Na segunda parte desta série de duas partes, examinamos medidas de contador de riscos para uma organização que planeja fazer parte de seu desenvolvimento de software na China
Por Michael s.Oberlander
CSO |
Na primeira parte desta série de artigos, expliquei as suposições básicas e fundamentais e o potencial de risco associado a uma empresa (chamamos de WorldSoft) que planeja fazer uma grande parte de seu desenvolvimento de software na China.Agora analisamos as várias medidas de contra -.
Potenciais medidas de contador no nível organizacional
No nível organizacional (ou seja, pessoas e políticas), podemos fazer o seguinte:
O próximo nível organizacional é o nível do processo em que as coisas são definidas como elas devem funcionar e como uma empresa administra seus negócios.Nesse nível, muitas melhorias devem ser feitas, isso faz parte do "molho secreto" de qualquer organização, e os mais sustentáveis terão processos altamente eficientes e eficazes.Pode -se argumentar que isso ainda é organizacional, mas, por outro lado, nos esforçamos para estruturar a abordagem da melhor maneira e é por isso que a apresento dessa maneira.
Medidas de contador potencial no nível do processo (processo de ponta a ponta)
Agora, descrevo como apoiar melhor esses controles de segurança organizacional e de processo acima, aproveitando as soluções de tecnologia de suas melhores maneiras em potencial.IMPORTANTE é novamente que nenhuma solução técnica resolverá todos os problemas, mas a integração útil dos vários produtos com uma arquitetura bem pensada apoiará o nível de segurança pretendido.
[5 maneiras de criar um programa de gerenciamento de riscos colaborativo]
Potenciais medidas de contador no nível tecnológico
Até agora, as opções potenciais de solução, como você pode ver, são múltiplas.
Abordagem diferenciada, mas também integrada (resumo)
Com base nas opções acima mencionadas, é melhor priorizar os riscos e comparar o valor em risco com os custos associados de mitigação de controles. The combination of counter measures at the 3 different layers (people, process, technology) is best, therefore an integrated approach between risk & corporate security, legal, IT security, product security, cloud security, service and other units should be used.
O que você não mede que você realmente não pode gerenciar, então alguns exemplos de KPI aqui:
Finalmente, a estratégia de segurança alinhada dos negócios deve ser adaptada com base no sucesso das medidas e visto mudanças nas medições.Dica: para obter o apoio ativo necessário da administração e dos funcionários, incorpore a segurança nas metas de desempenho anual (IR).
Michael s.Oberlander, MS, CISSP, CISM, CISA, CRISC, ACSE, GSNA is a subject matter expert on IT and security, and other related subjects.Ele é o autor de C (i) assim - e agora o que (o CSO Online publicou um trecho em março deste ano) e ocupou cargos como CSO e CISO para várias grandes empresas globais.Enquanto ele está atualmente buscando um novo desafio profissional, ele pesquisou este estudo conceitual em preparação para uma entrevista com uma das maiores empresas de software do mundo.O material foi criado sob seus próprios direitos autorais e, portanto, ele está compartilhando isso aqui com você na intenção de educar seus colegas profissionais e também melhorar o pasto de segurança dessa indústria em particular.Você pode chegar ao autor em Michael.Oberlander@Gmail.com ou via LinkedIn.
Related:Copyright © 2013 IDG Communications, Inc.
22 cybersecurity myths organizations need to stop believing in 2022Copyright © 2022 IDG Communications, Inc.
Explore the Foundry Network descend
