اعتراف العدو داخل

للقيام بعملهم بكفاءة الناس وضعت في موقف للثقة ، مع إمكانية الوصول إلى ونظم البيانات الحساسة. لا يمكنك الاعتماد فقط على حسن نواياهم ، ويقول ديكلان Grogan في الأمن والمصممين. مؤقت ، بسبب الإهمال أو مارقة يمكن للموظفين تسبب مشاكل حقيقية.

مؤامرة أو الرضا عن النفس؟وينبغي الاعتراف بأن للسماح للناس للقيام بعملهم بكفاءة علينا أن تضعهم في موقف للثقة ، مع إمكانية الوصول إلى البيانات الحساسة والنظم. بالنظر إلى الأدلة ، ومع ذلك ، فإنه لم تعد كافية لبحتة تعتمد على حسن النية والإيمان. هناك عدد من المجالات التي توفر المخاطر المحتملة.

الموظفين المؤقتينفي أوقات الذروة ، الموظفين المؤقتين غالبا ما يصلون في الموقع في اليوم الأول ، مباشرة من وكالة الإمداد ، وبدون مقابلة أو غيرها من عملية الفرز. بالطبع أنها تأتي مع مايكروسوفت وورد وإكسل المهارات التي نحن على وجه التحديد طلب ، وهذا هو واضح في دقائق ، ولكن ما هي المهارات الأخرى كما أنها مزودة؟ ربما بعد أن عملت في مجموعة متنوعة من بيئات أكبر هم على الأرجح أكثر مهارة فى ايجاد طريقهم الى الفضاء nonprotected. ما هي الامتيازات أننا لا نطلب من مسؤولي الشبكة اعطاء هؤلاء الناس عندما ، بعد كل شيء ، ونحن نتوقع منهم ان يفعلوا نفس العمل بوصفها عضوا متفرغا للموظفين؟

المارقة ومهمل الموظفينالمرشح الأساسي واضح في هذه الفئة هو الموظف الساخطين ، عدم ترقيتهم ، ويفترض أن تقدر بأقل من قيمتها ، ونفى محفوظة مساحة مواقف السيارات ، أو مجرد خرج من السرير على الجانب الخطأ. المرشحين التالية في هذه الفئة هي تحت الموظفين الذين يجدون أنفسهم استخدامها مع الوقت على أيديهم خلال يوم العمل فيها إلى التجربة والتحقيق. لأي سبب كان ، في لحظة معينة من الزمن أنها ليست أفضل أصدقاء للشركة ، وموظف مهمل واحد هو أن يترك لهم كلمة مكتوبة على قطعة من الورق في الدرج العلوي من مكاتبهم ، أو الذي يمشي بعيدا عن محطة تركها متصلة مصدرا قيما البيانات. موظف مهمل ليس بالضرورة وخبيثة في معظم الحالات ليست على علم الآثار المحتملة لأعمالهم ، وذلك لأن أحدا لم أوضحنا لهم.

مهما كانت طبيعة الإخلال الداخلي ، وتكلفة معالجة الضرر الذي يحتمل ان يكون مرتفعا جدا -- على افتراض انك حتى ندرك أن إخلال قد حدث. هل توقف الشركة معلومات سرية تختفي من على شبكة الانترنت في لمسة زر واحدة؟ أو وقف تطبيق نكتة التي يتم إرسالها إلى صديق لك عن طريق تحميل المعلومات عبر طروادة لالقراصنة على شبكة الإنترنت؟ الحماية من الفيروسات بالتأكيد يجب أن يكون أولوية هنا ، على كل من محطات العمل وخدمة البريد. وينبغي إيلاء الاعتبار أيضا أن تعطى على النحو الذي ينبغي أن تكون قادرة على إرسال مرفقات البريد ، وكذلك لتنفيذ الماسحات الضوئية التي تحقق البريد المضمون لمنع الناس من ارسال المواد السرية غير مصرح بها. وهناك تهديد آخر المرتبطة البريد الإلكتروني ، واحد هو الذي أدى إلى جيدا - حالات موثقة لدعاوى قضائية مكلفة للغاية ، هو أن محتوى البريد الإلكتروني وملاحظات تشهيرية يصدر عبر البريد الإلكتروني للشركات في العالم الخارجي. كلمة 'السياسة' ينطبق هنا كما في أماكن أخرى.

