Vi phạm an ninh mạng có thể được bắt đầu từ bên trong một tổ chức, và nhiều phụ thuộc vào
lỗi của con người. Phần này mô tả làm thế nào để giảm thiểu nguy cơ đột nhập bằng cách giao tiếp
với và quản lý người dùng trong tổ chức của bạn thông qua một chính sách bảo mật lên kế hoạch kỹ lưỡng.
Chính sách Asecurity xác định mục tiêu an ninh, rủi ro, mức độ quyền hạn, bảo đảm theo chỉ bạn
điều phối viên và các thành viên nhóm, trách nhiệm cho mỗi thành viên trong nhóm, và trách nhiệm
của từng nhân viên. Ngoài ra, nó xác định làm thế nào để giải quyết các vi phạm an ninh. Nó không nên
nêu chính xác phần cứng, phần mềm, kiến trúc, hoặc các giao thức sẽ được sử dụng để đảm bảo an ninh, cũng không phải như thế nào phần cứng hay phần mềm sẽ được cài đặt và cấu hình. Những chi tiết này thay đổi từ
thời gian để thời gian và chỉ nên được chia sẻ với các quản trị viên mạng có thẩm quyền hoặc người quản lý.
Mục tiêu chính sách an ninh
Trước khi soạn thảo một chính sách bảo mật, bạn nên hiểu lý do tại sao các chính sách an ninh là cần thiết
và làm thế nào nó sẽ phục vụ cho tổ chức của bạn. Mục tiêu tiêu biểu cho chính sách an ninh như sau:
● Đảm bảo rằng ủy quyền người dùng có quyền truy cập thích hợp để các nguồn lực cần thiết.
● Ngăn chặn người sử dụng trái phép từ đạt được quyền truy cập vào các mạng, các hệ thống, các chương trình,
hoặc dữ liệu.
● Bảo vệ dữ liệu nhạy cảm khỏi những truy cập trái phép, cả hai từ bên trong và từ bên ngoài
tổ chức.
● Ngăn chặn thiệt hại ngẫu nhiên đến phần cứng hoặc phần mềm.
● Ngăn chặn thiệt hại có chủ ý vào phần cứng hay phần mềm.
● Tạo một môi trường trong đó các mạng và hệ thống có thể chịu đựng được, và nếu
cần thiết, đáp ứng nhanh chóng và phục hồi từ bất kỳ loại mối đe dọa.
● Giao trách nhiệm của mỗi nhân viên liên quan đến việc duy trì dữ liệu với
tính toàn vẹn và bảo mật hệ thống.
chính sách bảo mật của một công ty không nhất thiết phải liên quan dành riêng cho các máy tính hoặc mạng. Ví dụ, nó có thể nêu rõ rằng mỗi nhân viên
phải cắt nhỏ file giấy có chứa dữ liệu nhạy cảm hoặc rằng mỗi
nhân viên chịu trách nhiệm ký trong du khách của mình ở phía trước
bàn và có được một huy hiệu tạm thời cho họ. Khía cạnh Noncomputerrelated các chính sách bảo mật này nằm ngoài phạm vi này
chương, tuy nhiên.
Sau khi xác định các mục tiêu của chính sách bảo mật của bạn, bạn có thể đưa ra một chiến lược để đạt được chúng.
Đầu tiên, bạn có thể tạo thành một ủy ban gồm các nhà quản lý và các bên quan tâm từ nhiều các sở, ngoài các quản trị viên mạng của bạn. Càng ra quyết định
người mà bạn có thể liên quan, các hỗ trợ nhiều hơn và có hiệu quả chính sách của bạn sẽ được. Ủy ban này
có thể chỉ định một điều phối viên an ninh, những người sau đó sẽ thúc đẩy việc tạo ra một chính sách an ninh.
Để tăng sự chấp nhận chính sách bảo mật của bạn trong tổ chức của bạn, buộc các biện pháp an ninh cho nhu cầu kinh doanh và giao tiếp rõ ràng những tác động tiềm năng của các vi phạm an ninh. Ví dụ, nếu bạn
công ty bán quần áo trên Internet và một cúp hai giờ (như
có thể được gây ra bởi một hacker người sử dụng IP giả mạo để giành quyền kiểm soát
hệ thống của bạn) có thể chi phí của công ty $ 1 triệu doanh số bán hàng bị mất, làm cho
chắc chắn rằng người dùng và các nhà quản lý hiểu được thực tế này. Nếu họ làm,
họ có nhiều khả năng để nắm lấy các chính sách bảo mật.
Một chính sách an ninh phải giải quyết các rủi ro cụ thể của tổ chức. Để hiểu những rủi ro của bạn, bạn
nên tiến hành đánh giá tư thế để xác định các lỗ hổng và giá cả mức độ nghiêm trọng
của mỗi đe dọa và khả năng của nó xảy ra, như đã mô tả trong chương này. Sau khi rủi ro
được xác định, các điều phối viên an ninh cần phải chỉ định một người chịu trách nhiệm giải quyết các mối đe dọa đó.
đang được dịch, vui lòng đợi..