很多信息安全協(xié)會都在爭取企業(yè)成為其會員��。會費可能會非常昂貴�����,高達上萬美元一年�。在相對低迷的經(jīng)濟環(huán)境和預算壓力下,很難證明花這筆錢是值得的�����。然而����,如果合理使用,協(xié)會會員能從安全投資上獲得豐厚的回報����。在這篇文章中,我們將看看如何選擇正確的協(xié)會��,并獲取豐厚的回報��。
1.明白組織章程
對于公司來說,有很多種不同種類的信息安全協(xié)會可供選擇���。ISAC(信息共享與分析中心)提供風險����、弱點與威脅方面的信息�,還提供一套匿名報告體系,供工業(yè)部門的會員分享安全信息���,如攻擊類型和攻擊偏好等�,同時不會暴露公司的數(shù)據(jù)和信息�。另一些協(xié)會著重于在組織間分享最好的方案,并準備文件和工具來改善安全措施����。
在眾多不同的協(xié)會中,每一個協(xié)會都有自己獨特的地方����。有些擅長與地理分析�,有的關(guān)注特定的行業(yè)或部門,其他的一些協(xié)會則由特定規(guī)模的公司組成���。你可以點擊這里查看比較知名的行業(yè)協(xié)會以及它們的各自特點��。
2.了解加入?yún)f(xié)會的收益
仔細研究細則���,并列舉出公司加入?yún)f(xié)會以后的顯性收益及隱性收益���。不要忘記同協(xié)會中的會員進行討論,尤其是與你公司規(guī)模相同�、行業(yè)相似的公司。
3.明確會員義務(wù)
行業(yè)協(xié)會會員是雙行道��。特別是ISAC這種����,投資回報率主要依賴于會員公司所提供的信息。確保管理層明白將數(shù)據(jù)提交給ISAC�����,并與其他公司共享安全數(shù)據(jù)的概念與步驟��。不論怎樣都不要過于投入��。參加過多的行業(yè)協(xié)會將降低你的關(guān)注度�����,也會降低你從會員制中所的得收益。
4.指定一名代表以及預備代表
在公司中指定一個員工����,負責處理與協(xié)會的關(guān)系。代表負責查收所有的出版物����、新聞郵件以及一些其他的會員資料,并在公司與協(xié)會之間做好溝通工作�。如果公司中有人能完全明白會員資格的收益與義務(wù),那么就能更好的衡量成為會員所能帶來的收益��。你還應該指定一名預備代表�����,隨時填補原有代表的空缺�。更重要的是,要提醒代表與其他公司交換信息的原則與底線�。
5.一定要參與
大多數(shù)主要的信息安全協(xié)會都會召開會議,主辦培訓�����、網(wǎng)上信息發(fā)布�����、電話會議等等����。有時,參加這些活動的費用已經(jīng)包括在會費中����。而這些活動則是你從會員資格中獲得投資回報率的關(guān)鍵。
6.每年對會員資格重新加以評估
在續(xù)費之前�����,一定要與你們派往協(xié)會的代表坐下來好好商討一下����,看是否需要繼續(xù)參加這個協(xié)會。代表們要列舉上一年公司從會員資格中獲得的收益���,這些收益包括:在新的攻擊產(chǎn)生前便能提供警報��。為你公司量身定做的安全協(xié)議和指導��,一年能節(jié)省大約$xx�。與同行業(yè)的公司建立聯(lián)系,并在防止攻擊與威脅方面分享信息與心得�����。
誠然�����,對于很多公司來說���,會費不是一筆小的開支����。但如果能明智使用��,信息和安全資源能帶來很好的投資回報率�。
關(guān)于作者
Al Berg,CISSP���,是公司企業(yè)信息安全部的技術(shù)指導�,專為金融服務(wù)業(yè)提供計算機服務(wù)��。Al已在信息安全業(yè)工作了10年,并為很多大型企業(yè)以及美國國防部提供咨詢服務(wù)��。AL曾在很多美國與歐洲的研討會上發(fā)言�,并發(fā)表過很多關(guān)于網(wǎng)絡(luò)和安全的文章�����。