الفقراء شبكة سياسةنظم الكمبيوتر الحديثة مصممة ليتحدثوا مع بعضهم البعض بسهولة جدا ، ومتوسط المدرسة التارك لديه الكثير من الألفة معها. القدرة على تصفح الشبكة الداخلية يفتح إمكانية لرؤية البيانات المتعلقة بجميع أنواع النظم الداخلية والمستخدمين الآخرين أجهزة الكمبيوتر. تماما تصور أن في بيئة سيئة المضمون يمكن للمستخدم الوصول إلى المعلومات التي عقدت على أحد كبار المديرين في جهاز الكمبيوتر ، والنسخ الورقية من حسابات إدارة الأعمال هي قيد القفل والمفتاح ، ولكن غالبا ما يكون من السهل الوصول إلى هذه معلومات عن خدمة سيئة المضمون أو أجهزة الكمبيوتر. هذا هو تفاقمت من حقيقة أن جميع أنواع الأدوات التي يمكن تحميلها مع خلفي موثقة إلى سطح المكتب وأنظمة تشغيل الخادم. مرة أخرى ، جنبا إلى جنب مع السياسات المناسبة لإدارة المرور ، ومراجعة الحسابات أن تقطع شوطا طويلا لحماية البيانات الحساسة.

السياسة لا تنطبق لي!التي لديها سياسة وجميعها طيبة وجيدة ، ولكن يجب أن تنفذ. في كثير من الأحيان التهديدات يمكن أن تظهر من المستخدمين الذين يشعرون يشغلها السياسة والذين لا يعترفون الأسباب الكامنة وراء ذلك. ومن الأمثلة الشائعة في هذا قد يكون تصفح الإنترنت. ويمكن للمستخدمين الذين يريدون الوصول غير المقيد لإغراء استخدام مودم للوصول المباشر إلى الإنترنت ، مما يشكل التفافا على الاجراءات الامنية المحيطة مثل الجدران النارية (التي هي مطلقة لا بد للدفاع الخارجي). قراصنة يمكن أن ينزل هذا الخط المودم باستخدام تقنية تعرف باسم 'polevaulting' ، والحصول على كافة الامتيازات المقترنة الجهاز الذي يحتوي على مودم المرتبطة به. وينبغي أيضا أن يذهب دون أن تقول أن أعدادا المودم ينبغي أن تكون محمية بشكل جيد وعدم توزيع سياسة مفيدا فقط عندما مفهومة من قبل الجميع ، وعندما تطبق بصرامة. لذلك يجب على المديرين أن يكون قادرا على رؤية أي مخالفات بسهولة وتكون قادرة على أدلة عليها بحيث يمكن اتخاذ الإجراءات المناسبة الواجب اتخاذها.

ضحية لجريمة؟واحدة من التحديات الأمنية مع الكمبيوتر هي فكرة أنه جريمة لا ضحية. إذا كان القراصنة الداخلية نسخ قاعدة بيانات للتفاصيل العملاء ، والشركة لا تزال لديه قاعدة بيانات ، وبالتالي فإنهم قد لا يرون ذلك على أنه جريمة. فإنه ، مع ذلك ، وجميع الضحايا هم من الأشخاص الذين يعانون نتيجة لذلك ينبغي أن مستويات الأعمال غلبه النعاس بسبب منافسا لديهم معلومات العملاء ، والناس في كثير من الأحيان لا يدركون الآثار المالية المترتبة على الوقت الذي تستغرقه لإعادة بناء نظم بعد مخرب دمر البيانات ، أو خسارة في الخدمة للعملاء. كل ذلك له تأثير ، وعلينا واجب وذلك لتقليل الفرص المتاحة لهذا النوع من الحوادث. ونحن نستثمر في والسيارات وأجهزة الإنذار ضد السرقة. عموما نحن نفهم الأمن المادي لأننا لا نستطيع رؤية والاتصال ، ولكن البيانات التي غالبا ما يتم تجاهلها حتى فوات الأوان. محاولة رمي جهاز الكمبيوتر الخاص بك وماذا يغيب -- الجهاز أو المعلومات عن ذلك؟ نحن لا تترك مفاتيح المبنى ، ويجب أن يعامل المدير الاداري في مكتب وخزانة الملفات على هوك من الباب ، وبيانات الشركات تكون مع نفسها ، إن لم يكن أكثر ، والحساسية.

