2016年2月2日星期二02:43

在安全方面

撰写者

面对现实吧。这都是关于信息的。我们所做的一切都是关于信息。我们需要信息来完成我们的工作,而我们的工作通常是关于信息,长时间以来从各种来源收集的信息,通过其他信息的组合而创建的信息,打印,显示的信息,组织,操纵和存储数十年(如果不是亿万年的话)。

而且这些信息很重要。我们依靠信息。 我们使用信息来了解发生的事情,做出决定,招待我们,进行交流,或者只是将我们带到从未去过的地方。这都是关于信息的。

一切都与信息安全有关

然后,所有这些都与信息的安全性有关;谁可以看到,何时可以看到,可以看到多少,信息将以什么形式保存以及保留多长时间?我们需要的信息应该安全吗?达到什么水平?应该是私有的,对谁私有的?什么时候应该发布?在释放或销毁前应保留多长时间?可以销毁吗?

安全。即使在IT领域,我们也倾向于将安全性视为专家的领域。安全人员是一只奇怪的鸟,安全“材料”通常是专家的百利威克,他们的思维方式与我们其他人不同。他们有自己的词汇-黑帽,白帽,加密,公钥和私钥,漏洞,漏洞,黑客,破解者,恶意软件等等。作为业务分析师,甚至作为开发人员,信息安全被多次视为非功能性需求和/或在软件开发生命周期中的某个较晚版本中添加到基本业务需求中的软件。 在许多情况下,这是必须的方式。

但是考虑一下;安全漏洞对企业不利。信息丢失不仅仅是IT问题。这是一个商业问题。 信息的丢失很可能导致整个业务的丢失。安全要求是业务要求。还要进一步考虑-安全级别基于要保护的业务资产的价值。因此,有必要分析业务资产以确定这些资产的价值以及必要的安全级别。注意“分析业务”一词;换句话说,就是业务分析。

我们都没有安全感

信息安全的现实是,除了通过物理方式将所有信息与任何外部访问断开连接之外,没有可靠的方法来保护企业信息。 换句话说,“拔出”。尽管这是50年前我刚开始时的完全有效的业务策略,但如今与互联网完全断开连接并仍然在业务上取得成功的概念将被认为是牵强的。 (实际上,对于大多数企业而言,那时没有选择“拔出”,因为没有什么可“插入”的。包含企业“秘密”的锁定文件柜已足够。)在那些日子里,我们定义需求,设计系统,编写代码,并且测试结果并不担心信息安全。安全性,不仅是信息安全性,还包括所有安全性(当时没有类别称为信息安全性)实际上是由一个完全不同的组织来处理的,我们与之进行数据处理(当时称为该组织)的组织很少互动。当时的安全性主要集中在物理安全性上,以防止未经授权访问房屋和那些锁定的文件柜。

业务分析师的安全指南

由于我们不能像业务分析师,开发人员甚至安全专家一样,完全阻止当今互连的蜘蛛网中的入侵或破坏,因此我们需要有一个准则,即安全与便利之间的平衡,以及防止通过坏家伙,不恰当地过滤掉好家伙。如果我们在Internet上开展业务,我们需要使寻求与我们开展业务的人尽可能容易地访问他们进行业务所需的信息,同时防止有恶意的人访问,操纵或修改我们的信息。

因此,我们有一条写在卡片上的准则,在以前的安全保护中,我将其固定在办公室的墙上:

使违规的成本超过被破坏的价值。

如果我们能够有效地实施该准则,那么我们应该能够提出大多数破坏性的违规行为,以及几乎所有基于经济利益的入侵。这不能防止那些因报仇,“乐趣”或简单的恶意而试图破坏安全的人。这些领域确实是安全专家的范围,也可能是心理学家的范围。

但是,一般方法将是有效的。 考虑到“成本”不仅包括获取信息所需的时间,精力和/或金钱支出,还包括接触时间的长短。例如,许多车主为了防止“偷车”而贴在方向盘上的“俱乐部”实际上并不能防止偷窃。方向盘上的Club可能会导致汽车被盗。俱乐部要做的是增加偷车贼偷车所花费的时间;因此,盗窃的“代价”在于时间的延长和被捕的可能性增加。如果车辆是法拉利或其他花费六位数购买的汽车,则可能值得冒险。如果车辆是我的17岁轿车,那么显然不是。因此,坏人的“成本”也可以用“暴露时间”来衡量。

为了使该指南有效地发挥作用,企业必须首先对其信息的价值进行定义或评估。并非所有信息都具有相同的值。保护信息的成本应与信息的价值成正比。换句话说,该组织应该花更多的时间和金钱来保护其具有国家识别码和信用卡信息的客户主文件,而不是确保包含参加年度野餐的雇员姓名以及他们携带的菜品的部门野餐列表文件(以防止过多的薯片袋和不足的蔬菜)。



业务分析师在安全性中的作用

它需要业务分析来确定和评估组织中任何给定业务流程或信息系统中信息的价值。由于在开发系统或更改之后不应该再添加安全性,因此由业务分析师确定特定业务流程或信息系统正在使用的所有信息的信息价值。可能不需要业务分析师识别确实属于安全专业人员的威胁和/或对策(尽管我已经看到许多业务分析师在组织中参与威胁评估,因为他们对业务活动,流程和信息。)

业务分析师还可以通过确定何时安全措施可能过多来提供对安全性的有价值的检查和平衡–它们会阻止业务开展或使其变得异常困难–从而损害组织的使命或使其无法实现其战略目标。

帮助组织变得安全

我们通常在防止恶意入侵或身份盗用方面考虑安全性。但是,当我们考虑整个业务时,在许多其他领域中,安全性对业务很重要。例如,企业间谍活动对许多企业构成威胁。使用该系统的员工和将其数据输入公司数据库的客户的隐私,在本世纪都变得越来越重要,并且通常属于安全性之列。安全是组织保护组织的政策,但隐私受国家和其他司法管辖区法规的约束,并可能导致组织违反法律。

很多时候,解决安全问题的方法不是附加软件或技术工程,而是业务流程中的简单更改。业务分析师是熟悉整个业务流程的主要角色,能够识别人员活动中的安全漏洞,在许多情况下,这些漏洞是安全漏洞开始的地方。

尽管技术人员将重点放在组织中的网络,门户,访问点,Web服务器和其他基于技术的漏洞上,但业务分析师可以查看更广阔的前景,包括整个公司计算机外部信息的移动以及处理这些信息的人。

需要业务分析师将安全问题放入业务环境中。业务分析师需要评估受保护的资产是否值得保护的成本。业务分析师需要了解与安全问题和安全漏洞有关的人为因素。

业务分析师可以向安全专业人员提供有价值的信息,以帮助他们使工作更轻松,更准确,从而为组织增加价值(就提高和改善安全性而言,以及为安全活动提供更好的成本效益比)。业务分析师就是这样。



史蒂夫·布莱斯

PMP 史蒂夫·布莱斯在业务分析,项目管理和软件开发方面拥有超过43年的经验。 他为开发业务分析流程的公司提供咨询服务。他是IIBA BABOK指南3.0的委员会成员。他是《业务分析:成功的最佳实践》一书的作者。

©BA Times.com 2020

麦格雷戈徽标白色网站