In Anerkennung der Feind im InnerenUm ihre Arbeit effizient Menschen sind in einer Position der gesetzte Vertrauen, nicht mit Zugang zu sensible Daten und Systeme. Sie können nicht nur auf ihr Wohlwollen angewiesen, sagt Declan Grogan auf der Security Designer. Temporär, nachlässig oder Schurkenstaaten Mitarbeiter können Ursache echte Probleme.
Verschwörung oder Selbstzufriedenheit?Es sollte anerkannt werden, die Leuten erlauben, ihre Arbeit effizient zu tun, müssen wir sie in der Lage, Vertrauen Ort, mit Zugang zu sensiblen Daten und Systeme. Angesichts der Beweise, jedoch ist es nicht mehr ausreicht, um allein auf den guten Willen und Glauben berufen. Es gibt eine Reihe von Bereichen, die potenziellen Risiken vorzunehmen. Bedienstete auf Zeit Rogue und sorglos MitarbeiterDie offensichtliche primären Kandidaten in dieser Kategorie ist die verärgerter Mitarbeiter für die Promotion übersehen, vermutlich unterschätzt, verweigert ein reservierter Parkplatz, oder einfach nur aus dem Bett auf der falschen Seite. Die nächsten Kandidaten in dieser Kategorie nicht ausreichend genutzt werden Mitarbeiter zu finden, die sich mit der Zeit auf ihre Hände während der Arbeitszeit, in denen zu experimentieren und untersuchen. Für welchen Gründen auch immer, zu einem bestimmten Zeitpunkt, sie sind nicht die besten Freunde des Unternehmens. Die unvorsichtige Mitarbeiter ist die, die ihr Passwort auf einem Stück Papier in der obersten Schublade ihrer Schreibtisch, schriftlichen oder Blätter, die geht weg von einem Terminal verlassen, um eine wertvolle Datenquelle verbunden. Die unvorsichtige Mitarbeiter ist nicht unbedingt bösartig und in den meisten Fällen ist nicht bekannt, über die möglichen Auswirkungen ihres Handelns, denn niemand klar gemacht hat, zu ihnen. Unabhängig von der Art der inneren Verletzung, sind die Kosten für die Sanierung der Schaden möglicherweise sehr hoch - vorausgesetzt, dass Sie auch wissen, dass der Verstoß stattgefunden hat. Stoppen Sie vertrauliche Informationen der Gesellschaft verschwindet in das Internet bei der Berührung mit einem Knopf? Oder beenden Sie den Witz Anwendung, die Sie von einem Freund Herunterladen von Informationen über einen Trojaner an einen Hacker über das Internet? Virenschutz gesendet wird, hat sicher eine Priorität hier, sowohl die Arbeitsplätze und die Mail-Server. Sorgfältig zu erwägen ist auch, wer sollte in der Lage, Mail-Anhänge versenden gegeben werden, und auch die Umsetzung von Scannern, dass der Check Mail-Inhalten für Menschen Versenden von unbefugten vertrauliches Material zu stoppen. Eine weitere Bedrohung mit E-Mail verbunden sind, und eine, die dazu geführt hat, auch dokumentierte Fälle von sehr kostspieligen Gerichtsverfahren, ist, dass der E-Mail-Inhalte und verleumderischen Bemerkungen über Unternehmens-E-Mail an die Außenwelt ausgestellt werden. Das Wort "Politik" gilt auch hier wie anderswo. Poor Netzwerk PolitikModerne PC-Systeme wurden entwickelt, um sich gegenseitig sehr gut sprechen, und die durchschnittliche Schulabgänger hat viel Vertrautheit mit ihnen an. Die Möglichkeit, das interne Netzwerk durchsuchen eröffnet die Möglichkeit, zu sehen, die Daten über alle Arten von internen Systemen und PCs anderer Benutzer. Es ist durchaus denkbar, dass in einer schlecht gesicherten Umgebung ein Benutzer Zugang zu den Informationen auf dem PC ein Senior Manager gehalten zu gewinnen. Das Papier Kopien der Rechnungen der Verwaltung eines Unternehmens sind unter Verschluss zu halten, aber oft ist es einfach, diesen Zugang Informationen über die schlecht gesicherten Servern oder PCs. Dies wird durch die Tatsache, dass alle Arten von Werkzeugen mit dokumentierten Hintertüren in Desktop-und Server-Betriebssystemen angezeigt werden können heruntergeladen verschlechtert. Erneut Politik mit entsprechenden Traffic-Management und Audit gehen einen langen Weg um den Schutz sensibler Daten. Datenschutzbestimmungen gelten nicht für mich!Mit einer Politik ist alles schön und gut, aber es muss durchgesetzt werden. Oft ergeben sich aus Bedrohungen können Benutzer, die fühlen sich von der Politik belastet und wer nicht anerkennen die Gründe dafür. Ein typisches Beispiel hierfür kann im Internet surfen. Nutzer, die ungehinderten Zugang möchten könnten versucht sein, ein Modem für den direkten Zugang zum Internet und damit umgehen, Sicherheitseinrichtungen wie Firewalls (die sind ein absolutes Muss für die äußere Verteidigung) zu verwenden. Hacker können herabkommen dieser Modem-Leitung