Gestionnaire de sécurité du Journal: la Sécurité est la fin de la partie offshore
Un bon gestionnaire de sécurité est à prévoir que des problèmes surgiront. Vous devez être attentif à la notion que chaque fois que l'entreprise fait un mouvement, il pourrait ouvrir une nouvelle vulnérabilité.
Je viens de devenir conscient d'une grande vulnérabilité que mon entreprise cadres supérieurs exposé de nous-et bien sûr, je n'ai pas appris à ce sujet directement.
Ticket De Dérangement
En cause: des Nouvelles au sujet d'un contrat offshore arrive après le fait, et il n'y a pas d'argent réel pour vous assurer de données partagée est sécurisé.
Plan d'Action: jusqu'à vitesse rapide, et de trouver des moyens pour protéger les informations sensibles sans avoir à dépenser beaucoup d'argent.
Chaque fois que vous connectez deux compagnies de réseaux, vous devez vous assurer que ni l'entreprise peut obtenir ses mains sur tout ce qu'il n'est pas censé avoir accès. À tout le moins, vous devrez mettre en place une sorte de pare-feu ou de contrôle d'accès et de chiffrement serait une très bonne idée.
Pourquoi nous parler de connexions réseau? C'est là que les choses deviennent intéressantes -- et un peu effrayant.
C'est une vieille histoire, vraiment. Nos dirigeants ont décidé que nous devions à externaliser un peuple-intensive de la fonction à un prestataire extérieur qui peuvent embaucher des travailleurs plus facilement que nous le pouvons. Comme d'habitude dans de tels cas, le fournisseur est situé dans un autre pays.
Mais la fonction externalisée est une partie de RH, et cela signifie que le tiers de la manipulation de certains des plus sensibles, et le plus fortement réglementé, informations personnellement identifiables que nous possédons.
La sécurité de l'Information continue à mûrir en tant que profession, mais la nécessité de fortes mesures de sécurité reste un élément secondaire pour la plupart des cadres supérieurs. C'est ce qui s'est passé ici. Un contrat a été négocié et signé, et personne n'a pensé à me poser une seule question, ou même me dire ce qui se passait. Maintenant, trop tard, c'est mon problème.
Que le contrat signé est le pire. Avais-je été consulté, j'aurais conseillé de mettre le fardeau de la prestation de services sécurisés sur le vendeur. À ce stade, cependant, le vendeur, tout naturellement, est de prendre la position que nous sommes responsables de tous les coûts liés à l'ajout de la sécurité, y compris les coûts qui surviennent de prendre le temps de les employés du fournisseur. Bien sûr, nous ne sommes pas désireux de dépenser beaucoup d'argent; après tout, ce contrat n'existe que parce que nous nous sommes intéressés à économiser de l'argent.
autre Mauvaise Idée
De retour au problème à portée de main: j'ai dit que nous aurions besoin de pare-feu et cryptage avant que le fournisseur de services pourrait avoir accès à notre réseau, mais cela signifie que la connexion n'a pas pu être mis en place aussi rapidement que les dirigeants voulaient. Pendant ce temps, ils veulent brûler le caractère confidentiel des données sur des Cd à envoyer au fournisseur. Oups! Disque Compact-un moyen qui sera encore là longtemps après que notre compagnie a tourné à la poussière. Je ne peux pas obtenir derrière cette idée. Nous allons devoir soit de chiffrer les données avant de les graver sur CD ou trouver un autre moyen plus sûr pour le déplacer.
Je vais bientôt vous voyagez à l'étranger pour visiter des tiers vendeur et de voir de première main ce genre de pratiques en matière de sécurité il a en interne. Je n'ai aucune idée de ce que je vais trouver là, mais j'espère que je vais découvrir que le prestataire de services est assez expérimenté dans le traitement avec les informations personnelles de ses clients qu'elle a déjà de bons contrôles internes en place.
Peut-être que de la bonne volonté de sortir de cette. Notre équipe de direction comprend maintenant que nous avons pu obtenir beaucoup d'ennuis si nous n'avons pas à faire preuve de diligence raisonnable dans la protection des renseignements personnels dont nous sommes responsables. Peut-être qu'ils vont penser de sécurité plus tôt la prochaine fois. Je ne reçois pas beaucoup de résistance de la part de la haute direction, ce qui est bon, mais j'ai besoin de garder les frais de virement de bord de sécurité sur ce service aussi bas que possible. Cette soi-disant économiser de l'argent soudaine du régime de retraite ne cherche pas aussi bon marché que prévu. Cela ne va pas me faire populaire. Mais je suppose que je ne suis pas payé pour être populaire.
