的原则 需要有可用的 可以总结为只拥有下一组任务所需的权限吗. 它建立在原则的基础上 需要知道 因为权限的分配不仅基于角色和职责,更重要的是基于下一步的计划. 需要有可用性的原则侧重于不常作为信息安全的一部分讨论的概念, 比如有时间限制的任务, 可以相对快速地撤销和重新分配的权限, 以及在任务完成时对其权限进行重新评估的用户和系统. 将该原则付诸实践可能会令人望而生畏,因为它需要适当级别的计划和监督,以及关注并不总是处于信息安全词汇表中心的概念的开销.
需要可用的原则可以大大限制勒索软件的影响. 如果“需要可用性”这一原则能够得到积极应用,并具有正确的严格程度,那么去年发生的大多数重大网络攻击的影响可能会更有限. 例如, 考虑阶段1的勒索软件负载, 在第2阶段,遭受勒索软件攻击的员工的文件系统中的文件开始被加密. 员工的访问权限是否被限制为只能访问他们执行下一组任务所需的数据, 勒索软件对他们文件的影响会小一些. 此外, 访问权是否受到限制, 会有一组权限限制负载可以访问和搜索要加密的数据. 勒索软件的影响将进一步降低,因为可供加密的数据将更少,并且权限将限制勒索有效载荷可以部署的位置.
组织应该像对待新产品或服务一样对待这一原则的推出. 避免任何默认包含是很重要的, 例如信息安全策略, 没有事先的影响评估. 通过检查团队,从实施计划开始, 在其操作中具有一定成熟度的角色和系统. 如果讨论在特定时间内完成的计划任务会疏远听众, 他们可能还没有准备好在他们的业务中推行这一原则. 尽管我们愿意相信相反的情况, 考虑到并非所有与工作相关的活动都可以分解为计划任务,这是正常的. 推出该原则最有可能的结果是知道组织中的哪些角色和级别具有实现该原则的操作成熟度.
基于您组织的风险状况, 您应该调查组织的哪些领域将从应用需要可用性原则中获益最多. 如果对您的组织没有明显的附加好处,就没有理由推出有时间限制的撤销和重新分配权限的活动. 额外好处的一个例子包括降低涉及您最重要的数据或流程的风险. It is also likely that parts of the organization may not be ready to adopt the principle now but may be able to in the future; therefore, 成熟度路线图应该考虑到这一点. 在您的组织中使用现有的程序将是捕捉风险环境变化的关键,并确定现在可能还没有准备好的领域,但这些领域是应用未来可用的需要原则的良好候选者.
需要可用的原则提供了一种限制重大网络攻击影响的方法. 为了使原则有效, 您必须根据完成一组任务所需的数据预先考虑需要哪些角色或权限. 这可能会导致风险,例如撤销剩余的员工角色,并在撤销后发现他们是必需的. 尽管在执行任务时需要考虑应该保留哪些角色的开销, 这一原则提供了一种在事件发生时限制其影响的方法. 与信息安全的任何原则一样, 运用这一原则需要教育和意识. 向您的组织中目前没有实施或处于实施需要可用原则的位置的领域解释这些好处,将为未来的合作奠定基础.
编者按: 要进一步了解这个话题,请阅读Yiannis Pavlosoglou最近在《澳门赌场官方软件》上发表的文章, "需要可用的关键原则" ISACA杂志,第2卷,2022.
《澳门赌场官方下载》今年创刊50周年! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 偏好中心 选择加入!