mit einer Technik mit der Bezeichnung "polevaulting" und gewinnen alle Privilegien mit dem Gerät, dass das Modem angeschlossen ist, um es verbunden. Es sollte auch selbstverständlich, dass ein Modem-Zahlen gut geht, sollten geschützt und werden nicht verteilt zu gehen. Eine Politik ist nur dann sinnvoll, wenn sie ordnungsgemäß von allen verstanden und als rigoros durchgesetzt werden. Um dies zu tun Führungskräfte müssen in der Lage, alle Verstöße gegen das leicht zu sehen und in der Lage sein nachzuweisen, so daß entsprechende Maßnahmen ergriffen werden können. Das Verbrechen ohne Opfer?Eine der Herausforderungen im Zusammenhang mit EDV-Sicherheit ist die Idee, dass es ein Verbrechen ohne Opfer. Wenn ein interner Hacker Kopien einer Datenbank mit Kundendaten, das Unternehmen noch die Datenbank und daher können sie nicht sehen es als ein Verbrechen. Es ist jedoch, und die Opfer sind die Menschen, die darunter leiden sollte die Wirtschaft Ebenen drop off weil ein Wettbewerber ihren Kunden Informationen hat. Die Menschen wissen häufig nicht, die finanziellen Auswirkungen der Zeitaufwand für Systeme nach einem Umbau Vandalen zerstört Daten oder den Verlust an Service für die Kunden. Es hat einen entscheidenden Einfluss, und wir haben die Pflicht, die Möglichkeiten für diese Art von Zwischenfällen zu minimieren. Wir investieren in Einbruchs-und Alarmanlagen. Wir verstehen im Allgemeinen die physische Sicherheit, weil wir sehen und berühren, aber Daten wird oft übersehen, bis es zu spät ist. Versuchen Sie, Ihren Computer wegwerfen und was Sie vermissen - die Maschine oder die Information darüber? Wir lassen Sie nicht den Schlüssel zum Gebäude, sollte der Geschäftsführer das Büro und den Aktenschrank an einem Haken neben der Tür, und Unternehmensdaten mit der gleichen behandelt werden, wenn nicht mehr Sensibilität. Personelle ZuständigkeitenEs gibt inzwischen eine ganze Reihe von rechtlichen und regulatorischen Anforderungen detailliert die Aufgaben des Vorstandes oder Inhaber eines Unternehmens, um die Informationen auf Computern gespeichert sind, vor allem persönliche Daten ist durch unsachgemäße Nutzung oder Zugriff geschützt. Dazu gehören: Der Data Protection Act 1998; The Human Rights Act 1998; Die E-Commerce-Richtlinie; The Unfair Contract Terms Act 1977; Die Verordnung Investigatory Powers Act 2000, die elektronische Kommunikation Act 2000. Die Turnbull Report aus dem Jahr 1999, bietet einen Rahmen zur Interpretation der "Kombinierte Kodex für Corporate Governance ", die sich auf das Kotierungsreglement der UK Listing Authority angehängt wird. Unternehmen an der London Stock Exchange kotiert müssen zeigen, dass sie die Risiken für die Organisation bewertet worden sind und dass die Maßnahmen sind, um sicherzustellen, dass, soweit dies praktisch möglich ist, das Potenzial für Verluste oder Schäden wurde realistisches Niveau reduziert. Obwohl bei börsennotierten Gesellschaften richtet, sind die Ergebnisse der Turnbull Report gleichermaßen anwendbar auf und machen Sinn für Unternehmen, anderen Organisationen. Der Bericht stellt fest, dass "der Vorstand für das System des Unternehmens der internen Kontrolle zuständig ist. Es sollten geeignete Maßnahmen zur internen Kontrolle bereitstellen und einen regelmäßigen Gewissheit, dass es ermöglichen, sich zu vergewissern, dass das System wirksam funktionieren wird. Sie sollte dafür sorgen, dass das System der internen Kontrolle bei der Bewältigung dieser Risiken in der Art und Weise, die es zugelassen hat, '.1 Abhängigkeit von IT für viele Firmen ist effektiv bedeutet, dass die finanziellen Folgen der Verlust von Informationen oder die Verletzung der Sicherheit betrachtet werden sollte. Dies muss überprüft werden, nicht nur in Bezug auf die Information selbst, sondern auch die Kosten für die Verhinderung weiterer Störungen und die Auswirkungen auf den Ruf des Unternehmens, Markenwert, Performance und Zukunftspotenzial. BS 7799 (ISO 17799)Das British Standards Institute (BSI) hat den Standard für ein Information Security Management System, dass die externe Prüfung und Zertifizierung einer anerkannten British Standard bietet, und viele Organisationen veröffentlicht werden nun auf der Suche, diese als Maßstab für gute Praxis und als Maß für die mit wem sie den elektronischen Handel. Dies bietet einen ausgezeichneten Rahmen für die Festlegung der Strategien und Verfahren, die Organisationen ermöglichen, sich von Bedrohungen der Sicherheit, sowohl intern als auch extern zu