Costo del fallimento delle infrastrutture di rete

Informazioni Criticità

E 'importante iniziare a guardare criticality.You informazioni' ll scoprire che si tratta di un tema comune in tutta sicurezza la maggior parte dei testi, perché non c'è nessun punto per garantire qualcosa che nessuno vuole. Criticità dell'informazione è una valutazione di ciò che la rete possiede e quanto sia importante che è nello schema generale delle cose. Non tutti i dati sono stati creati uguali, e se la vostra azienda produce vasche di acciaio per l'alimentazione di cavalli, ci sono buone probabilità che i tuoi dati di rete non è così interessante per un potenziale aggressore, come i dati in una società di intermediazione di titoli azionari online o una banca o della carta di credito network.Therefore casa, avete bisogno di guardare la criticità delle informazioni e decidere quanto siete disposti a spendere per garantire che le informazioni. Nessuno vuole una violazione della sicurezza, ma non avrebbe senso un buon affare a spendere 15 milioni dollari per proteggere una rete per una società che tira in 5 milioni dollari l'anno e non memorizza dati personali sensibili, come numeri di carta di credito o documentazione medica. That ha detto, proprio perché la vostra azienda produce 5 milioni dollari all'anno, non significa che si non dovrebbe esaminare seriamente la criticità dei dati, per essere sicuri di non avere un'eccessiva esposizione. Se si memorizzano i numeri di carta di credito o documentazione medica, è meglio essere sicuri vostre soluzioni di sicurezza sono fino a norme, perché la vostra responsabilità di legge potrebbe essere notevolmente superiore a quella 5 milioni dollari l'anno in gran fretta.

Impact Analysis

Noterete come leggere gli articoli per i piani individuali zona di sicurezza che alcune delle sovrapposizioni informazioni. E 'difficile effettuare un'analisi d'impatto su una violazione delle infrastrutture anche senza vedere come sarebbe influenzare i componenti di rete wireless, il vostro sito Web, o il tuo politiche e procedure. Tuttavia, nel guardare l'impatto per l'infrastruttura, è necessario capire come una violazione potrebbe pregiudicare il fondamento stesso della sua analisi di impatto organization.The dovrebbero includere:

-- Costo del fallimento infrastruttura di rete (downtime) Server giù, giù database server, i router verso il basso, ecc

-- Costo delle infrastrutture di rete disponibile (lenta o non risponde)Denial-of-service (DoS), inondazioni pacchetto, ecc

-- Costo delle infrastrutture di rete viola la riservatezza dei dati, integrità, disponibilità Man-in-the-middle, spoofing, phishing, ecc

-- Costo per la reputazione dell'azienda Vendite perse, perso clienti, la perdita di rapporti commerciali a lungo termine.

-- Costo alla società Costo degli interventi di bonifica, i costi del contenzioso. Criticità si dovrebbero combinare le informazioni con i risultati della sua analisi di impatto a formare un quadro chiaro di ciò che si sta cercando di proteggere e perché. Quando si comprendere l'impatto, è possibile vedere dove sono le zone importanti della vostra organizzazione, e può utilizzare queste informazioni, in parte, di dare priorità il tuo approccio alla protezione della rete.

Sistema Definizioni

Sistemi di infrastrutture includono chiaramente la "spina dorsale" dei servizi, compresi i server DHCP, DNS server, directory server di Servizi, e-mail server, database server, firewall, DMZ, router / switch, sistemi operativi, server Web e applicazioni di sicurezza (antivirus, antispyware , IDS / IPS, ecc.) Se è utile, si può anche guardare i vostri sistemi dal punto di vista del modello OSI, dal livello fisico attraverso il livello di applicazione, qualunque sia più senso per voi e il vostro team. Creare (o aggiornamento) diagrammi di rete può anche essere incluso nel definizioni Panoramica del sistema, in quanto il modo in cui tutto sta insieme fa parte della comprensione del tutto.

Le informazioni sui flussi

Un settore che è a volte trascurato nella fase di valutazione è il flusso di informazioni attraverso l'area infrastructure.This può essere usato in congiunzione con le definizioni di sistemi per la mappatura della rete e di scoprire le aree chiave che devono essere protette e come un hacker sarebbe arrivare a tali attività. aiuta a volte a guardare il flusso di informazioni da diverse prospettive. Per esempio, in che modo le informazioni da un flusso computer dell'utente? Come funziona il DNS o DHCP flussi di traffico attraverso la rete? Come è il traffico esterno che entrano in rete gestita, e dove e come si entra? Come è il traffico di lasciare la rete per la rete pubblica (Internet), gestito? Creazione di una mappa della vostra infrastruttura di rete e il flusso di informazioni vi aiuteranno a visualizzare la vostra rete e individuare i potenziali punti deboli.

Ambito

Si potrebbe desiderare di limitare la portata del progetto di sicurezza delle infrastrutture per una serie di ragioni. "Scoping" è spesso fatta quando si è l'impiego di un consulente esterno di sicurezza. Tuttavia, se si sta facendo questo lavoro internamente, si potrebbe limitare la portata qui, oppure si può scegliere di fare una valutazione completa e quindi limitare la portata dopo aver visto cosa è cosa.