مجلس المسؤولياتوهناك الآن مجموعة كاملة من المتطلبات القانونية والتنظيمية بالتفصيل مسؤوليات أعضاء مجلس الإدارة أو صاحب العمل لضمان أن المعلومات المخزنة على أجهزة الكمبيوتر ، وخاصة المعلومات الشخصية ، ومحمي من الاستخدام غير السليم أو الوصول إليها. وهذه تشمل : قانون حماية البيانات لعام 1998 ؛ قانون حقوق الإنسان لعام 1998 ؛ والتجارة الإلكترونية التوجيه ؛ وشروط العقود غير المنصفة لعام 1977 ؛ وتنظيم سلطات التحقيق لسنة 2000 ؛ الاتصالات الإلكترونية لعام 2000. تيرنبول إن التقرير ، الذي صدر عام 1999 ، إطارا للمساعدة على تفسير 'المجمعة رمز على حوكمة الشركات '، والتي يتم إلحاق قواعد الإدراج في المملكة المتحدة اظهر السلطة. الشركات المدرجة في بورصة لندن يجب أن نثبت أن لديهم المقدرة على المخاطر التي تتعرض لها المنظمة ، وأنه يجري تنفيذ السياسات اللازمة لضمان ذلك ، بقدر ما هو عملي ، واحتمال حدوث ضرر أو خسارة قد انخفض الى مستويات واقعية. على الرغم من أن يستهدف الشركات المدرجة في البورصة ، والنتائج التي توصل إليها تقرير تيرنبول تنطبق أيضا على ، وجعل من الناحية التجارية ل، ومنظمات أخرى.

ويذكر التقرير أن 'مجلس الإدارة هو المسؤول عن الشركة ونظام الرقابة الداخلية. فإنه ينبغي وضع سياسات مناسبة بشأن الرقابة الداخلية وضمان تسعى العادية التي من شأنها تمكينه من أن تتأكد من أن النظام يعمل بشكل فعال. وينبغي التأكد من أن نظام الرقابة الداخلية فعال في إدارة هذه المخاطر في الطريقة التي كان قد وافق '.1 الاعتماد على تكنولوجيا المعلومات للشركات كثيرة يعني أن الآثار المالية المترتبة على أي فقدان المعلومات أو إخلال في الأمن ينبغي النظر فيها. هذا يجب أن يعاد النظر ليس فقط من حيث المعلومات نفسها ، ولكن أيضا بالنسبة للتكاليف لمنع المزيد من الفشل وتأثير ذلك على سمعة الشركة ، وقيمة العلامة التجارية ، والأداء ، والآفاق المستقبلية.

بكالوريوس 7799 (ايزو 17799)معهد المعايير البريطاني (مكتب التحقيقات) قد نشرت القياسية لنظام إدارة أمن المعلومات التي توفر مراجعة الحسابات الخارجية والاعتماد على معيار البريطانية معترف بها ، والعديد من المنظمات وهم يتطلعون الان الى هذا كمعيار للممارسة الجيدة وباعتبار ذلك تدبيرا من ذوي الذين يرغبون في التجارة الإلكترونية. هذا يوفر إطارا ممتازا لوضع السياسات والإجراءات التي من شأنها أن تسمح لمنظمات حماية نفسها من التهديدات الأمنية ، على الصعيدين الداخلي والخارجي ، ولكنه ينص أيضا على نحو منظم والتدبير المشترك لجميع المنظمات. رسمي على الرغم من اتخاذ المتابعة من خلال خارجيا المراجعة شهادة الطريق كان بطيئا ، فإن وتيرة التسارع الآن مع حكومة المملكة المتحدة تفرض الالتزام بين مختلف الادارات والمناقصات الحكومية الآن الإدلاء بتصريحات حول العروض وفضل يجري المتوافقة. عندما اتخذت بالتعاون مع والجوانب القانونية لأمن المعلومات ، وتقرير تيرنبول والعصبية المتزايدة للسوق التأمين ، وبكالوريوس 7799 وإدارة أمن المعلومات هي بالتأكيد للدخول في جدول أعمال مجالس الإدارة في الأشهر القادمة.

