Security Manager Gazzetta: la Sicurezza è tardi per il partito offshore
Un buon manager per la sicurezza deve prevedere che i problemi imprevisti che si presenteranno. Dovete essere attenti al concetto che ogni volta che l'azienda fa una mossa, potrebbe aprire una nuova vulnerabilità.
Ho preso coscienza di una grande vulnerabilità che il mio vertici aziendali esposti noi-e, naturalmente, non ho imparato su di esso direttamente.
Trouble Ticket
Al problema: Notizie su un'altura a contratto arriva dopo il fatto, e non c'è nessun vero denaro per aver condiviso la sicurezza dei dati.
Piano d'azione: avvio veloce, e trovare un modo per proteggere le informazioni sensibili senza spendere molto denaro.
Ogni volta che ti connetti due aziende insieme delle reti, è necessario assicurarsi che nessuna delle due società possono mettere le mani su qualcosa che non avrebbe accesso. Almeno, è necessario impostare un qualche tipo di firewall o di controllo di accesso e la crittografia sarebbe una buona idea pure.
Perché stavamo parlando di connessioni di rete? Questo è dove le cose si fanno interessanti-e un po ' di paura.
E ' una vecchia storia, davvero. La nostra top manager ha deciso che abbiamo bisogno di esternalizzare una funzione per la cpu ad un provider esterno che può assumere lavoratori più a buon mercato che si può. Come di consueto in questi casi, il fornitore si trova in un altro paese.
Ma la funzione in outsourcing è parte di HR, e questo significa che il terzo sarà la movimentazione di alcuni dei più sensibili-e più altamente regolamentato -- informazioni personalmente identificabili che si possiede.
Informazioni di sicurezza continua a maturare come una professione, ma la necessità di forti misure di sicurezza rimane un ripensamento per la maggior parte dei dirigenti. Che è quello che è successo qui. Un contratto è stato negoziato e firmato, e nessuno ha pensato di chiedere a me una domanda singola o anche dirmi cosa stava succedendo. Ora, troppo tardi, è il mio problema.
Che il contratto firmato è la parte peggiore. Se fossi stato consultato, mi avrebbe consigliato di mettere l'onere di fornire servizi di sicurezza del fornitore. A questo punto, però, il venditore, ovviamente, sta prendendo la posizione che noi siamo responsabili per eventuali costi associati con l'aggiunta di sicurezza, compresi i costi che derivano dal prendere il tempo del venditore dipendenti. Noi, naturalmente, non sono appassionati di spendere un sacco di soldi, dopo tutto, questo contratto esiste perché ci sono stati interessati nel risparmio di denaro.
nother Cattiva Idea
Torna per il problema a portata di mano: ho detto che ci sarebbe bisogno di un firewall e crittografia prima che il fornitore di servizi potrebbe avere accesso alla nostra rete, ma che significava che la connessione non può essere impostato come rapidamente come i dirigenti di ha voluto. Nel frattempo, si desidera masterizzare sensibili dati privati su Cd da inviare al fornitore. Yikes! Compact disc -- un mezzo che durerà ancora a lungo dopo che la nostra società si è trasformata in polvere. Io non posso andare dietro a quell'idea. Avremo per crittografare i dati prima di masterizzarlo su CD o trovare un altro, più sicuro modo per spostarlo.
Presto mi sarà un viaggio all'estero a visitare il fornitore di terze parti e vedere di persona che tipo di procedure di sicurezza che ha al suo interno. Non ho idea di cosa troverò lì, ma sto sperando di scoprire che il prestatore di servizi è abbastanza esperienza nel trattare con le informazioni private dei clienti che già hanno una buona controlli interni a posto.
Forse alcuni di buono verrà fuori. Il nostro team esecutivo capisce ora che si potrebbe ottenere in un sacco di guai se non ci operazioni di due diligence nel proteggere le informazioni personali che noi siamo responsabili. Forse penseranno di sicurezza prima la prossima volta. Io non sto ricevendo un sacco di resistenza dalla direzione superiore, che è buono, ma ho bisogno di mantenere i costi di affrancatura di sicurezza su questo servizio il più basso possibile. Questo presunto risparmio di denaro piano non è improvvisamente guardando come a buon mercato come previsto. Che non sta andando a fare di me popolari. Ma credo che non vengo pagato per essere popolare.
Data di pubblicazione: Ho preso coscienza di una grande vulnerabilità che il mio vertici aziendali esposti noi-e, naturalmente, non ho imparato su di esso direttamente.
Trouble Ticket
Al problema: Notizie su un'altura a contratto arriva dopo il fatto, e non c'è nessun vero denaro per aver condiviso la sicurezza dei dati.
Piano d'azione: avvio veloce, e trovare un modo per proteggere le informazioni sensibili senza spendere molto denaro.
Ogni volta che ti connetti due aziende insieme delle reti, è necessario assicurarsi che nessuna delle due società possono mettere le mani su qualcosa che non avrebbe accesso. Almeno, è necessario impostare un qualche tipo di firewall o di controllo di accesso e la crittografia sarebbe una buona idea pure.
Perché stavamo parlando di connessioni di rete? Questo è dove le cose si fanno interessanti-e un po ' di paura.
E ' una vecchia storia, davvero. La nostra top manager ha deciso che abbiamo bisogno di esternalizzare una funzione per la cpu ad un provider esterno che può assumere lavoratori più a buon mercato che si può. Come di consueto in questi casi, il fornitore si trova in un altro paese.
Ma la funzione in outsourcing è parte di HR, e questo significa che il terzo sarà la movimentazione di alcuni dei più sensibili-e più altamente regolamentato -- informazioni personalmente identificabili che si possiede.
Informazioni di sicurezza continua a maturare come una professione, ma la necessità di forti misure di sicurezza rimane un ripensamento per la maggior parte dei dirigenti. Che è quello che è successo qui. Un contratto è stato negoziato e firmato, e nessuno ha pensato di chiedere a me una domanda singola o anche dirmi cosa stava succedendo. Ora, troppo tardi, è il mio problema.
Che il contratto firmato è la parte peggiore. Se fossi stato consultato, mi avrebbe consigliato di mettere l'onere di fornire servizi di sicurezza del fornitore. A questo punto, però, il venditore, ovviamente, sta prendendo la posizione che noi siamo responsabili per eventuali costi associati con l'aggiunta di sicurezza, compresi i costi che derivano dal prendere il tempo del venditore dipendenti. Noi, naturalmente, non sono appassionati di spendere un sacco di soldi, dopo tutto, questo contratto esiste perché ci sono stati interessati nel risparmio di denaro.
nother Cattiva Idea
Torna per il problema a portata di mano: ho detto che ci sarebbe bisogno di un firewall e crittografia prima che il fornitore di servizi potrebbe avere accesso alla nostra rete, ma che significava che la connessione non può essere impostato come rapidamente come i dirigenti di ha voluto. Nel frattempo, si desidera masterizzare sensibili dati privati su Cd da inviare al fornitore. Yikes! Compact disc -- un mezzo che durerà ancora a lungo dopo che la nostra società si è trasformata in polvere. Io non posso andare dietro a quell'idea. Avremo per crittografare i dati prima di masterizzarlo su CD o trovare un altro, più sicuro modo per spostarlo.
Presto mi sarà un viaggio all'estero a visitare il fornitore di terze parti e vedere di persona che tipo di procedure di sicurezza che ha al suo interno. Non ho idea di cosa troverò lì, ma sto sperando di scoprire che il prestatore di servizi è abbastanza esperienza nel trattare con le informazioni private dei clienti che già hanno una buona controlli interni a posto.
Forse alcuni di buono verrà fuori. Il nostro team esecutivo capisce ora che si potrebbe ottenere in un sacco di guai se non ci operazioni di due diligence nel proteggere le informazioni personali che noi siamo responsabili. Forse penseranno di sicurezza prima la prossima volta. Io non sto ricevendo un sacco di resistenza dalla direzione superiore, che è buono, ma ho bisogno di mantenere i costi di affrancatura di sicurezza su questo servizio il più basso possibile. Questo presunto risparmio di denaro piano non è improvvisamente guardando come a buon mercato come previsto. Che non sta andando a fare di me popolari. Ma credo che non vengo pagato per essere popolare.
Autore: Keylogger.Org Team
