CESG向信息安全专业人员发出挑战
CESG是英国情报局GCHQ的信息安全部门,有挑战性的信息安全专业人员,以提供有意义的安全控制。
“安全专业人士的目标必须了解业务中的人们正在努力实现和帮助他们安全地实现这些目标,”CESG技术总监Jonathan Lawrence告诉伦敦网络安全峰会的与会者。
劳伦斯常常说,他看到有这么多安全控制的组织的例子,人们不可能使用官方系统和设备进行工作。
“他们被迫找到解决方法,只是为了获得工作完成,这意味着,虽然组织在纸上非常安全,但现实是非常不同的,组织中的人们借助他们的个人在线账户和设备以获得他们的工作完成,“劳伦斯说。
他说,CESG认为,安全的方法应该是基于风险的风险,其中组织确定了真正的风险并投入了最低安全控制来减轻那些真正的风险。
“只是因为你可以在某事物上设置密码并不意味着你应该。最好只减轻通过适当风险评估所确定的风险,“劳伦斯说。
他说,这种方法意味着用户不会受到不必要的安全控制,安全专业人员应该能够证明他们所做的每一个安全控制。
“否则,仅仅为了它的安全控制而实施的安全控制可以反馈并导致意外,甚至不经结果,”劳伦斯说。
他说,一种更好的方法,是为了信息安全专业人员与业务中的人员一起参与,了解他们正在努力实现的目标,并找到帮助他们如此安全地做的方法。
它还意味着不责备用户的安全失败,而是通过实现系统来抑制他们不面对安全决策来筛选出来的方法,以实现恶意链接,修补程序软件漏洞和块有效地阻止恶意软件。
“培训人们有价值的人来识别和回应CEO欺诈等事情,但你不能投入毯子规则,如”不要点击链接“,因为这在商业环境中是不切实际的,”劳伦斯说。
同样,它意味着通过部署密码管理器或使用单点登录证书来实现密码和支持用户的清单和支持用户的明智策略。
“英国普通公民拥有大约22个密码,并在甚至更高的监管部门,但记住密码数量是不可能的,因此更好地实施从用户带走这种负担的系统,”劳伦斯说。
“信息安全专业人士必须远离”否“,并冒险厌恶,以至于找到确保有效的业务流程的方法变得荒谬,在现实世界中有意义,”他说。