企业敦促根据实际需求购买安全性
为了制作健全的网络安全投资,组织需要了解其数据的价值,据行业专家表示,它存储在哪里,并在其发送地点。
“他们还必须坚定地了解可能影响他们数据以及行动者的法规和立法,所以我们知道我们正在努力保护自己,”培训和咨询公司讲究屏幕的董事总经理的董事长。
“查看法规和立法,以确定您绝对必须做些什么,以避免不遵守法律的惩罚,并使用现有技术来帮助确定对组织的真正风险以及需要进行新的投资,”Dieroff告诉CyberCon 2017年在普利茅斯。
“使用当前系统的日志记录功能告诉您当天在IT环境中实际发生的内容,并识别潜在的问题和风险,如网络钓鱼。”
但迪埃罗夫表示,在安全预算方面是最重要的事情,是为组织诚实地对其真正的安全姿势。
他说:“没有完全诚实地诚实地诚实地对你的真正的优势和弱点会导致未能妥善保护自己,”他说。
他说,最佳实践指南和行业标准是组织确定哪些安全技术,系统和控制对其行业和业务有效和有效的另一种有用方式。
通过未能这样做,Dieroff说,组织将被诱惑购买所有新的安全技术,以便在市场上提供所有新的安全技术,但其中许多可能不适合其特定业务,并且可能会导致他们解决的问题。
“如果你跑了一家鱼和芯片店,安全就是保持击球手的安全,所以投资任何不需要保留这种数据安全的安全技术是浪费钱,”他说。
他说,一家鱼和芯片店通常不需要中央管理和访问控制。“安全投资需要指导业务实际需要的。”
Dieroff警告企业抵御购买“黑匣子”的诱惑,将供应商索赔的网络插入其所有安全需求。他还警告,针对产品的索赔是“军方级”或“政府证明”,甚至“不透明的关键逻辑”或“总是在VPN上”。
最后,他说,让员工了解每个安全政策和技术背后的原因,并听取他们的反馈。
“找出员工看到的,他们在安全控制中经历了什么以及他们如何与那些控制的人一起经历业务,因为如果他们的经验不是积极的,他们就不会参加并找到解决方法。Dieroff表示,使用这种方法,组织可以识别其实际需求的实际需求。
“第一个重要的一步是通过听世界各地的经验丰富的发言人,参加CyberCon这样的事件,以提高安全主题的认识,并通过了解您的组织的安全姿势和需求,”他说。
“现实是它需要花费大量的时间和精力,以及持续研究,留在矛的尖端,并且希望在攻击者之前。”