November 12, 2006

Security Strategy

Being computer security one of my hobbies and my job, I always tend to believe that it is important to protect of our systems as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 due care that is supposed to be part of our job description. However, I must recognize that I was wrong.

The common acceptance of risk analysis as a tool for determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures that must be applied and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that are unnecessary, has dismissed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idealistic thought that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more secure a computer system is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. And it is important to have done so because having a secure computer is expensive (Yes, time is money also) and, even more, a secure information system.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early stages of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security adoption within a company, it is very common to assign a higher priority to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good practices over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business strategy. The confusion is so big that in some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy is defined based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk analysis. Although it is true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk analysis should have been based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact that unavailability, lose of integrity and lose of confidentiality may have on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's business, I don't think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper way to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security strategy. The security strategy must be defined based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business strategy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and must be decided before performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk analysis or implementing any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasures (besides reactive ones, of course). As recognized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 international standard ISO 17799:2005, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's overall business strategy and objectives" are identified as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources for defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security requirements, togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal and operational requirements.

From a business point of view, security is a cost, and thus, it must be added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that are included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value chain of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products or services that are provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. Every dollar added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of a product or service must be perceived by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer as differentiation, i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer must be willing to pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra money for having that level security, or else, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company will lose competitive advantage.

Security costs can be classified in three groups:
  • Required security costs: Those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures that must be applied by every company in that business. Every competitor must incur in those costs. The most common example is implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements of a law (Sarbanes-Oxley, Basel II, etc.)
  • Strategic security costs: Those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs that are related to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business strategy and produce differentiation. For companies that sell hosting or that act as certification authority, security is a differenciator and its value is (or should be) directly perceived by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.
  • Risk management security costs: Those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs accepted to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accepted residual level.
Obviously any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cost that is not included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three groups must have been previously dismissed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk analysis.

It should be quite easy to formulate a specific security strategy that includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security objectives that produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two types of costs. As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third one, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a couple of valid solutions. Something similar to "Do a risk analysis and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks to a residual level" could do. However that is very vage and I don't like it. When being specific is required, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best source again is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business strategy and, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no clear security needs that come from it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Systems strategy, that should be aligned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former.

As Sun Tzu said: "All men can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tactics whereby I conquer, but what none can see is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy out of which victory is evolved."

0 Comments:

Post a Comment

<< Home