Persone e processi

Chiaramente, le persone ei processi che hanno un impatto anche la sicurezza di rete in una grande strada. La maggior parte si verificano violazioni di sicurezza dal di dentro, non all'esterno, nonostante si concentrano sensazionalismo dei media sulla gente breaches.The esterna di sicurezza della vostra organizzazione può essere la vostra difensori o ti scandalizza, a seconda del modo in cui approccio alla sicurezza. Savvy, ben informato gli utenti possono aumentare le misure tecniche di sicurezza, evitando di diventare vittime di ingegneria sociale, che indicherà le attività sospette, evitando di phishing e-mail, o non lasciare il proprio computer connesso e incustodito. Tutta la sicurezza nel mondo non è possibile prevenire i problemi, se gli utenti non stanno tirando il loro peso. Ci sono molti modi per informare e coinvolgere gli utenti e, purtroppo, molti reparti IT non sfruttare queste opportunità con molto successo, perché spesso sono vittime di un utente ", come il dolore nei quarti posteriori" mentalità. Diamo un'occhiata a come gli utenti e dei processi organizzativi dovrebbero essere riesaminate nel corso di una valutazione delle infrastrutture.

Profili utente

Quali tipi di utenti hai? Dove e come funzionano? Se si inizia a guardare la popolazione di utenti, potrete vedere i segmenti che hanno maggiore e minore rischio impiegato profiles.The nel mailroom potrebbe solo avere accesso a e-mail e l'applicazione mailroom, ma non lui o lei hanno anche accesso a Internet e la possibilità di scaricare e installare i programmi? E il personale di marketing che viaggiano in tutto il mondo? Che tipo di informazioni si mantengono sui loro computer portatili (username, password, nomi a dominio, documenti sensibili, contatti, e simili), e come questo influenzi la sicurezza della rete? Gli utenti possono essere categorizzati in qualunque modo il lavoro per voi nella vostra organizzazione, ma ecco un elenco dei rischi potenziali per tipo di lavoratore, di farti pensare:

-- Executive Obiettivi di alto profilo, spesso non sono "esperti di tecnologia", potenzialmente facile per ottenere informazioni su (dai comunicati stampa, la documentazione pubblicata, legale limatura, e così via).

-- Direttore Obiettivi di alto profilo, può viaggiare con le informazioni sensibili, può essere necessario per connettersi alla rete in una grande varietà di luoghi insicuri.

-- Finance, marketing, HR, legale Accesso ai dati estremamente sensibili, possono essere di alto profilo degli obiettivi a causa del loro accesso ai dati sensibili, possono viaggiare molto e di essere obiettivi desiderabili di ingegneria sociale.

-- Personale IT L'accesso alle risorse di rete, capacità di concedere / negare l'accesso, gli obiettivi potenzialmente desiderabili di ingegneria sociale (in particolare tramite help desk), obiettivi altamente auspicabile (IT nomi utente e password con privilegi amministrativi sono il Santo Graal per gli hacker).

-- Utenti L'accesso alle informazioni aziendali riservate, spesso oggetto di ingegneria sociale. In aggiunta a queste categorie, è possibile avere gruppi di utenti definiti in sicurezza del vostro sistema di gestione della rete (che gestisce l'accesso di controllo) che si desidera utilizzare. Microsoft definisce gli utenti come amministratori, utenti avanzati, e simili, che potrebbero funzionare per voi. Ancora una volta, il punto è quello di utilizzare un metodo di classificazione che è significativa per il modo in cui le società e la vostra infrastruttura di rete esistente sono organizzati, in modo da poter comprendere i rischi per gli utenti mettono in l'organizzazione e le strategie per mantenere la rete di sicurezza alla luce del modo in cui vari gli utenti a lavorare.

Politiche e procedure

Politiche delle infrastrutture e delle procedure di toccare il giorno per giorno le operazioni del personale IT, compresa la sicurezza modo viene monitorato (funzioni di controllo, i file di log, politiche di password, avvisi) e come viene gestito (backup, aggiornamenti, upgrade). Politiche riguardanti il comportamento degli utenti sono essenziali anche per garantire che l'infrastruttura di rete resta al sicuro. Infine, le politiche aziendali in materia di uso dei dati, computer e apparecchiature elettroniche, e di accesso agli edifici, per citarne solo tre, sono le aree che dovrebbero essere rivedute e corrette per sostenere e rafforzare la sicurezza in tutta l'azienda. Esigenze organizzative L'ambiente interno è modellata dal Profilo aziendale del gruppo, compreso il tipo di attività, la natura delle funzioni di vendita e di marketing, i tipi di clienti, i tipi di lavoratori, e il flusso di lavoro attraverso la società. Che cosa significa la tua azienda richiedere i servizi di rete forniti, e come tali esigenze possono essere garantito? Se credi di rete della vostra organizzazione, i dati e le esigenze di computer sono rispettati, delineano quello che sono, e di verificare con pochi utenti per vedere se sei in contrassegno. Assicurati di capire come la rete si inserisce l'organizzazione, non il contrario, e quindi progettare la vostra soluzione di sicurezza di conseguenza.

