Reconnaissant l'ennemi intérieur

Pour faire leur travail efficacement les gens sont placés dans une position de confiance, avec accès à données sensibles et des systèmes. On ne saurait compter uniquement sur leur bonne volonté, déclare Declan Grogan aux concepteurs de sécurité. Temporaires, les employés négligents ou délinquants peuvent causer des problèmes réels.

Complot ou de complaisance?Il faut reconnaître que, pour permettre aux gens de faire leur travail efficacement, nous devons les placer dans une position de confiance, avec un accès à des données sensibles et des systèmes. Compte tenu de la preuve, toutefois, il n'est plus suffisant de se fonder uniquement sur la bonne volonté et de foi. Il existe un certain nombre de domaines qui offrent des risques potentiels.

Le personnel temporaireEn période de pointe de charge, le personnel temporaire arrivent souvent sur place le premier jour, en direct de l'agence d'approvisionnement, sans entretien ou d'un procédé de dépistage autres. Bien sûr, ils viennent avec le Microsoft Word et Excel compétences que nous a demandé en particulier, et qu'il est démontrable en quelques minutes, mais quelles autres compétences sont-ils aussi armés de? Ayant probablement travaillé dans une grande variété d'environnements, ils sont probablement plus aptes à trouver leur chemin dans l'espace non prémunis. Quels sont les privilèges que nous demandons à nos administrateurs de réseau d'offrir à ces personnes lorsque, après tout, nous attendons d'eux qu'ils effectuent le même travail en tant que membre à temps plein de personnel?

Rogue et insouciante employésLe candidat principal évidente dans cette catégorie: l'employé mécontent, dominé pour la promotion, soi-disant sous-évalué, a nié un espace réservé pour une voiture, ou tout simplement sortis du lit du mauvais côté. Les prochains candidats de cette catégorie sont employés sous-utilisées qui se trouvent avec le temps sur les mains pendant la journée de travail dans lequel d'expérimenter et d'enquêter. Pour une raison quelconque, à un moment donné dans le temps, ils ne sont pas les meilleurs amis de l'entreprise. L'employé négligent est celui qui laisse son mot de passe écrit sur un morceau de papier dans le tiroir du haut de leur bureau, ou qui s'éloigne d'un Administration laissant connecté à une source de données précieuses. L'employé négligent n'est pas nécessairement malveillante et dans la plupart des cas, n'est pas conscient de l'impact potentiel de leurs actions, parce que personne n'a dit clairement à eux.

Quelle que soit la nature de la violation interne, le coût de la réparation du dommage causé est potentiellement très élevé - en supposant que vous êtes encore conscient du fait que la violation a été commise. Arrêtez-vous des informations confidentielles de l'entreprise disparaît vers Internet au simple toucher d'un bouton? Ou arrêter l'application blague qui vous est envoyé par un ami de télécharger des informations via un cheval de Troie à un pirate sur Internet? Protection contre les virus doit certainement être une priorité, ici, sur les deux postes de travail et les serveurs de messagerie. Attention particulière doit aussi être donnée quant à qui devrait être en mesure d'envoyer des pièces jointes de messagerie, et aussi à la mise en oeuvre des scanners que le contenu mail à cocher pour empêcher les gens de l'envoi de documents confidentiels non autorisée. Une autre menace associés au courrier électronique, et qui a mené à bien -les cas documentés de procès très coûteux, c'est celui de contenu des emails et des propos diffamatoires sont émis par e-mail d'entreprise au monde extérieur. La politique du mot s'applique ici comme ailleurs.

Mauvaise politique de réseauLes systèmes modernes de PC sont conçus pour parler à l'autre très facilement, et le quitte l'école moyenne a beaucoup de familiarité avec eux. La capacité de naviguer sur le réseau interne ouvre la possibilité de voir des données sur toutes sortes de systèmes internes et des ordinateurs des autres utilisateurs. Il est tout à fait concevable que dans un environnement mal fixés, un utilisateur peut accéder à des informations contenues sur le PC d'un cadre supérieur. Les copies papier de la gestion des comptes d'une entreprise sont gardés sous clé, mais souvent il est facile d'accéder à ce informations sur les serveurs mal fixés ou PC. Ceci est aggravé par le fait que toutes sortes d'outils peuvent être téléchargés avec les backdoors documentés dans le bureau et les systèmes d'exploitation serveur. Une fois encore, la politique ainsi que la gestion du trafic et de vérification appropriées aller un long chemin à protéger les données sensibles.

