文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

企业采取安全措施的五种方法

2024-11-29 22:38

关注

就连佳能、Garmin、Twitter、本田和Travelex等知名企业也曾成为恶意攻击者的受害者。数据泄露对企业或项目来说可能是一场灾难,破坏客户的信任,破坏公司的声誉。

许多项目经理仍然认为项目安全是其他人的责任——软件架构师、DevOps、信息安全专家等。然而,项目经理的任务是确保您创建的产品或您交付的服务是安全的。

如何检查安全性,以及在启动新项目时可能面临哪些意外的安全性问题?以下是确保开发安全产品并使项目更安全的五种方法。Sigma Software公司团队有一些关于在SDLC中实现安全实践的有价值的技巧。

安全不再是一个“拥有就好”的选择。每一家与第三方咨询公司合作启动新项目的企业都希望确保供应商遵守安全实践。最简单的方法是让供应商完成一份评估清单,其中有一部分专门用于提供项目安全性。这样的清单只不过是一个公司对其安全程序有多好的想法。情况可能大不相同。

有时,公司对这些清单中提供的信息感到满意。现在,企业正在寻找的不仅仅是文字——证明已经实施了安全措施,并在日常工作中遵循了这些措施。如何才能确切地证明这一点?以下是五种最常见的方法。

1.在互联网上追踪公司

收集公司信息主要有两种途径。第一个是OSINT(开源情报),建议从公开可用的来源收集数据,包括媒体(报纸、广播和电视等)、在线出版物、博客、讨论组、YouTube和其他社交媒体网站、公共政府数据(报告、预算、听证会、电话簿、新闻发布会、网站和演讲)、技术报告、专利、工作文件、商业文件、通讯等。

这是很多的信息,分析需要大量时间,但是,这是一种有效的方法,可以找出公司过去或现在在数据安全方面存在的任何弱点。

企业还可以借助专门的平台和工具进行第三方风险评估。这些解决方案(例如Risk Recon、BitSight等)提供了现成的评估程序,帮助评估供应商,并决定是否与他们合作。

所以,看到公开的每件事都会影响整个画面。一个包含漏洞的应用程序会影响企业的声誉,即使它是内部使用的,即使它发生在几年前,即使它只发布了一个小时。可能会忘记上传到网络上的内容。互联网不会忘记。你有能力减少受攻击的区域,并尽量减少可以用来对付你的信息。仔细看看你公开的东西。

2.进行独立评估

外部评估是确认供应商遵循所有安全实践的最常用方法之一。企业必须确保这样的评估结果与清单中指定的结果相匹配。否则,你会发现自己处于一个脆弱的位置。因此,在填写清单时,可以省略虚假信息,避免美化事实。如果意识到自己不够好,无法与现有的竞争对手成功竞争,这是一个行动呼吁——提高企业的安全性,因为无论如何你都必须这样做。这是不断变化的现实的要求。

3.审核内部测试报告

为了检查项目是否安全,企业的潜在客户可能会要求提供有关渗透测试的内部报告。这样的测试应该至少每年进行一次,或者在任何重要的发布之前进行。因此,如果企业的项目运行了三年,应该向客户提供三份报告,并且最好都有。

让它成为每次进行渗透测试的规则。定期控制这个问题,这样你就不必在时间到来的时候急于找到摆脱困境的方法。

4.检查网络钓鱼意识

当宣称企业实施了安全实践,并教导员工如何开发安全软件和防御现代威胁时,需要记住,你的客户可能想要检查这是否属实。一种方法是发送网络钓鱼邮件。如果企业收到一封网络钓鱼邮件,而员工回应了,这意味着安全措施并不像你想象的那么好。

对于企业的团队不了解或不遵守基本安全规则的客户来说,这是一个危险信号,这会使您当前的客户处于危险之中。确保企业培训团队识别网络钓鱼电子邮件以及如何在收到它们时采取行动。

5.直接沟通

直接沟通在任何情况下都是非常重要的。

关于安全的交流也不例外。无论是对企业的安全措施说了什么,怎么说,是检验是否了解这个主题的试金石。争取该领域专家同事的支持。

不要冒险让你的客户知道的和你一样多。这很有趣,但这是双向的;如果是一个安全专家,这并不重要。即使在这个领域很明智,其任务是确保能开发出一种安全的产品,而不是让客户对他们在这个领域的知识水平感到不安。

来源:机房360内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