Date de publication: Je viens de devenir conscient d'une grande vulnérabilité que mon entreprise cadres supérieurs exposé de nous-et bien sûr, je n'ai pas appris à ce sujet directement.
Ticket De Dérangement
En cause: des Nouvelles au sujet d'un contrat offshore arrive après le fait, et il n'y a pas d'argent réel pour vous assurer de données partagée est sécurisé.
Plan d'Action: jusqu'à vitesse rapide, et de trouver des moyens pour protéger les informations sensibles sans avoir à dépenser beaucoup d'argent.
Chaque fois que vous connectez deux compagnies de réseaux, vous devez vous assurer que ni l'entreprise peut obtenir ses mains sur tout ce qu'il n'est pas censé avoir accès. À tout le moins, vous devrez mettre en place une sorte de pare-feu ou de contrôle d'accès et de chiffrement serait une très bonne idée.
Pourquoi nous parler de connexions réseau? C'est là que les choses deviennent intéressantes -- et un peu effrayant.
C'est une vieille histoire, vraiment. Nos dirigeants ont décidé que nous devions à externaliser un peuple-intensive de la fonction à un prestataire extérieur qui peuvent embaucher des travailleurs plus facilement que nous le pouvons. Comme d'habitude dans de tels cas, le fournisseur est situé dans un autre pays.
Mais la fonction externalisée est une partie de RH, et cela signifie que le tiers de la manipulation de certains des plus sensibles, et le plus fortement réglementé, informations personnellement identifiables que nous possédons.
La sécurité de l'Information continue à mûrir en tant que profession, mais la nécessité de fortes mesures de sécurité reste un élément secondaire pour la plupart des cadres supérieurs. C'est ce qui s'est passé ici. Un contrat a été négocié et signé, et personne n'a pensé à me poser une seule question, ou même me dire ce qui se passait. Maintenant, trop tard, c'est mon problème.
Que le contrat signé est le pire. Avais-je été consulté, j'aurais conseillé de mettre le fardeau de la prestation de services sécurisés sur le vendeur. À ce stade, cependant, le vendeur, tout naturellement, est de prendre la position que nous sommes responsables de tous les coûts liés à l'ajout de la sécurité, y compris les coûts qui surviennent de prendre le temps de les employés du fournisseur. Bien sûr, nous ne sommes pas désireux de dépenser beaucoup d'argent; après tout, ce contrat n'existe que parce que nous nous sommes intéressés à économiser de l'argent.
autre Mauvaise Idée
De retour au problème à portée de main: j'ai dit que nous aurions besoin de pare-feu et cryptage avant que le fournisseur de services pourrait avoir accès à notre réseau, mais cela signifie que la connexion n'a pas pu être mis en place aussi rapidement que les dirigeants voulaient. Pendant ce temps, ils veulent brûler le caractère confidentiel des données sur des Cd à envoyer au fournisseur. Oups! Disque Compact-un moyen qui sera encore là longtemps après que notre compagnie a tourné à la poussière. Je ne peux pas obtenir derrière cette idée. Nous allons devoir soit de chiffrer les données avant de les graver sur CD ou trouver un autre moyen plus sûr pour le déplacer.
Je vais bientôt vous voyagez à l'étranger pour visiter des tiers vendeur et de voir de première main ce genre de pratiques en matière de sécurité il a en interne. Je n'ai aucune idée de ce que je vais trouver là, mais j'espère que je vais découvrir que le prestataire de services est assez expérimenté dans le traitement avec les informations personnelles de ses clients qu'elle a déjà de bons contrôles internes en place.
Peut-être que de la bonne volonté de sortir de cette. Notre équipe de direction comprend maintenant que nous avons pu obtenir beaucoup d'ennuis si nous n'avons pas à faire preuve de diligence raisonnable dans la protection des renseignements personnels dont nous sommes responsables. Peut-être qu'ils vont penser de sécurité plus tôt la prochaine fois. Je ne reçois pas beaucoup de résistance de la part de la haute direction, ce qui est bon, mais j'ai besoin de garder les frais de virement de bord de sécurité sur ce service aussi bas que possible. Cette soi-disant économiser de l'argent soudaine du régime de retraite ne cherche pas aussi bon marché que prévu. Cela ne va pas me faire populaire. Mais je suppose que je ne suis pas payé pour être populaire.
Auteur: Keylogger.Org L'Équipe