Politique ne s'applique pas à moi!Disposer d'une politique est bel et bon, mais elle doit être exécutée. Souvent, les menaces peuvent émerger des utilisateurs qui se sentent gênés par la politique et qui ne reconnaissent pas les raisons derrière elle. Un exemple courant de ce mai être surfer sur Internet. Les utilisateurs qui veulent un accès sans entrave mai être tentés d'utiliser un modem pour l'accès direct à Internet, contournant ainsi les mesures de sécurité telles que les pare-feu de périmètre (qui sont un must absolu pour la défense extérieure). Les pirates peuvent descendre cette ligne modem à l'aide d'une technique appelée «polevaulting ', et le gain de tous les privilèges associés au dispositif qui a le modem qui s'y rattachent. Il devrait également aller de soi que les numéros de modem doit être bien protégés et non distribués. Une politique n'est utile que s'il est bien compris par tous et appliquée avec rigueur quand. Pour ce faire, les managers doivent être capables de voir toute infraction facilement et être en mesure de les preuves afin que des mesures appropriées soient prises mai.

Le crime sans victime?L'un des défis à la sécurité informatique est l'idée que c'est un crime sans victime. Si une copie pirate informatique interne d'une base de données de renseignements sur le client, l'entreprise a toujours la base de données et par conséquent, ils mai pas le voir comme un crime. Il est, cependant, et les victimes sont toutes les personnes qui souffrent comme une conséquence si les niveaux des entreprises tombent parce qu'un concurrent a renseignements sur leurs clients. Souvent, les gens ne réalisent pas l'impact financier du temps consacré à la reconstruction des systèmes après un vandale a détruit données, ou la perte dans le service aux clients. Tout cela a un impact, et nous avons le devoir de minimiser les possibilités pour ces types d'incidents. Nous investissons dans la protection contre le vol et les alarmes de voiture. Nous comprenons généralement la sécurité physique, parce que nous pouvons voir et le toucher, mais les données sont souvent négligées jusqu'à ce qu'il soit trop tard. Essayez de jeter votre ordinateur et ce qui vous manque - la machine ou de l'information à son sujet? Nous ne laissons pas les clés de la construction, les données du bureau du directeur général et le classeur sur un crochet par la porte, et il doit être traité avec les mêmes, sinon plus, de sensibilité.

Responsabilités du conseilIl ya maintenant toute une série d'exigences légales et réglementaires précisant les responsabilités du conseil ou d'un propriétaire d'entreprise de veiller à ce que les informations stockées sur les ordinateurs, en particulier les renseignements personnels, sont protégés contre un usage abusif ou d'accès. Il s'agit notamment de: The Data Protection Act 1998; The Human Rights Act 1998; La directive E-commerce, le contrat les clauses abusives loi de 1977, la réglementation des pouvoirs d'enquête de 2000; The Electronic Communication Act 2000. Le rapport Turnbull, publié en 1999, fournit un cadre pour aider à interpréter le «Combined Code de Gouvernance d'Entreprise », qui est annexé au Règlement de cotation de la UK Listing Authority. Les sociétés cotées à la Bourse de Londres doivent démontrer qu'ils ont évalué les risques à l'organisation et que les politiques sont en place pour assurer, dans la mesure où cela est possible, le potentiel de dommage ou de perte a été ramenée à des niveaux réalistes. Bien que consacré aux sociétés cotées, les conclusions du rapport Turnbull sont également applicables pour éventuellement faire le sens des affaires pour, d'autres organisations.

Le rapport indique que «le conseil d'administration est responsable du système de la société de contrôle interne. Il convient de définir des politiques appropriées en matière de contrôle interne et sollicite régulièrement l'assurance qui lui permettra de s'assurer que le système fonctionne efficacement. Elle devrait s'assurer que le système de contrôle interne est efficace dans la gestion de ces risques dans la manière dont elle a approuvé '.1 dépendance à l'égard de l'information pour de nombreuses entreprises signifie que les conséquences financières d'une éventuelle perte d'informations ou violation de la sécurité doit être envisagée. Cette question doit être examinée non seulement en termes même de l'information, mais aussi pour le coût de la prévention de nouvelles faillites et de l'impact sur la réputation de l'entreprise, valeur de la marque, la performance et le potentiel futur.

