[Rompiendo las reglas ocultas de la seguridad de la información] Seguridad de la información

En el camino hacia la solución de la seguridad de la información, la gestión es la base y la tecnología la garantía. Sólo garantizando la seguridad de la información en términos de gestión, sistema y tecnología se podrá utilizar plenamente el valor máximo de los activos de información empresarial. Hasta cierto punto, la informatización es el proceso por el cual la información corporativa pasa de los medios tradicionales en papel a los medios electrónicos, lo que facilita el intercambio de información corporativa y el análisis estadístico y, en última instancia, se convierte en la base de las decisiones de gestión corporativa. La seguridad de la información consiste en maximizar los beneficios de la información y al mismo tiempo garantizar la confidencialidad de la información empresarial. Para ello, debemos encontrar un equilibrio entre la seguridad de la información y la eficiencia de la información.

Tratar la seguridad de la información de manera racional

En el proceso operativo real de las empresas, hay dos fenómenos cuando se trata de la seguridad de la información: primero, los altos directivos hablan de seguridad y piensan que una vez que la información está electrónico, la información se perderá. No se puede garantizar la seguridad. Esto se ha convertido en una "regla oculta" que obstaculiza la implementación de la informatización; en segundo lugar, el personal de TI simplemente cree que la seguridad de la información es un problema técnico que puede resolverse mediante medios técnicos (como firewalls, detección de intrusiones, etc.). ), se centran en la ciberseguridad sin comprender realmente el dolor del liderazgo.

El autor cree que cuando se trata de cuestiones de seguridad de la información, es necesario aclarar los siguientes puntos:

1. Persistencia: también debemos prestar atención al desarrollo de la tecnología. como seguridad de la información tradicional e información no tradicional La evolución de la seguridad;

2. Integralidad: la información empresarial cubre todos los aspectos de la gestión empresarial, como fórmulas de productos, procesos de fabricación, tecnologías de producción, etc. y se debe prestar atención a todos los aspectos del flujo de información;

3. Complejidad: las características de continuidad e integralidad determinan la complejidad de la seguridad de la información. El uso de la ingeniería social, desde la aplicación de sistemas técnicos hasta la mejora de los sistemas de gestión, puede resolver completamente la situación pasiva de la seguridad de la información;

4. Estratégico: el conocimiento y la comprensión de los gerentes sobre la seguridad de la información es la clave. clave para resolver problemas de seguridad de la información La fuerza impulsora fundamental es que la implementación de la seguridad de la información empresarial debe elevarse al nivel de inteligencia competitiva empresarial y protección de secretos comerciales empresariales.

En el camino hacia la solución de la seguridad de la información, la gestión es la base y la tecnología la garantía. Las empresas deben considerar la seguridad de la información tanto desde el punto de vista técnico como de gestión. En primer lugar, debemos otorgar gran importancia a la seguridad de la información desde una perspectiva estratégica de gestión y elevar la seguridad de la información al nivel de protección de secretos comerciales corporativos, como auditar la seguridad de la información durante las auditorías corporativas. En el Examen de Certificación de Auditor Interno Certificado Internacional, la auditoría de seguridad del sistema de información es una parte importante, incluida la gestión de recursos del sistema, la gestión de clasificación de recursos de información, la gestión de cuentas del sistema de información, la gestión de incidentes de seguridad, etc.

En segundo lugar, a nivel técnico, se deben utilizar las tecnologías de seguridad correspondientes para resolver los problemas de seguridad de la información y garantizar la seguridad de la información, como firewalls, detección de intrusiones, seguridad de transmisión, seguridad de bases de datos, gestión del comportamiento en línea del usuario interno, etc. . , necesitamos seguir dinámicamente los avances tecnológicos. Sin embargo, la tecnología no es el propósito. Su objetivo es garantizar la seguridad de las aplicaciones en toda la empresa y facilitar aún más el escalado de las aplicaciones.

Construcción de seguridad de la información empresarial

Sistema de gestión

Sobre la base de comprender plenamente la relación entre gestión y tecnología, es necesario construir una empresa desde tres aspectos : sistema, proceso y personas. Sistema de gestión de seguridad de la información.

