Reconociendo el enemigo interior

Para hacer su trabajo de manera eficiente las personas se colocan en una posición de confianza, con acceso a los datos sensibles y los sistemas. Usted no sólo puede confiar en su buena voluntad, dice Declan Grogan a los diseñadores de Seguridad. Temporal, los empleados descuidados o deshonesto puede causar problemas reales.

Conspiración o complacencia?Es preciso reconocer que, para permitir a la gente para hacer su trabajo de manera eficiente, tenemos que ponerlos en una posición de confianza, con acceso a datos sensibles y los sistemas. Dada la evidencia, sin embargo, ya no es suficiente confiar únicamente en la buena voluntad y la fe. Hay una serie de áreas que proporcionan los riesgos potenciales.

El personal temporalEn tiempos de carga de punta, personal temporal a menudo llegan en el sitio en el primer día, directamente de la agencia de suministro, sin una entrevista o proceso de selección de otros. Por supuesto que vienen con el Microsoft Word y Excel que hemos pedido expresamente, y que es demostrable en cuestión de minutos, pero ¿qué otras habilidades son también armados con? Teniendo probablemente trabajó en una mayor variedad de entornos en los que probablemente sean más hábiles en encontrar su camino en el espacio no protegidos. ¿De qué privilegios no pedimos a nuestros administradores de red para dar a estas personas cuando, después de todo, esperamos que ellos hagan el mismo trabajo que un miembro de tiempo completo del personal?

Rogue y descuidado empleadosEl principal candidato obvio en esta categoría es el empleado descontento, se pasa por alto a la promoción, supuestamente subvaluada, negó un espacio reservado plazas de aparcamiento, o simplemente levantarse de la cama en el lado equivocado. Los próximos candidatos en esta categoría son menores de los empleados que se encuentran utilizados con el tiempo en sus manos durante la jornada de trabajo en el que experimentar e investigar. Por alguna razón, en un momento dado no son los mejores amigos de la empresa. El empleado descuidado es el que deja su contraseña escrita en un pedazo de papel en el cajón de su escritorio, o que se aleja de un dejando terminal conectado a una fuente de datos valiosos. El empleado negligente no es necesariamente malicioso y en la mayoría de los casos no es consciente de las posibles consecuencias de sus acciones, porque nadie ha dejado claro a ellos.

Cualquiera que sea la naturaleza de la violación interna, el coste de la reparación del daño es potencialmente muy alto - suponiendo que se dan cuenta de que la violación ha ocurrido. Cómo dejar de información confidencial de la empresa desapareciendo hacia Internet con el toque de un botón? O detener la aplicación broma que le será enviada por un amigo de la descarga de información a través de un troyano a un hacker en Internet? Protección antivirus sin duda tiene que ser una prioridad en este caso, tanto en las estaciones de trabajo y los servidores de correo. Consideración cuidadosa también debe darse en cuanto a quién debería ser capaz de enviar archivos adjuntos de correo electrónico, y también a la aplicación de los escáneres que el contenido de correo electrónico de verificación para que la gente deje de enviar material confidencial sin autorización. Otra de las amenazas asociadas con el correo electrónico, y que ha llevado a bien los casos documentados de demandas muy costoso, es el de contenido de correo electrónico y los comentarios difamatorios que se emitió a través de correo electrónico de empresa con el mundo exterior. La política de la palabra se aplica aquí como en otros lugares.

La política de red deficienteLos sistemas modernos de PC están diseñados para hablar unos con otros con facilidad, y los que abandonan la escuela media tiene un montón de familiaridad con ellos. La capacidad de navegar por la red interna se abre la posibilidad de ver los datos sobre todo tipo de sistemas internos y los PC de otros usuarios. Es perfectamente concebible que en un entorno poco seguro que un usuario puede tener acceso a la información contenida en una PC de alto directivo. El copias en papel de las cuentas de gestión de una empresa se mantienen bajo llave, pero a menudo es fácil acceder a este información en los servidores poco protegidos o PC. Esto se agrava por el hecho de que todo tipo de herramientas se pueden descargar, junto con puertas traseras documentados en los sistemas operativos de escritorio y servidor. Una vez más, la política, junto con una apropiada gestión y auditoría de recorrer un largo camino para proteger los datos sensibles.