كلمة أخيرة حول الامنيجب أن تكون نظم الإدارة وضعت في مكان ولسلسلة من الفحوصات وطرق الإبلاغ المعمول بها. على الأقل واضحة لا لبس فيها ، والسياسة الأمنية يجب أن توضع في مكان وينبغي تدريب الموظفين على فهم أهميته ومتطلباته. بعض من ضرر ينشأ من الناس فشلها في ان تدرك قيمة البيانات ، كما أشار في عام 2002 مسح زارة التجارة والصناعة أن تقديرات التكلفة لرجال الأعمال في المملكة المتحدة من بعض � 18 مليار دولار سنويا. وبصفة عامة ، والسلوك هو السبيل الوحيد الذي يمكننا بقعة يمكن لصوص البيانات أو المخربين المحتملين قبل وقوع الحدث. هذا هو أسفل إلى إدارة جيدة وحساسة ، والوعي قدرات الموظفين ، وقضايا الحياة وأنماط العمل أمر ضروري. أي تغيير في هذه يمكن أن يكون سببا لمثل هذا الحدث. رصد السلوك العام للناس ويراقب تغير أنماط العمل هو أيضا وسيلة جيدة لإقامة نقاط الضعف المحتملة. الذي هو في المكتب عند أي شخص آخر هو -- في الصباح الباكر أو في وقت متأخر من الليل؟ هل هو العمل الضميري نيابة عنك أو لهم؟ ينبغي لنا ومع ذلك ، لا خوف من أن يكون الناس على أساس شخصي. معظم الناس أن يفهموا أن منظمتكم لديها سياسة والأمن ، وأنه هو الاختفاء. بالمثل ، فإنه لا جدوى من وضع السياسة العامة إذا كان لديك أي نية لتنفيذ ذلك ، وأنه ليس من العدل على المديرين أن نتوقع منها أن تنفذ واحدة من دون إعطائهم سوف تعمل هذه الأدوات لهذا المنصب. وبمجرد أن من المفهوم أن هذه السياسة هي في مكان وأن الأدوات موجودة هناك لحماية نظم وإعطاء مديري أي الطب الشرعي التي قد يحتاجونها ، ولكن جميع البيانات الأكثر تصميما اللص / مخرب تأجيل.

لا يوجد شيء مثل هذا النظام مثاليا. لا يوجد أي مصرف لا يمكن للسرقة ، إلا تلك التي هي محمية بقوة أن يتم اختيار اهداف اسهل بدلا من ذلك. يتوفر الامن ليس من خلال جهاز واحد ولكن عن طريق مجموعة واسعة من الأجهزة والأنظمة والإجراءات الإدارية ، تراكمت في طبقات مثل الجلد من البصل. ويمكن الحصول على جلود الخارجي بأضرار ، ولكن النواة الداخلية والحفاظ عليها. وهناك دروس يمكن تعلمها من التعافي من الكوارث الأعمال التجارية ، والشركات ، حيث كان لها الحرائق الكبرى التي دمرت أصولها الأساسية. لأن المعلومات كانت شركات تأمين ، وكانوا قد نظم في مكان انهم كانوا قادرين على الاستمرار ، على عكس أولئك الذين لا نحبهم و. مستفيدا من أكثر من 20 عاما من الخبرة النامية بعض بروتوكولات الاتصالات في قلب كل الاتصالات مايكروسوفت ويندوز ، الأمن المصممين المحدودة هي شركة مملوكة للقطاع الخاص ، والمملكة المتحدة مستقلة مقرها شركة البرمجيات. النابعة من المتخصصين والمصممين شبكة الاتصال ، تم تعيين الأمن والمصممين في عام 2000 للبيع في السوق ، والحائز على الجوائز بالموقع صافي ستيوارد الأمن نظام إدارة المعلومات (سيم) واصبح لديها قاعدة متنامية من حكومة المملكة المتحدة ، القطاع الوطنى للصحة والتعليم ومؤسسات القطاع التجاري ، و وسرعان ما وضع سمعتها كمورد الرائدة في هذا المجال ، ولمزيد من المعلومات الرجاء الاتصال ب : الأمن والمصممين المحدودة ، 5 ويرف مو ، كليف الشرفة ، Wetherby ، ليدز ، غرب يوركشاير LS22 6LX. هاتف : +44 (0) 1937 584 584 ، فاكس : +44 (0) 1937 587 367 ؛ البريد الالكتروني : info@SecurityDesigners.com ؛ الموقع على الإنترنت : www.SecurityDesigners.com

مقال مقدم من فرانك C.

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "وإدراكا للعدو الداخل" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.