`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Гудзь

Важливі запитання з ІТ-безпеки, які CEO мають задати CIO та CISO прямо зараз

+22
голоса

Джон МакМайкл, менеджер з  нформаційної безпеки уряду округу Колумбія опублікував коротку статтю в Linkedin, де привів 13 питань, які на його думку мають задати керівники організацій своїм ІТ-менеджерам та менеджерам з ІБ. Спільнота доповнила його перелік ще декількома, і наразі маємо 16 вельми точних запитань, які не всім ІТ-директорам і CISO в Україні сподобаються. Але кожен CIO\CISO має мати відповіді на них, аби його організація почувала себе захищеною.

  1. Чи знаємо ми і чи задокументовані кордони мереж, з якими ми з’єднані, включаючи топологію мережі, бездротової мережі, віддалених з’єднань і хмарних ресурсів?
  2. Чи проінвентаризовані акуратно всі наші ІТ активи? Чи оновлюємо ми цей список коли оновлюємо активи і чи підтримуємо ми специфікацію наших пристроїв? Чи знаємо ми хто має адміністративний доступ в нашій ІТ-інфраструктурі?
  3. Чи знаємо ми хто отримує доступ до наших пристроїв\систем і що вони роблять в них?
  4. Чи маємо ми життєвий цикл программ та обладнання? Чи можете показати мені результати останнього циклу управління оновленнями?
  5. Чи маємо ми ефективний Процес Розробки ПЗ? Чи використовуємо ми Модель Загроз, якщо ні, то як ми впевнюємось у безпеці рішень? Чи можете показати мені останню оцінку ризиків для одного з наших активів?
  6. Як ми обліковуємо наші критичні активи з чутливими даними і як відрізняється захист цих активів від активів з менш критичними даними для організації?
  7. Як ми визначаємо незвичайних користувачів або нетипову мережеву активність в нашій ІТ-інфраструктурі? Чи стосується це нашого хмарного ресурсу?
  8. Який механізм ми маємо аби впевнитись, що незахищені важливі дані не покидають межі організації? Чи стосується це нашого хмарного ресурсу?
  9. На які індикатори компрометації нашої мережі ми розраховуємо? Чи можете ви запевнити керівництво що нас наразі не зламали?
  10. Чи маємо ми достатні, детальні та адекватні Політики та Документи і коли ми робили останній перегляд цих документів? Які стандарти ми використовуємо для побудови Системи Управління Інформаційною Безпекою і чому?
  11. Чи маємо ми Комітет з Управління Ризиками (який би включав не тільки ІТ та ІБ)? Чи працюють члени цього Комітету з керівниками бізнес-підрозділів над визначенням цілей?
  12. Який інцидент кібербезпеки був найважливішим за минулий квартал? Яка була наша реакція?
  13. Наскільки реальний наш План Реагування На Проникнення? Коли він тестувався останній раз і хто приймав участь у його тестуванні?
  14. Як ми отримуємо, оцінюємо та використовуємо Розслідування інцидентів від інших організацій? Чи маємо ми достатньо експертизи і ресурсів для самостійного проведення розслідування інцидентів ІБ?
  15. Чи маємо ми перелік партнерів\клієнтів з якими об’єднана наша мережа і чи знаємо ми чим саме ми ділимось з ними?
  16. Чи маємо ми оцінку втрат (фінансових\репутаційних), які ми понесемо при настанні критичних інцидентів, наприклад Проникнення?
+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT