2020年6月11日星期四12:29

信息安全ISN.’t Just About IT

Written by

信息安全是今天每个组织的关键考虑。 

在一个世界上有增加对透明度的期望,隐私和安全违规行为严格惩罚,安全应该是我们思想的最前沿,而不仅仅是我们的项目提供的东西 如何 we run our projects.

客户经常希望能够以数字方式与组织进行互动,这会产生额外的担忧和风险。 虽然我们当然应该保持清晰和现在 网络安全 冒险前面,我们不应该忽视更广泛的 信息安全 可能有的风险 没有什么 根据我们正在努力的特定技术或过程。 事实上,这是一个关于多年前可能已经出现的现有流程的一些重要问题的机会,这不再适合目的。

当网站安全时,电话线不是......

更多年前比我喜欢承认,我曾在一家项目上工作,该公司正在为客户开发一家开发在线门户网站。 可以理解,与安全专家和建筑师有很多互动,一些非常强大的非功能性要求,以及许多和大量的测试。 但是,在回顾中,我们可能会制作在线进程 安全 甚至授权用户无法访问它们! 如果“平均”客户访问每年一次或两次,则在一个月之后,有一个月的密码可能非常恼火......

这在团队中创造了一些困境。 有一批代表想要专注的客户的内部利益相关者 使用方便。 还有另一组利益攸关方,对确保遵守和管理想要专注的风险有兴趣 难以置信的安全性。 事实证明,挑战是在两者之间找到一个明智的平衡。 也许你也经历了你的项目?


广告

在检查这种困境时,提出了两个非常相关的问题:

  • “客户如何与我们联系?”
  • “通过这些频道有哪些安全协议?”

这结果是一个非常启发式的查询线! 一些挖掘发现,如果客户(或声称是客户的某人)rang,他们会根据文件上举行的信息 - 通常是全名,地址,邮政编码,日期的信息来识别。出生等等。 这听起来很明智,不是吗? 但是思考广泛:谁知道关于你的信息?  Probably 许多 你的邻居(特别是那些你邀请参加你的生日派对的人)和你的同事的比例!

这甚至不是最糟糕的。 第二频道是 邮政。 这是几年前的好几年前,并经常从客户收到帖子。 它结果有 验证 任何 关于帖子发送的说明。 “啊,但我们有他们的签名!”利益相关者可能会说。 “很棒,你比较什么,反对,都是每个客户的主签名......?”尴尬的沉默。

网络安全至关重要:但不要忘记更广泛的信息安全

在这里,我们处于一种情况下 新的 流程正在受到其他渠道上不存在的非常明智的检查和平衡。 这会征询一个有用的机会:“我们是 太冒险厌恶 here? 如果没有,其他渠道存在相同的风险?如果是这样,我们也不应该加强它们吗?“

在许多情况下,它将完全明智,继续关注网络安全 新的东西 虽然还收紧了多年来可能未审查的旧过程。 这样做,我们帮助促进风险更全面的看法,并有助于降低欺诈或信息泄漏的风险。 虽然大规模的IT系统漏洞可能意味着大量的数据受到损害,当然我们应该防范这一点,我们不应该低估了一个或两个个人记录的声誉损害被滥用的欺诈性原因被挪用。

与我们作为业务分析师一样的大部分作品,确保了系统性和整体方法,与我们的利益相关者一起缩小并看到“木头”以及“树木”是我们赚取外壳的地方。

阿德里安里德

阿德里安里德是分析职业的真正倡导者。在他的日常工作中,他担任Blackmetric业务解决方案的主要顾问和主任,他为各种行业的一系列客户提供业务分析咨询和培训解决方案。他是IIBA®英国章节的过去的总统,他谈论与业务分析和业务变革有关的主题。阿德里安写了2016年的书“是一个伟大的问题求解器......现在”和2018年的“商业分析师”

你可以阅读阿德里安的博客 http://www.adrianreed.co.uk 和 follow him on Twitter at http://twitter.com/UKAdrianReed

©ba time.com 2021

MacGregor Logo White Web