在最近的过去,三件事几乎同时发生. 我录制了一段采访,内容涉及最近在这个空间发表的一篇关于广告信息安全的文章.1 ISACA® 发布了关于2023年隐私状况的调查报告.2 我的一些同事发表了一篇文章,题为《澳门赌场官方下载》.”3 这一系列事件引发了我的一些想法,我想和大家分享一下.
隐私,特别是信息安全,通常应该被视为任何组织实现其使命的一部分.
广告资讯保安
回顾一下这次采访和它所依据的文章, 我注意到硬件供应商, 软件和信息技术服务公司在电视上宣传其产品的安全性. 我想知道,为什么实施这些产品的澳门赌场官方下载不宣传他们保护信息的方式, 尤其是他们的顾客. 我的观点是,这些组织担心此类广告可能产生的善意可能会被一次网络攻击抹去. 总之, 我写道,信息安全专业人员“应该帮助他们的营销部门开发广告活动,突出正在采取的保护客户信息的措施。.”4
隐私与利益
在隐私报告中, 对董事会如何看待隐私项目的调查结果进行了分析. 给出的备选方案是合规驱动和道德驱动. 我对没有被问到的问题很感兴趣:没有选择 利益驱动.5 我认为,私营澳门赌场官方下载的董事应该始终考虑利润, 没有不尊重合规和道德. 那些不被驱使去赚钱的组织.g.在美国,公共部门、非政府组织(ngo)应该这样做 为导向. 重点是,隐私,特别是信息安全,应该始终被视为任何组织实现其使命的一部分.
环境、社会和治理
ESG是环境、社会和治理的常见缩写(至少在投资界). 这个词的意思是,投资时应考虑到经济回报以外的因素. 在一些政治圈子里,这被称为“觉醒的资本主义”.在另一些国家,人们认为投资者在赚钱的同时也应该做好事. 就像我永远不会提供法律建议一样,我也不会提供投资建议. 相信我,你不会想要我的投资建议的.)但我将从与信息安全相关的角度来阐述这一论点.
我相信信息安全对社会和治理都有贡献. 如果没有整体的安全感,我们人类就无法维持有意义的社会一致性. 我们的数字化世界是由信息推动的, 很多都是个人信息, 安全是把整个国家团结在一起的纽带. 致那些反对ESG的人, 我会问:你会投资一家没有足够安全保障的公司吗? 你会那样经营公司吗?
在我看来, 信息安全可能直接与利润挂钩,也可能不直接, but it definitely adds value to an enterprise: shareholder value in the case of publicly traded corporations; taxpayer value for the public sector. 问题是,我们这些专门从事这一领域的人在展示这种价值方面做得很差. 我的建议是,我们一直在基于没有漏洞的情况来评估和评估安全性. 换句话说,我们把信息安全的举证责任交给了犯罪分子. 这不是一个理想的营销策略. 更积极的方法是根据质量来预测安全的价值, 对客户的可靠性和价值.
安全的系统是更好的系统,这是不言自明的,或者至少应该如此.
安全与质量
高质量的销售. 从汽车到拉链,一切都是如此. 安全的系统是更好的系统,这是不言自明的,或者至少应该如此. 以达到可接受的安全水平, 设计人员必须首先就系统的安全性达成共识. 那些对国防有贡献的国家需要比那些对国防有贡献的国家更高的安全水平, 说, 保持保龄球联赛的比分. 软件开发人员必须朝着这个共识努力, 同时平衡包括成本在内的因素, 上市时间, 客户需求, 最低的客户接受度和易用性. 将安全性视为关键属性6 系统的开发导致在设计、编码、测试和发布方面更加谨慎. 因此,我对安全系统的质量发表了声明.
由此可见,安全的质量是, 从客户的角度来看, 总体质量的领先指标. 销售代表不必声称他们的产品不受任何威胁的影响. 他们只需要展示有助于安全性的特性和功能,以帮助销售, 如果不能完成交易, 并协助买家向管理层证明购买的合理性.
安全性和可靠性
我之前曾写道,停机时间是“当代网络攻击最重要的指标”.”7 几乎每个澳门赌场官方下载都在互联网上做一些业务,哪怕只是为了展示自己的广告. 如果它在互联网上的存在被关闭,它实际上是在关闭商店,直到网站可以恢复. 现在,如果网络攻击者关闭所有系统,其影响将增加一百倍.
从商业角度来看, 问题不在于可用性,而在于澳门赌场官方下载对客户和客户的可靠性, 在较小程度上, 对于其供应商. 只要系统是安全的,并且可以防止宕机, 私营部门可以继续赚钱,公共部门可以执行其使命. 如果预防措施失败,快速恢复是次佳选择. 可靠性是一个商业目标,在某种程度上,击退坏人是不可能实现的, 而且它在市场上具有价值.
对客户的价值
澳门赌场官方下载的客户永远不会知道安全软件的存在, 访问控制, 灾难恢复计划, 网络配置, 或者供应商系统中无数的控制和保护措施. 消费者也不是真的对这些东西感兴趣. Their interest is in having some reasonable assurance that the data they give to the enterprise will not be disclosed; that the money they have deposited will not be stolen; that the products they order will arrive on time; and that the transactions they entered today will still be there tomorrow, 不变. 这种隐性契约是顾客忠诚的基础,比免费样品更持久. 任何销售人员都知道留住满意客户的重要性. 在某种程度上,安全性是留存率的贡献者,它增加了底线.
如果保安专业人员不state profit and mission achievement作为 原因理由 为了信息安全,没有人会这么做. 这些因素对于那些不习惯将信息掌握在有权使用信息的人手中,而不是其他人手中的人来说更容易理解. 这是我们的故事,我们应该讲出来.
尾注
1 罗斯,年代.; S. Kazi,“广告信息安全”,ISACA® 播客,2023年2月28日 http://www.youtube.com/watch?v=3tEZ8dF8z4k. ISACA, 认为我的双月专栏从人类知识的总和中减去的还不够多, 最近在播客上录下了我对文章的采访吗.
2 ISACA, 私隐实务2023美国,2023年; http://zpbox.web-sitemap.xqzlsb.net/resources/reports/privacy - -实践- 2023报告中
3 约翰逊,K.; R. Funston; T. Reeves; “ESG Is Dead—Long Live ESG: Guidance for US Pension Fiduciaries,Funston咨询服务公司, 2023, http://www.funstonadv.com/in-the-news/esg-is-dead-long-live-esg-guidance-for-us-pension-fiduciaries
4 罗斯,年代.; “广告资讯保安,” ISACA® 杂志 卷. 1 2023, http://zpbox.web-sitemap.xqzlsb.net/archives
5 我以前在这个空间里讨论过这个一般的话题:罗斯,S.; “What Is the Value of Security?” ISACA杂志,卷. 2, 2011, http://zpbox.web-sitemap.xqzlsb.net/archives. 那时我的起点不同.
6 安全的设计,如果你允许我借用这个术语.
7 罗斯,年代.; “It’s About (Down) Time,” ISACA杂志,卷. 5, 2022, http://zpbox.web-sitemap.xqzlsb.net/archives
STEVEN J. 罗斯:cisa, cdpse, afbci, MBCP
是国际风险大师有限责任公司的执行负责人吗. 他一直在写一篇 杂志自1998年以来最受欢迎的专栏. 罗斯加入了ISACA® 2022年入选名人堂. 可以联系到他 stross@riskmastersintl.com.