在業務安全中使用 6 Sigma 的重要性
已發表: 2023-03-18安全威脅在不斷演變。 從網絡罪犯通過安全漏洞瞄準數字資產,到試圖實施網絡攻擊併計劃敲詐組織,保持數字安全基礎設施安全的重要性現在比以往任何時候都更加重要。 為了加強其完整性,組織應該開始使用 6 Sigma 來實現所有級別的安全性。
- 六西格碼和安全性如何對齊?
- DMAIC、六西格瑪和安全
- 定義問題和項目目標
- 詳細衡量當前流程的各個方面
- 分析數據以找出流程中的根本缺陷
- 改進流程
- 控制流程在未來如何完成
- 結論
六西格碼和安全性如何對齊?
首先,了解六西格碼到底是什麼很重要。 在其最基本的形式中,六西格碼可以定義為旨在通過降低錯誤風險來增強業務流程的管理技術。 但這如何與安全性保持一致? 同樣,在最基本的情況下,數據安全性是為了維護組織數字資產的安全和保障。
鑑於存在數據安全協議和流程,利用六西格碼來增強這些流程以降低所有能力的安全威脅風險是有意義的。 通過實施 DMAIC 六西格碼的主要方法之一,個人可以分解安全流程以確定任何弱點。 從那裡,他們可以採取主動措施來減少威脅窗口並確保他們的數據安全。
為您推薦:數據洩露後保護您的業務的 7 種好方法。
DMAIC、六西格瑪和安全
六西格碼方法 DMAIC 主要用於優化當前的業務流程。 DMAIC 方法分為五個步驟:定義、測量、分析、改進和控制。 數據是業務運營的重要組成部分,這五個步驟可以應用於任何已經到位的數據安全流程。 通過將 DMAIC 方法實施到數據安全實踐和協議中,組織能夠更好地理解在組織級別進行有關數據安全的工作背後的原因,識別任何弱點並降低整體風險。
定義問題和項目目標
在解決問題之前,您必須首先確定問題所在。 有時,這些問題是被動的,例如,組織遭受安全漏洞,他們現在正試圖加強其數字安全以防止未來的漏洞。 或者一些組織可能正在採取主動措施來關閉在安全風險評估期間發現的安全漏洞。 這些問題可以細化為單個流程,也可以細化為整個數據安全流程。
如果組織尚未在其數據安全實踐中使用六西格碼,則建議進行完整概述。 當公司完成這五個步驟中的每一個步驟時,可能會發現其他問題。 這些通常更具體到個別協議和流程。 當發生這種情況時,可以為每個人建立具體的項目目標。
一旦確定了總體問題,就必須確定項目目標。 如果沒有最終目標,您就無法定義成功。
詳細衡量當前流程的各個方面
這需要深入分析,通常從初始流程映射開始。 為了保持一致性,假設這是一個剛剛開始在其數據安全流程中實施 6 Sigma 的組織。 當組織開始流程映射時,映射樣式可能從基本流程圖開始,以查看安全程序。
在繪製這些流程時,繪製地圖的個人必須了解流程從頭到尾的流程。 此外,工作人員必須了解當前流程背後的原因。 在某些情況下,從表面上看,不同的流程更有意義; 然而,如果不討論當前協議背後的基本原理,可能會發生降低效率和有效性的變化。
要充分利用這種六西格碼方法,各方必須全面、深入地了解流程、流程、為何以這種方式工作以及如何優化它們。
您可能喜歡:您的業務網絡安全所需的文檔和協議。
分析數據以找出流程中的根本缺陷
至此,您已經確定了問題和目標,並通過使用流程圖對過程有了全面的了解。 現在,您必須匯總數據以找出流程中的根本缺陷。 那些參與 DMAIC 以優化安全流程的人可能對根本問題是什麼有一個大概的了解。