schützen, sondern es bietet auch eine strukturierte Art und Weise und gemeinsame Maßnahme für alle Organisationen. Obwohl formale Übernahme durch die extern geprüft Zertifizierung Route ist langsam, das Tempo ist jetzt Beschleunigung mit der britischen Regierung beauftragen Einhaltung in allen Abteilungen und Angebote Regierung nun Aussagen über bevorzugte Bieter als konform. In Verbindung mit den rechtlichen Aspekten der Sicherheit von Informationen getroffen werden die Turnbull Report und die wachsende Nervosität der Versicherungsmarkt, BS 7799 und Information Security Management ohne Zweifel auch auf die Führungsebene der Tagesordnung in den kommenden Monaten in Kraft. Ein letztes Wort zur SicherheitManagement-Systeme müssen geschaffen werden und eine Reihe von Kontrollen und Berichterstattung Methoden festgestellt. Zumindest sollte eine klare und eindeutige Sicherheitspolitik eingeführt werden und die Mitarbeiter sollten geschult werden, ihre Bedeutung und ihre Bedürfnisse zu verstehen. Einige der Schäden durch die Menschen, dass sie die Werte der Daten zu erkennen, wie in der DTI-Umfrage 2002, dass Kosten für die Unternehmen im Vereinigten Königreich von rund 18 Milliarden Pfund pro Jahr. Im allgemeinen Verhalten Schätzungen ist der einzige Weg, in dem wir Daten können potentielle Diebe oder Vandalen vor Beginn der Veranstaltung vor Ort auftritt. Dies entspricht einem Rückgang um gute und sensible-management sowie das Bewusstsein der Mitarbeiter Fähigkeiten, das Leben Fragen und Arbeitsabläufe ist unerlässlich. Jede Änderung in diesen könnte ein Auslöser für eine solche Veranstaltung. Überwachung der gesamten Verhalten von Menschen und beobachtete Wandel der Arbeit ist außerdem ein guter Weg, der zur Gründung mögliche Schwachstellen. Wer ist im Büro, wenn sonst niemand - in den frühen Morgen oder spät in der Nacht? Ist es gewissenhafte Arbeit in Ihrem Namen oder ihre? Wir sollten jedoch nicht werden, um Menschen auf einer persönlichen Ebene paranoid. Die meisten Menschen sollten verstehen, dass Ihre Organisation eine Sicherheitspolitik und dass es durchgesetzt wird. Ebenso ist es sinnlos, eine Politik setzen, wenn Sie nicht die Absicht, sie durchsetzen, und es ist unfair, auf die Manager zu erwarten, dass sie ein, ohne sie umzusetzen die Werkzeuge für den Job. Sobald es wird davon ausgegangen, dass die Politik vorhanden ist und dass die Instrumente sind da, um Systeme zu schützen und Manager eine Forensik geben sie benötigen, alle bis auf die ermittelten Daten Dieb / Vandalismus wird, abgeschreckt werden. Es gibt nicht so etwas wie das perfekte System. Es gibt keine Bank, die nicht genommen werden kann, nur jene, die so stark geschützt sind, die weichere Ziele statt gewählt werden. Sicherheit ist, die nicht von einem Gerät, sondern durch eine Reihe von Geräten, Systemen und Verwaltungsverfahren, in Schichten wie die Haut einer Zwiebel aufgebaut. Die Außenhaut kann beschädigt werden, sondern der innere Kern erhalten bleibt. Es gibt Lehren aus der Disaster-Recovery-Geschäft, in dem Unternehmen große Brände zerstörten ihrer Kern-Assets hatten. Aufgrund ihrer Unternehmensinformationen sicher war, und sie hatten Systeme vorhanden waren sie weiterhin in der Lage, anders als diejenigen, die nicht untergegangen und tat. Bestandsaufnahme bereits über 20 Jahre Erfahrung in der Entwicklung einige der Kommunikations-Protokolle auf das Herz eines jeden Microsoft Windows Kommunikationsplattform, Sicherheit Designer Ltd ist ein privat geführtes, unabhängiges britischen Software-Unternehmens. Davon ausgehend Connectivity-Spezialisten Network Designer, Designer des Sicherheitsrats wurde im Jahr 2000 eingerichtet, um zu verkaufen und vermarkten die preisgekrönte Active Net Steward Security Information Management System (SIM) und verfügt nun über eine wachsende Basis von der britischen Regierung, NHS-, Bildungs-und kaufmännischen Bereich Organisationen und wird schnell zur Gründung einen Ruf als einer der führenden Anbieter in diesem Bereich. Für weitere Informationen kontaktieren Sie: Security Designer Ltd, 5 Wharfe Mews, Cliffe Terrasse, Wetherby, Leeds, West Yorkshire LS22 6LX. Tel: +44 (0) 1937 584 584, Fax: +44 (0) 1937 587 367, E-Mail: info@SecurityDesigners.com; Website: www.SecurityDesigners.com Ein Artikel eingereicht von Frank C. Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "Anerkennung der Feind im Inneren" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 485 users browsing the articles directory |
|
|