Política no se aplica a mí!Tener una política está muy bien, pero debe ser aplicada. A menudo, las amenazas pueden surgir de los usuarios que se sienten gravados por la política y que no reconocen las razones detrás de ella. Un ejemplo de esto se puede navegar por Internet. Los usuarios que desean un acceso sin restricciones pueden verse tentados a usar un módem para acceso directo a Internet, eludiendo así las medidas de seguridad perimetrales tales como cortafuegos (que son una necesidad absoluta para la defensa externa). Los piratas informáticos pueden bajar la línea de módem usando una técnica conocida como 'polevaulting', y el aumento de todos los privilegios asociados con el dispositivo que tiene el módem conectado a la misma. También hace falta decir que los números de módem debe estar bien protegido y no distribuidos. Una política sólo es útil cuando bien entendida por todos y cuando se hace cumplir con rigor. Para ello los gerentes deben ser capaces de ver las contravenciones fácilmente y ser capaces de pruebas a fin de que las medidas apropiadas pueden ser tomadas.

El crimen sin víctimas?Uno de los retos con la seguridad informática es la idea de que es un crimen sin víctimas. Si una copia pirata informático interno de una base de datos de los detalles del cliente, la compañía todavía tiene la base de datos y por lo tanto no pueden verlo como un crimen. Es, sin embargo, y las víctimas son todas las personas que sufren como consecuencia que los niveles de negocios caen porque un competidor tiene información de sus clientes. La gente a menudo no se dan cuenta del impacto financiero del tiempo empleado para reconstruir los sistemas después de un vándalo ha destruido de datos, o la pérdida en el servicio a los clientes. Todo tiene un impacto, y tenemos el deber de reducir al mínimo las posibilidades de este tipo de incidentes. Invertimos en antirrobo y alarmas de coche. Por lo general, comprender la seguridad física, porque podemos ver y tocar, pero los datos es a menudo pasado por alto hasta que sea demasiado tarde. Intente tirar el equipo y qué le pasa - la máquina o la información sobre él? No deje las llaves del edificio, la oficina del Director Gerente y el fichero en un gancho cerca de la puerta, y de datos corporativos deben ser tratados con la misma, si no más, la sensibilidad.

Responsabilidades de la JuntaEn la actualidad hay toda una serie de requisitos legales y reglamentarios que detalla las responsabilidades de la Junta o el propietario de una empresa para garantizar que la información almacenada en computadoras, en particular la información personal está protegida por el uso inadecuado o acceso. Éstos incluyen: La Ley de Protección de Datos de 1998; La Ley de Derechos Humanos de 1998; La Directiva sobre comercio electrónico, las condiciones contractuales abusivas Ley de 1977, el Reglamento de la Ley de Facultades Investigadora de 2000, la Ley de Comunicación Electrónica 2000. El Informe Turnbull, publicado en 1999, proporciona un marco para ayudar a interpretar la "Combinada Código de Gobierno Corporativo ", que se adjunta a las Reglas de venta de la Autoridad de venta del Reino Unido. Las empresas que cotizan en la Bolsa de Valores de Londres deben demostrar que han evaluado los riesgos para la organización y que las políticas en vigor para garantizar que, en la medida de lo posible, el potencial de daño o pérdida se ha reducido a niveles realistas. Aunque dirigido a las sociedades cotizadas, las conclusiones del Informe Turnbull son igualmente aplicables a, y hacer sentido de los negocios para, de otras organizaciones.

El informe afirma que «el Consejo de Administración es responsable del sistema de la compañía de control interno. Se deben establecer políticas apropiadas en materia de control interno y tratar de asegurarse de regular que le permita cerciorarse de que el sistema está funcionando con eficacia. Se debe garantizar que el sistema de control interno es eficaz en la gestión de los riesgos en la forma que ha aprobado ".1 La dependencia de las TI para muchas empresas significa que las consecuencias financieras de una posible pérdida de información o violación de la seguridad debe ser considerada. Esto necesita ser examinada de nuevo no sólo en términos de la información en sí, sino también por el costo de la prevención de los fracasos más y el impacto sobre la reputación de la empresa, el valor de marca, desempeño y potencial futuro.