有時,組織可能已經準確了解其係統中的缺陷是什麼,但他們不知道如何解決這些缺陷。 例如,他們可能完全意識到他們的操作系統已經過時,或者他們需要在現有的安全堆棧中添加分層方法。 利用 DMAIC,組織的關鍵決策者可以充分理解為什麼會出現此問題,以及在實施之前需要考慮哪些流程。
收集數據以確定造成哪些威脅、如何減輕威脅以及安全基礎設施完整性受到損害的可能性,這些都是該階段的關鍵要素。 更進一步,所有相關方都必須了解已匯總的數據,以及如何最好地向前推進。
收集這些數據時,不僅可以確定根本問題,而且個人可以更好地找到改進流程的解決方案。
改進流程
牢記長期目標以及在上一步中匯總的數據,個人現在可以考慮針對根本缺陷的解決方案。 這可能是在網絡安全中使用 AI,轉向多因素身份驗證方法 (MFA) 或數據加密。 最終,它將取決於公司定義的問題、目標和根本缺陷。
決策者在改進流程時應牢記幾件事,例如員工的體驗。 可以理解的是,安全不應受到損害。 僅僅因為雙因素身份驗證可能看起來不方便,它不應該被忽視。 但是,在更改流程時,重要的是要考慮所有相關員工。 此外,決策者應考慮定價和與當前軟件的潛在集成。
為了讓所有員工參與將直接影響他們的變革,教育他們了解變革背後的原因至關重要。 例如,如果實施 MFA,可能會影響他們的訪問或基本登錄過程。 如果員工在不理解原因的情況下感受到了痛點,他們就會抵制,尋找變通辦法,整個過程就會受到破壞。 但是,如果員工意識到這一新流程可以提高數據安全性、降低數據洩露風險、提高組織的整體聲譽並影響底薪——進而可能影響他們的工資,他們就會實施這些變革。 為什麼? 因為他們現在明白這對他們有什麼好處。
如果公司因惡意軟件攻擊導致生產力和收入停止而損失七位數,其年終獎金將受到影響。 或者,如果在數據洩露後聲譽受損對公司產生長期影響,則可能需要裁員。 這些例子可能看起來很極端,但請考慮一下。 美國 99.9% 的企業是小企業,當小企業遭受網絡攻擊時,60% 的小企業會在事件發生後的六個月內關門大吉。 知道了這一點,這些例子就顯得不再過於極端了。
在實施新流程和/或軟件時需要考慮幾件事,例如用戶體驗、定價以及與現有解決方案的潛在集成。
控制流程在未來如何完成
在完成 DMAIC 的前四個步驟之後,最後的,也許是最重要的階段是實施政策,以確保新流程不僅在現在而且在未來都得到執行。 現實是對整個數據安全過程進行了完整的審計。 該組織現在知道自己的優勢和劣勢,並製定了降低風險的計劃和流程。 這總體上增強了安全基礎設施的完整性。 如果沒有適當的政策來維護這些新流程,組織很快就會發現自己處於妥協的境地。
制定政策以確保不僅流程正在發生,而且員工遵守這些新的安全協議也很重要。 通過讓所有員工盡快、高效地接受新流程,安全漏洞將得到緩解。 僅此一項就可以降低成為網絡安全威脅受害者的風險,如果執行這些威脅,將因生產力損失、停機時間、恢復成本、聲譽損失等而嚴重影響公司收入。
制定政策以確保新流程在當前和未來得到實施是 DMAIC 流程的最後一個要素。
您可能還喜歡:每個企業都應該知道的 12 種端點安全。
結論
6 Sigma 已被證明是一種有效的方法,可用於加強多個部門所有部門的業務實踐。 在審查和增強安全實踐時實施同樣的方法,不僅可以增強安全基礎設施的完整性,還可以立即降低組織的最低資金風險。
本文由 Aaron Smith 撰寫。 Aaron 是洛杉磯的內容策略師和顧問,支持 STEM 公司和數字化轉型諮詢公司。 他關注行業發展並幫助公司與客戶建立聯繫。 在業餘時間,Aaron 喜歡游泳、搖擺舞和科幻小說。