Discuz! Board

標題: 财务或法律层面的潜在损害时 [打印本頁]

作者: ditkhatun6 時間: 2024-4-4 13:58
標題: 财务或法律层面的潜在损害时
现事件而相信自己。对于信息安全来说，一些技术和值得信赖的员工是不够的。因为答案很简单：只要其管理者相信这一点即可。这就是所谓的确认偏差，这是人们不得不偏爱、寻找、解释和记住能够证实自己信念的信息的倾向。从这个意义上说，如果公司没有发生过或者不知道自己发生过安全事件，他们得出的结论就是“我们是安全的”。这种类型的认知偏差导致人们在没有任何支持数据的情况下仅根据他们的感知做出假设。既然如此，他们只有在信息丢失或被盗事件最终发生在他们身上，并伴随着行政、，才会意识到自己存在安全缺陷。 “值得信赖的合作者”和技术的不足如果一家公司没有实施信息访问政策、程序、流程和协议，怎么能认为它是安全的呢？仅仅因为你有“值得信赖的合作者”？嗯，这个结论是完全错误的。

国际统计显示，企业的信息安全事件大部分是由其人员造成的。根据美洲开发银行（IDB）的最新报告，在拉丁美洲，特别是墨西哥，近年来这种情况没有改变。126、信息 印度電話號碼 安全仍显不足。最没有安全感的就是相信自己是安全的。来自美洲开发银行的图表，包含墨西哥网络安全政策、战略和网络安全文化的统计数据。当一家公司将其安全完全建立在信任其合作者的基础上，因为它认为他们没有能力执行任何违反它的行为，无论是出售、共享还是破坏机构信息，那么它实际上是在赌运气，因为当时间决定安全时，时间足够，没有什么是不可能的。另一方面，在 IT 基础设施中实施防火墙、防病毒或反恶意软件应用程序、网络分段策略、访问关键策略或云中信息等设备，如果在没有信息安全管理的情况下应用，则不足以确保公司安全。系统。新的号召性用语标准中的安全控制标准要求对114项安全控制进行评估并授予相应的认证，分为以下协议：信息安全政策。组织信息安全。人力资源安全。

资产管理。访问控制。密码学。加密和密钥管理。物理和环境安全。操作安全。通讯安全。系统的获取、开发和维护。信息安全事件管理。正如我们所看到的，信息安全远远超出了仅仅关注技术或可信人员的范围。它还要求公司拥有流程、人员和内部审计活动，以确保遵守上述控制措施，从而能够根据其管理的信息类型（包括公司自己和客户）得出安全的结论。没有 ISO 27001 认证的公司将使其信息在面对潜在敌人时毫无防御能力。而且，如果你没有发生过安全事件，很可能是因为窃取你的信息不够重要或利润丰厚，或者是因为你没有注意到安全事件，但这并不是因为你的“协议”。总而言之，对于这个问题：没有 ISO 27001 的公司有多安全？答案是：它不安全，它非常容易受到攻击。随着时间的推移，公司将意识到自己的脆弱性。我们唯一可以希望的是，发生的事件不会造成灾难性后果，并且可以通过良好的损害控制来纠正。了解我们的 ISO 实施咨询并启动您的信息安全管理项目。

歡迎光臨 Discuz! Board (http://17.skybbs.cc/)