航空和网络安全的风险管理
我几乎整个成年生活都是 IT 和安全专业人士。 我的职业生涯始于网络工程师,很快就成为了安全工程师。 首先添加了防火墙认证,然后添加了入侵检测和预防。 安全领域持续扩大; 添加取证调查、电子取证、项目咨询等等。 在项目咨询中,我们的重点是确保项目的风险水平在组织可接受的水平之内。 在过去的三个职位中,我一直是网络安全组织的高层; 但我已经 wan从我记事起,我就一直是一名飞行员。
2018 年,我成为一名合格飞行员,并于 2019 年成为高级和仪表地面学校教练。 我最近完成了对大约 15 名不同技能水平、年龄和飞行员职业目标的学生的正式地面学校课程的教学。
我最近的一位学生和我年龄相仿,他一生都梦想着飞行,只是 wan做这件事只是为了好玩,而另一名 16 岁的学生渴望成为航空公司的飞行员,还有另一名年轻的学生渴望成为美国空军的飞行员。
虽然每个学习者都有不同的驱动因素和投资水平,但他们需要理解和接受该职业的一些关键基础知识。
当我写这篇文章时,我看着我的书架,里面装满了航空培训材料、技术和安全书籍。 查阅《联邦航空条例》(FAR) 和《飞行员信息手册》(AIM),您会发现其中包含 540 页的《联邦法规》第 14 章中包含的规则和条例,这些规则和条例管理飞行员、飞机、飞行和相关项目。 我这本书的版本是为飞行员编写的,因此不包含任何管理整个航空业的无数规则和规定。
“航空本身并不危险。 但比大海更严重的是,它对任何粗心、无能或疏忽都是极其不可原谅的。” — AG Lamplugh 上尉,英国航空保险集团,伦敦。 1930年代
回想一下我第一天在地面学校上课的经历,内容包括飞行历史和联邦航空管理局 (FAA),以及 117 年前的飞行历史,但这些规定或规则都不存在。 随着时间的推移,随着航空业的发展以及飞行员、乘客和平民的丧生,不幸的是,这些用血写成的法律是为了防止进一步的生命损失而制定的。
当我想到网络世界中所有当前的安全法规和要求时,例如 HIPAA、SOX,或者最近有关 GDPR、CCPA 和其他隐私法规的隐私法规,这些法规和要求也已写入生活。 虽然这些法律可能不是因为有人丧生而制定的,但有些人失去了生计、身份或储蓄。
FAR 中的大多数规定都是规定性的,这是您必须执行的。 网络安全中有一些严格而快速的规则和准则,必须遵守。 大多数其他领域更具启发性并且对国际开放erp回复,例如“我应该吗?”的问题或“我能做些什么来减少这种情况发生的可能性?”。
这就是风险管理和自由裁量权发挥作用的地方。 飞行是一项非常有益的活动,并且可以采取一些措施来降低风险。 在教学时,我喜欢采取让学生思考他们将使用哪些风险管理技术来确保积极的结果的方法。tco我应该有些事情不会按计划进行。 这同样适用于网络:您将采取哪些步骤来确保成功tco项目并减少出现问题的可能性,以及如果确实出现问题,您将如何解决这些风险,以便可以最大限度地减少出现问题的影响。 (风险管理和事件响应)。
我打算发表一系列简短的文章,对航空风险管理与网络安全风险管理进行比较和对比。 我很乐意与其他网络安全专业人士合作,他们也是未来文章中相同点和不同点的试点。 在下一篇文章中,我将介绍清单、它们是什么、不是什么,以及如何在基于风险的方法中使用它们。 接下来我会重点谈谈航空和网络在训练和心态上的差异。 之后,我将讨论如何演练该程序、如何练习处理出现问题的情况(例如引擎退出程序)以及如何定期测试网络安全流程和程序(例如备份、修补、事件响应等)。
关于作者
