2020年6月11日星期四12:29

信息安全不仅与IT有关

撰写者

信息安全是当今几乎每个组织的关键考虑因素。 

在一个对透明度,隐私和对安全违规行为将受到严格惩罚的期望日益提高的世界中,安全不仅应在我们的项目交付方面,而且在我们的工作中应始终放在我们的首位。 怎么样 我们运行我们的项目。

客户通常希望能够与组织进行数字化交互,这会带来更多的顾虑和风险。 我们当然应该保持清晰和现实 网络安全 冒着前途的风险,我们不应该忽视更广泛的 信息安全 可能存在的风险 没有 与我们正在研究的特定技术或流程有关。 实际上,这是一个机会,可以就几年前出现的不再适合目的的现有流程提出一些关键问题。

当网站安全但电话线不安全时…

比我想承认的要早得多,我为一家公司开发了一个项目,该公司正在为其客户开发在线门户。 可以理解的是,与安全专家和架构师的互动很多,一些非常健壮的非功能性需求,以及大量的测试。 但是,回想起来,我们可能会进行在线流程 如此安全 甚至授权用户也无法访问它们! 如果一个“普通”客户每年访问一次或两次,那么拥有一个(例如)一个月后过期的密码可能会很烦人……

这在团队中造成了一些困境。 有一群内部利益相关者代表客户,他们希望专注于 使用方便。 还有另一组利益相关者对确保合规性和风险管理感兴趣,他们希望专注于 坚不可摧的安全性。 事实证明,挑战在于在两者之间找到合理的平衡。 也许您在项目中也经历过?


广告

在研究这个难题时,提出了两个非常相关的问题:

  • “客户还能如何与我们互动?”
  • “通过这些渠道有哪些安全协议?”

原来这是一个非常启发性的询问! 进行一番挖掘后发现,如果有客户(或声称是该客户的某人)接听电话,则会根据记录在案的信息(通常是全名,地址,邮政编码,出生等等。 这听起来很明智,不是吗? 但是,广泛地考虑:谁知道您的这些信息?  Probably 许多 的邻居(尤其是您邀请参加生日聚会的邻居)以及一部分同事!

这甚至不是最坏的情况。 第二个沟通渠道是 发布。 这是好几年前的事,并且定期收到客户的来信。 原来那里 没有 验证 任何 根据邮寄的指示。 “啊,但是我们有他们的签名!”利益相关者可能会说。 “太好了,您将其与之进行比较,是否每个客户都有一个主签名……?”尴尬的沉默。

网络安全至关重要:但不要忘记更广泛的信息安全

在这里,我们处于一种情况 流程受到了其他渠道所没有的非常明智的制衡。 这提供了一个很好的机会来问:“我们在 过于冒险 这里? 如果不是,其他渠道是否存在同样的风险?如果是这样,我们是否也应该加强它们?”。

在许多情况下,继续关注网络安全是完全明智的。 新的东西 同时还加强了可能多年未审查的较旧的流程。 通过这样做,我们有助于提高对风险的整体看法,并有助于减少欺诈或信息泄漏的风险。 尽管大规模的IT系统违规可能意味着大量数据遭到泄露,但是我们当然应该对此加以保护,但我们也不应该低估一两个欺诈性假冒个人记录对声誉造成的损害。

与我们作为业务分析师所做的许多事情一样,确保系统而全面的方法,与利益相关者合作缩小范围,并看到“木头”和“树木”是我们赚钱的地方。

阿德里安·里德(Adrian Reed)

阿德里安·里德(Adrian Reed)是分析行业的忠实拥护者。在日常工作中,他担任Blackmetric Business Solutions的首席顾问和总监,为不同行业的众多客户提供业务分析咨询和培训解决方案。他是IIBA®英国分会的前任主席,并且他在有关业务分析和业务变更的主题上发表国际演讲。阿德里安(Adrian)撰写了2016年版的“成为大问题解决者……现在”和2018年版的“业务分析师”

您可以在以下位置阅读Adrian的博客 http://www.adrianreed.co.uk 和 follow him on Twitter at http://twitter.com/UKAdrianReed

©BA Times.com 2020

麦格雷戈徽标白色网站