BS 7799 (ISO 17799)La British Standards Institute (BSI) a publié la norme pour un système d'information de gestion de sécurité qui offre d'audit externe et de certification à une norme britannique reconnue, et de nombreuses organisations cherchent maintenant à cela comme une référence en matière de bonnes pratiques et en tant que mesure de ceux qui dont ils souhaitent faire du commerce électronique. Cela fournit un excellent cadre pour l'établissement des politiques et des procédures qui permettent aux organisations de se protéger contre les menaces à la sécurité, à la fois internes et externes, mais il fournit aussi une manière structurée et d'action commune de toutes les organisations. Bien officielles prennent place à travers le Route de certification externe auditée a été lente, le rythme est maintenant s'accélérer avec le gouvernement britannique exigeant le respect entre les ministères et appels d'offres gouvernementaux en train de faire des déclarations sur des soumissionnaires privilégiés étant conforme. Une fois pris en conjonction avec les aspects juridiques de la sécurité de l'information, le rapport Turnbull et la nervosité croissante du marché de l'assurance, BS 7799 et la gestion des sécurité de l'information vont certainement entrer dans la salle de réunion dans l'ordre du jour des prochains mois.

Un dernier mot sur la sécuritéSystèmes de gestion doivent être mises en place et une série de contrôles et les méthodes de déclaration établis. À tout le moins une politique claire et sans équivoque de la sécurité devrait être mis en place et le personnel devraient être formés pour comprendre son importance et ses exigences. Quelques-uns des méfaits découle de personnes refusant de reconnaître la valeur des données, comme l'a souligné dans l'étude DTI 2002 que les estimations des coûts pour les entreprises britanniques de quelque 18 milliards de livres par an. En général, le comportement est le seul moyen dont nous peut repérer le potentiel des vandales ou des voleurs de données avant l'événement se produit. Ce chiffre est inférieur à une bonne gestion et sensible, et une prise de conscience des capacités du personnel, les questions de vie et nos habitudes de travail est essentiel. Toute modification de ceux-ci pourraient être un élément déclencheur d'un tel événement. Surveillant le comportement global de personnes et en regardant l'évolution des modes de travail est aussi un bon moyen d'établir des points faibles potentiels. Qui est dans le bureau quand personne d'autre est - tôt le matin ou tard le soir? Est-il un travail consciencieux en votre nom ou leur? Nous ne devons pas, cependant, être paranoïaque à propos de personnes sur une base personnelle. La plupart des gens doivent comprendre que votre organisation a une politique de sécurité et qu'elle soit appliquée. De même, il est inutile de fixer une politique, si vous n'avez aucune intention de le faire respecter, et il est injuste sur les gestionnaires d'attendre d'eux pour réaliser l'un sans leur donner les outils pour le travail. Une fois qu'il est entendu que la politique est en place et que les outils sont là pour protéger les systèmes et donner aux responsables de toute la criminalistique mai ils ont besoin, tous, sauf les plus déterminés de données voleur / vandalisme seront rebutés.

Il n'ya pas de chose telle que le système parfait. Il n'y a pas de banque qui ne peuvent pas être volé, seulement celles qui sont si fortement protégées qui sont des cibles plus vulnérables plutôt choisi. La sécurité est assurée non par un seul appareil, mais par une gamme de dispositifs, systèmes et procédures de gestion, construit dans les calques comme la peau d'un oignon. Les peaux extérieure mai abîmée, mais le noyau interne est préservée. Il ya des leçons à tirer de l'entreprise de récupération après sinistre, où les entreprises ont eu de grands incendies qui ont détruit leurs biens essentiels. Parce que leur information de l'entreprise était en sécurité et ils avaient des systèmes en place, elles ont pu continuer, contrairement à ceux qui n'ont pas péri. Capitalisant sur plus de 20 ans d'expérience en développement de certains des protocoles de communication au cœur de chaque plate-forme de communication de Microsoft Windows, la sécurité Designers Ltd est une société privée, indépendante société britannique de logiciels. Emanant de spécialistes de la connectivité réseau de designers, de sécurité a été créé en 2000 pour vendre et commercialiser le très récompensé Actif Net Steward Security Information Management System (SIM) et a maintenant une base croissante de gouvernement britannique, le NHS, l'éducation et les organisations du secteur commercial, et met en place rapidement une réputation comme un fournisseur de premier plan dans le domaine. Pour plus d'information: la sécurité Designers Ltd, 5 Wharfe Mews, Cliffe Terrasse, Wetherby, Leeds, West Yorkshire LS22 6LX. Tel: +44 (0) 1937 584 584; