未经适当授权,任何人不得进入大楼; 所有传入的电子邮件都被过滤掉; 用于存储敏感数据的个人计算机没有直接连接到Internet,因此无法远程访问。 有了这些企业安全规则,我们确保我们的私人信息是安全的,对吧? 错误!
使用数字,物理和社交工程技术的组合,网络攻击变得越来越复杂。 典型的例子是所谓的“公路苹果攻击”。 一名潜在的入侵者“意外地”在一个公共场所(如公司停车场)留下一个带有公司徽标的USB闪存盘。 一名员工捡起来,很有可能他无法抑制好奇心并将其插入电脑。 惊喜:驱动器感染了恶意软件,除非采取适当的措施,否则会感染PC并将敏感信息发送给入侵者。
当然,有几种方法可以防止这种情况发生。系统管理员可能决定完全禁用USB驱动器的使用,但这可能限制太多,导致员工想方设法绕过这一点。或者,如果人们有足够的纪律来遵守它,那么反对使用未经验证的存储设备的政策就足够了......没有简单的方法来确定安全性是多少,以及安全性是多少。换句话说,我们如何找到安全性,可用性和成本之间权衡的最佳位置?
目前大多数安全和风险管理方法都基于清单,启发式和最佳实践。安全措施以自下而上的方式应用,往往忽略了社会方面。这可能导致预防性安全措施的过度杀伤,同样在更便宜(且侵扰性较小)的治疗措施可能就足够的情况下也是如此。另一方面,组织中不那么明显的威胁或漏洞可能很容易被忽视。
企业安全管理,Archimate核心
为了避免这种情况,我们提倡基于模型的企业安全管理方法,其中安全方面完全集成在设计链中:从战略和业务模型到企业架构,再到组织和IT支持的设计和实现。为此,与风险相关的概念包含在现有的体系结构和设计语言中。在企业架构层面,ArchiMate作为一个广泛接受的开放标准(具有可用的工具支持),适合以集成的方式描述业务和IT方面,是一个显而易见的选择。 ArchiMate中描述的体系结构可以链接到目标,原则和要求,以及用BPMN或UML等语言表达的详细设计模型。由此产生的模型为风险和漏洞分析提供输入,突出显示架构中最容易受到攻击的区域。此外,他们还将指导设计有效和高效的安全措施。
通过这种方法,BiZZdesign可以帮助您设计一个安全的组织 - 不会过度限制您的员工在日常工作中。
本文:
讨论:请加入知识星球【首席架构师圈】