部沟通的角度来看,证明信息安全工具的预算合理性要容易得多,而这就造成了上述三者的严重不平衡。
这种不平衡主 和统治 要影响信息安全成本效率的降低。在我的实践中,我多次遇到过这样的情况:一两个信息安全专家(通常在大型控股公司的地区分支机构)负责12-15 个安全控制台(SIEM、AV、完整性控制、IDS/IPS、DAM、特权用户控制等)。
我认为说他们除了防病毒软
件和未配 和统治 置的 SIEM 之外没 大卫·耶格尔 有使用任何其他工具是多余的,因为他们根本没有足够的工作时间。顺便说一句,也没有进行供应商培训。这里我们可以谈论什么样的信息安全成本效益?放弃任何这 欧盟电话号码 些信息安全系统并重新分配分配给它们的资源以扩大员工队伍和培训员工将使成本效率提高一个数量级。此外,管理层无需任何复杂的计算就能看到这种效率。