Regolamentazione / Compliance

Qualsiasi valutazione delle infrastrutture e il piano di sicurezza deve includere requirements.These normativi e di conformità variano notevolmente da stato a stato e da paese a paese, e di tenere il passo con loro può essere più di un lavoro a tempo pieno. Molte aziende stanno assumendo agenti di rispetto, il cui compito primario è quello di gestire la conformità aziendale. Se la vostra azienda ha un responsabile della conformità, assicurarsi che lui o lei è un membro del vostro team IT di progetto, almeno durante la fase di definizione, quando si è in via di sviluppo la tua requisiti funzionali e tecnici, in quanto questi sono spesso il metodo con cui ve occurs.We rispetto 'incluso un breve elenco qui con alcuni collegamenti ai siti Web, ma non è esaustivo, si dovrebbe cercare una consulenza giuridica per quanto riguarda i requisiti normativi e di conformità per la vostra azienda, se non si dispone di un ufficiale di conoscenze ed esperienza rispetto a posto.

-- Evasione Si può evitare il rischio di modificare la portata del progetto in modo che il rischio in questione non è più applicabile, o di modificare le caratteristiche del software per fare la stessa cosa. Nella maggior parte dei casi, questa non è un'opzione valida, in quanto l'eliminazione di un servizio di rete come l'e-mail per evitare i rischi da virus non è una misura adeguata. (Servizi di rete esistono per una ragione, che il tuo lavoro come un professionista della sicurezza è quello di rendere tali servizi il più sicuro possibile.) Un esempio di come l'evasione sarebbe una tattica utile di gestione del rischio è che se una società ha un unico server che agisce sia come server Web e un server di database degli alloggi riservati record personale, quando non vi è alcuna interazione tra il sito Web e le informazioni sul personale. In questo scenario, l'acquisto di un secondo server per ospitare la banca dati dei dipendenti, la rimozione della banca dati del personale dal server Web del tutto, e mettendo il server di database dei dipendenti su un segmento di rete privato con alcun contatto a Internet sarebbe un modo per evitare di Web-based attacchi a fascicoli del personale, dal momento che questo piano d'azione "elimina", una funzionalità del server Web (i fascicoli del personale) del tutto.

-- Transfert È possibile trasferire un rischio spostando la responsabilità ad un terzo party.The più ben noto esempio di questa soluzione è l'acquisto di un qualche tipo di assicurazione diciamo di assicurazione di alluvione per il contenuto del tuo server room.Although l'acquisto di questa assicurazione non diminuisce la probabilità che un diluvio si verificherà nella vostra stanza del server, che fa sì che il costo monetario dei danni a carico della compagnia di assicurazione, in cambio per il vostro premi delle polizze. E 'importante notare che il transfert non è una soluzione a 100 per cento nel esempio alluvioni, la vostra azienda sarà probabilmente ancora incorrere in una perdita finanziaria o diminuzione della produttività nel tempo necessario a ripristinare la sala server al fine di lavoro. Come con le tattiche di gestione del rischio più, portando l'esposizione al rischio fino a zero di solito è un obiettivo irraggiungibile.

-- Mitigazione Attenuazione è ciò che la maggior parte professionisti IT pensare a quando l'attuazione di una soluzione di gestione dei rischi. Si tratta di adottare alcune azioni positive per ridurre la probabilità che si verifichi un attacco o per ridurre il potenziale danno che sarebbe causato da un attacco, senza rimuovere la risorsa del tutto, come nel caso di evasione. Patching server, la disattivazione dei servizi non necessari, e l'installazione di un firewall sono alcune soluzioni che rientrano nella voce di attenuazione del rischio.

-- Accettazione Dopo aver delineato tutti i rischi per l'infrastruttura che può essere evitato, il trasferimento o mitigata, si sta ancora a sinistra con una certa dose di rischio che non sarà in grado di ridurre ulteriormente senza seriamente impattano sul business (tenendo una e -non in linea server di posta elettronica come mezzo per combattere il virus, per esempio). tua ultima opzione è uno di accettazione, in cui si decide che i rischi residui alla rete hanno raggiunto un livello accettabile, e si sceglie di controllare la rete per tutti i segni di rischi nuovi o maggiori, che potrebbero richiedere un'azione più tardi. Non c'è un modo giusto per affrontare tutti i rischi per l'infrastruttura, che molto probabilmente un approccio misto di security.There sono alcuni rischi devi assolutamente evitare, altri rischi si può ragionevolmente trasferimento o attenuare, e altri ancora che voi accettare semplicemente perché il costo di evitare la loro è solo che non ne vale la pena.

un articolo presentato da Gustaf Grube

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "costo di una mancata infrastrutture di rete" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.