A: Các chính sách bảo mật hiệu quả (những gì thực sự hoạt động chứ không phải những gì phủ đầy bụi được đặt trên kệ) cần 2 đặc trưng – [1] kết quả kinh doanh phải đạt yêu cầu nếu chúng ta tuân theo chúng và [2] chúng cần phải được tuân theo – nếu chỉ có một thì nó sẽ không có hiệu quả gì. Mỗi một điều kiện có những phương pháp và cách tiếp cận riêng của nó, nhưng điểm tương đồng của chúng là con người, không phải là lý thuyết trừu tượng về luật pháp cũng như kĩ thuật.
Một mình sự tuân thủ không đảm bảo cho sự thành công – nếu chính sách đó không tốt thì nó không còn quan trọng dù mọi người có làm theo hay không, hay nó có phù hợp với các tiêu chuẩn khác hay không. Điều đó tương tự một câu ngạn ngữ cổ của Afghanistan: “một cái áo choàng chỉ là một cái áo choàng khi nó giúp bạn ấm áp”. Các chính sách hiệu quả cần dựa trên những yêu cầu kinh doanh – không dựa trên sự ngẫu hứng của một cá nhân từng trải nào cũng như những phán quyết đột xuất góp nhặt từ những lần thay đổi các quy định. Không một bộ phận đơn lẻ nào có thể xây dựng và thực thi toàn bộ các chính sách bảo mật. Chúng phải được xây dựng từ sự cộng tác giữa các bộ phận kinh doanh và kết quả phải làm thỏa mãn được tất cả sự lo âu. Bảo mật là một vấn đề con người, không phải vấn đề kĩ thuật. Mọi chính sách đều bắt nguồn từ bộ phận quản lí tài sản và các quá trình cần được bảo vệ. Họ là những người nắm rõ những gì thực tế hoạt động từng ngày. Mỗi một vấn đề sau khi được giải quyết sẽ là điều kiện cần thiết để xây dựng chính sách. Sự phát triển của mỗi một giải pháp bao gồm sự đóng góp của rất nhiều bộ phận và ban giám đốc, và tất nhiên cả những người làm việc trực tiếp, tuy nhiên bạn sẽ không bao giờ có được một giải pháp hoàn hảo nếu đầu tiên bạn không đưa ra được những câu hỏi chính xác.
Tin cũ hơn:
- 26/10/2009 11:53 - Q: Cách tốt nhất để đảm bảo an toàn đối với các đối tượng có toàn quyền truy cập dữ liệu như DBAs và quản trị viên máy chủ mà không cản trở họ làm việc một cách hiệu quả là gì?
- 26/10/2009 11:52 - Q: Gần đây tôi có nghe rất nhiều về công nghệ phòng chống thất thoát dữ liệu (DPL) – đó là cái gì và nó có khác gì mã hóa?
- 26/10/2009 11:46 - Q: Điểm khác biệt giữa IDS và IPS là gì, nêu những ưu điểm của chúng?
- 26/10/2009 11:45 - Q: Những tổ chức nào nên cố gắng bảo việc dữ liệu của họ?
- 26/10/2009 11:39 - Q: Sản phẩm mã hóa nào là kinh tế nhất cho các doanh nghiệp nhỏ và nhà cung cấp nào là tốt nhất?