プライベート環境に実装するセキュリティ制御

私はこの会社では初めてですが、ここでセキュリティに興味があるのは唯一の人です。

太字のフレーズが文字通り真実である場合、あなたはすでに問題を抱えており、あなたのアイデアを効果的に実行することができないかもしれません。 ITセキュリティは、1人の個人の責任ではなく、またそうすべきではありません。職場のセキュリティ文化が緩い場合は、経営陣がセキュリティを優先することを決定しない限り、セキュリティはビジネスに付加価値をもたらすと見なされる大きな投資にはなりません。

IT監査人としての私の経験では、上級管理職によって採用およびモデル化された企業のITセキュリティポリシーが不可欠です。 コントロールを無計画に実装するのではなく、まず経営陣と協力してITセキュリティポリシーを採用することを検討することをお勧めします。

優れたITセキュリティポリシーは、次のような分野で経営陣の期待を広く設定する必要があります。

• 会社の資産とデータの保護に取り組む従業員の期待。
• ポリシーがどのように実施されるか
• ポリシー違反からどのような結果が予想されるか
• 企業資産をビジネスにとっての「価値」ごとに分類する方法

どの資産が最も価値があり、経営陣がそれらの資産を保護するという使命をどのように見ているかを知って初めて、セキュリティ管理が効果的になります。ポリシー文書に記載されているITセキュリティに対する経営陣の姿勢を学んだ後、次のステップはリスク評価です。基本的に、この段階で以下の質問に答えます。

• 特定された貴重な資産を脅かす可能性のある脅威/攻撃元は何ですか？
• そのような攻撃が発生する可能性はどのくらいありますか？
• 攻撃が成功した場合、結果として生じる損害はどの程度深刻になる可能性がありますか？ （影響）
• 影響を軽減するために、すでにどのような問題を緩和する要素がありますか？ （補正コントロール）

リスク評価を完了した後でのみ、セキュリティ管理策を管理者に有意義に推奨して実装することができます。あなたの会社の「ITセキュリティ文化」が欠けていると上記で述べましたが、あなたが提供した限られた情報に基づいて価値のあるいくつかのコントロールがあります。

私たちのサイトの1つは外部からアクセスできますが、そのようなリダイレクトは管理していません。別の会社がネットワークの管理を任されています

ネットワーク管理がサードパーティにアウトソーシングされている場合、次のような制御が行われていることを確認する必要があります。

• 契約条件-SLA監視と監査の権利が不可欠です
• ネットワークへのベンダーアクセス-アクセスプロビジョニングとデプロビジョニングはどのように管理されていますか？
• ユーザー認証-ベンダーは、信頼できないインターネットから公開されているWebに面した会社のアプリケーションにアクセスするユーザーのIDをどのように認証していますか？