1. Para fortalecer la capacitación en concientización sobre seguridad de la información, en primer lugar, los líderes empresariales deben darse cuenta de la importancia de la seguridad de la información y, al mismo tiempo, también deben fortalecer la capacitación del personal técnico y unificar sus capacidades. comprensión.

2. Cooperar con la protección de los secretos comerciales, establecer las organizaciones profesionales correspondientes, incorporarlas a la protección general de los secretos comerciales de la empresa e integrarlas en la organización de gestión del grupo.

3. Clarificar el nivel de seguridad de la información en un trabajo específico, y determinar qué servicios de seguridad son necesarios en función de las diferentes características de cada sistema de aplicación. No toda la información debe transmitirse estrictamente en tiempo real. Por ejemplo, la información en el buzón puede verse interrumpida durante varias horas durante el proceso de transmisión, por lo que no es necesario adoptar el nivel de seguridad más alto y también puede reducir la inversión de la empresa en seguridad de la información.

4. Desarrollar un sistema de gestión de seguridad de la información. Por ejemplo, al asignar cuentas y contraseñas a los usuarios, puede agregar métodos de autenticación de hardware como tokens, discos de claves y claves, o incluso cooperar con la autenticación virtual de nivel superior. Además, para establecer un sistema completo de gestión de seguridad de la información y establecer diferentes permisos para los usuarios, la contraseña de la cuenta del usuario debe modificarse después de un cierto período de uso.

5. Con base en lo anterior, tomar medidas preventivas en términos de personal y tecnología. El personal son los operadores que implementan la seguridad de la información, y las medidas preventivas para el personal deben ser más pensadas al mismo tiempo, no podemos confiar completamente en la tecnología; Mientras tomamos algunas medidas técnicas, debemos prepararnos para lo peor y cortarlo de raíz.

Debido a la falta de conocimientos profesionales sobre seguridad de la información, los gerentes comerciales y los departamentos de información no saben dónde están las amenazas a la seguridad de la información. Por lo tanto, existe una necesidad potencial de realizar una evaluación de los riesgos de seguridad de la información. se ha cumplido la evaluación de riesgos. Es necesario promover la viabilidad de la evaluación de riesgos de seguridad de la información en términos de políticas nacionales, estándares industriales, tecnologías clave, protección de secretos (integridad empresarial), etc.

El establecimiento de un sistema de gestión de seguridad de la información empresarial se basa en última instancia en las necesidades de aplicación de la empresa. Las diferentes necesidades de los diferentes procesos, como finanzas, ventas y producción, son la motivación y el propósito más fundamentales del proceso. establecimiento de un sistema de seguridad de la información.

Supervisar la implementación de la seguridad de la información

La seguridad de la información es una parte importante de la protección de los secretos empresariales, es un proyecto sistemático que involucra a cada empresa, cada departamento e incluso cada empleado.

Al formular un sistema completo, las empresas deben fortalecer la supervisión e implementación de la seguridad de la información corporativa y combinar la división de la orientación profesional con la supervisión y la implementación de acuerdo con las responsabilidades de cada departamento de la empresa.

Basado en la división de responsabilidades de cada empresa y departamento, brindar orientación profesional a las empresas para implementar medidas de protección de seguridad de la información y formar un sistema completo de protección de secretos comerciales. Las instituciones profesionales relacionadas con la protección de secretos comerciales deben fortalecer la supervisión y inspección, y descubrir y analizar rápidamente los problemas existentes en la protección de secretos comerciales corporativos, complementar y mejorar el trabajo de seguridad de la información, resumir y promover prácticas avanzadas y experiencias exitosas, y esforzarse por explorar formas efectivas de proteger los secretos comerciales corporativos.

El departamento de auditoría debe incluir la auditoría de seguridad de la información (protección de secretos comerciales) como parte del trabajo diario de auditoría, elaborar un informe de auditoría formal y presentarlo a los niveles de gestión y toma de decisiones de la empresa para promover la seguridad de la información.