Hvordan kan sikkerhed være både et projekt og en proces?

Q:

Hvordan kan sikkerhed være både et projekt og en proces?

Spørgsmålet om IT-sikkerhed er et komplekst spørgsmål, der kan kræve et stærkt, konsekvent svar over tid. Sikkerhed kan være både et projekt og en proces i den forstand, at virksomheder kan designe sikkerhedsprojekter til at opgradere deres systemer, mens de løbende foretager en kontinuerlig proces for at vedligeholde og forbedre disse projekter i fremtiden. Kompleksiteten af ​​de typer angreb, virksomheder og andre parter står overfor, kræver dedikerede, komplekse og flerkanalsvarige svar.

En virksomhed kan udvikle et specifikt sikkerhedsprojekt med sin egen tidslinje og ressourcer, men det er sandsynligt, at en sikkerhedsproces også finder anvendelse, hvor fagfolk arbejder over tid for at sikre sikkerhed og reagere på cybertrusler eller andre sikkerhedsproblemer. Virksomheder kan drage fordel af at placere personale i en af ​​disse to roller, hvor oprettelse og vedligeholdelse begge er prioriteter med hensyn til at beskytte forretningshemmeligheder, kundedata og eventuelle andre værdifulde dataaktiver.

Den dobbelte art af IT-sikkerhed demonstreres i amerikanske regeringsrapporter, der taler om livscyklusudvikling for sikkerhedsprojekter. Disse ressourcer på tilstrækkelig og omfattende sikkerhed påpeger, at tilstrækkelig sikkerhed ofte involverer løbende årvågenhed og vedligeholdelse snarere end en engangsinstallation eller opsætning. Eksperter taler om en flertrinsproces til sikkerhedspraksis, som kan omfatte en dataløkke, der tager information i for at opbygge fremtidige sikkerhedsprotokoller. Uden for føderale agenturer og andre grupper rådgiver virksomheder ofte om behovet for igangværende, dygtige sikkerhedsstrategier.

I sikkerhedssamfundet er der ideen om, at sikkerhed er mere end bare sikkerhedsarkitektur, at det er en slags levende proces, hvor fagfolk skal overholde de teknologier, som virksomheden bruger til tilstrækkelig virksomhedssikkerhed. Dette kan omfatte tæt overvågning af netværkets ressourcer, nye politikker for slutpunktsikkerhed, svar og reaktioner på nye vira, malware og angreb eller noget andet, der forbedrer en sikkerhedsarkitektur over tid.