Dans la deuxième partie de cette série en deux parties, nous examinons les contre-mesures de contre-risque pour une organisation qui prévoit de faire une partie de son développement de logiciels en Chine
Par Michael s.Oberlaender
CSO |
Dans la première partie de cette série d'articles, j'ai expliqué les hypothèses de base et fondamentales et le potentiel de risque associé pour une entreprise (nous avons appelé It WorldSoft) qui prévoit de faire une grande partie de son développement de logiciels en Chine.Maintenant, nous examinons les différentes contre-mesures aux différents niveaux de l'organisation.
Counter mesures potentielles au niveau organisationnel
Au niveau organisationnel (c'est-à-dire des personnes et des politiques), nous pouvons effectuer ce qui suit:
Le prochain niveau organisationnel est le niveau de processus où les choses sont définies comment elles doivent fonctionner et comment une entreprise gère son entreprise.À ce niveau, de nombreuses améliorations devraient être apportées, ce qui fait partie de la "sauce secrète" de toute organisation, et les plus durables auront.On pourrait dire que tout cela est toujours organisationnel, mais d'un autre côté, nous nous efforçons de structurer l'approche de la meilleure façon et c'est pourquoi je le présente de cette façon.
Counter mesures potentielles au niveau du processus (processus de bout en bout)
Maintenant, je décris comment soutenir au mieux ces contrôles de sécurité organisationnels et de traitement ci-dessus en tirant parti des solutions technologiques de ses meilleures manières potentielles.Il est encore important qu'aucune solution technique ne résoudra tous les problèmes, mais à la place, l'intégration utile des différents produits avec une architecture bien pensée prendra en charge le niveau de sécurité prévu.
[5 façons de créer un programme de gestion des risques collaboratif]
Counter mesures potentielles au niveau technologique
Jusqu'à présent, les options de solution potentielle, comme vous pouvez le voir, sont multiples.
Approche différenciée mais aussi intégrée (résumé)
Sur la base des options susmentionnées, il est préférable de prioriser les risques et de comparer la valeur en danger avec les coûts associés d'atténuation des contrôles. The combination of counter measures at the 3 different layers (people, process, technology) is best, therefore an integrated approach between risk & corporate security, legal, IT security, product security, cloud security, service and other units should be used.
Ce que vous ne mesurez pas que vous ne pouvez pas vraiment gérer, donc quelques exemples KPI ici:
Enfin, la stratégie de sécurité alignée par l'entreprise devrait être adaptée en fonction du succès des mesures et du changement de mesure.Astuce: Pour obtenir le soutien actif nécessaire de la direction et des employés, intégrez la sécurité dans les (IR) des objectifs de performance annuels.
Michael S.Oberlaender, MS, CISSP, CISM, CISA, CRISC, ACSE, GSNA is a subject matter expert on IT and security, and other related subjects.Il est l'auteur de C (i) SO - et maintenant What (CSO Online a publié un extrait en mars de cette année) et a occupé des postes tels que CSO et CISO pour plusieurs grandes entreprises mondiales.Alors qu'il recherche actuellement un nouveau défi professionnel, il a recherché cette étude de concept en préparation d'une interview avec l'une des plus grandes sociétés de logiciels au monde.Le matériel a été créé sous ses propres droits d'auteur et il partage donc cela ici dans l'intention d'éduquer ses collègues praticiens et également d'améliorer le pâturage de sécurité de cette industrie particulière.Vous pouvez atteindre l'auteur à Michael.oberlaender @ gmail.com ou via LinkedIn.
Related:Copyright © 2013 IDG Communications, Inc.
22 cybersecurity myths organizations need to stop believing in 2022
Copyright © 2022 IDG Communications, Inc.
Explore the Foundry Network descend