BS 7799 (ISO 17799)El British Standards Institute (BSI) ha publicado la norma para una Gestión de la Información Sistema de Seguridad que ofrece la auditoría externa y certificación de una norma británica reconoce, y muchas organizaciones están buscando ahora a esto como un punto de referencia de buenas prácticas, y como medida de las personas con que los que desean comerciar electrónicamente. Esto proporciona un excelente marco para el establecimiento de las políticas y procedimientos que permitan a las organizaciones a protegerse de las amenazas a la seguridad, tanto interna como externa, pero también proporciona una forma estructurada y acción común para todas las organizaciones. Aunque formal de recogida a través de la la ruta de certificación de auditoría externa ha sido lento, es ahora el ritmo acelerado con el Gobierno británico ordena el cumplimiento de todos los departamentos y las licitaciones del gobierno ya hacer declaraciones sobre licitadores preferentes que se conforme. Cuando se toman en relación con los aspectos jurídicos de seguridad de la información, el Informe Turnbull y el nerviosismo creciente del mercado de seguros, BS 7799 y de gestión de seguridad de la información son sin duda va a entrar a la sala de juntas del programa en los próximos meses.

Una palabra final sobre la seguridadLos sistemas de gestión debe ser puesto en marcha y una serie de controles y los métodos de presentación de informes. Por lo menos una política de seguridad clara e inequívoca, debe ponerse en el lugar y el personal debe estar capacitado para entender su importancia y sus necesidades. Algunos de los daños derivados de la gente no reconocer el valor de los datos, como se señala en la encuesta de 2002 el DTI que se estima un coste para las empresas del Reino Unido de unos 18 billones de libras al año. En general, el comportamiento es la única manera en que pueden detectar posibles ladrones de datos o de los vándalos antes del evento. Esto se debe al buen manejo y sensibles, y una toma de conciencia de las capacidades del personal, cuestiones de la vida y las pautas de trabajo es esencial. Cualquier cambio en estos podría ser una causa para tal acontecimiento. Supervisar el comportamiento general de las personas y observar cambios en las pautas de trabajo es también una buena manera de establecer las posibles deficiencias. ¿Quién está en la oficina cuando no hay nadie más - por la mañana temprano o tarde en la noche? ¿Es un trabajo concienzudo en su nombre o el suyo? No debemos, sin embargo, ser paranoico sobre la gente sobre una base personal. La mayoría de la gente debe entender que su organización tiene una política de seguridad y que se cumpla. Igualmente, es inútil establecer una política si no tiene intención de hacerlo cumplir, y es injusto para los administradores de esperar que para realizar uno sin darles las herramientas para el trabajo. Una vez que se entiende que la política está en su lugar y que las herramientas están ahí para proteger los sistemas y dar a los directores cualquier forenses que puedan necesitar, todos menos los más decididos ladrón de datos o vandalismo se retrasará.

No hay tal cosa como el sistema perfecto. No hay un banco que no pueden ser robados, sólo aquellos que están tan fuertemente protegidos que en objetivos más fáciles son elegidos en su lugar. La seguridad no es proporcionada por un dispositivo, sino por una serie de dispositivos, sistemas y procedimientos de gestión, construida en capas como la piel de una cebolla. La piel exterior puede ser dañado, pero el núcleo interior se conserva. Hay lecciones que aprender de la empresa de recuperación de desastres, donde las empresas han tenido grandes incendios que destruyeron sus principales activos. Debido a su información corporativa era segura y que había sistemas en el lugar fueron capaces de continuar, a diferencia de los que no y perecieron. La capitalización de más de 20 años de experiencia en el desarrollo de algunos de los protocolos de comunicaciones en el corazón de cada plataforma de comunicaciones de Microsoft Windows, Seguridad Diseñadores Ltd es una propiedad privada, independiente del Reino Unido basada en compañía de software. Que emanan de especialistas de la conectividad de red de diseñadores, de Seguridad se creó en 2000 para vender y comercializar la galardonada red activas camarero de Seguridad de Información de Gestión (SIM) y ahora tiene una base cada vez mayor de gobierno del Reino Unido, NHS, la educación y las organizaciones del sector comercial, y se está estableciendo rápidamente una reputación como un proveedor líder en el campo. Para más información contactar: Seguridad Designers Ltd, 5 Wharfe Mews, Cliffe Terraza, Wetherby, Leeds, West Yorkshire LS22 6LX. Tel: +44 (0) 1937 584 584, Fax: +44 (0) 1937 587 367 Correo electrónico: info@SecurityDesigners.com; página web: www.SecurityDesigners.com

un artículo presentado por Frank C.

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "Reconociendo el enemigo interior", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.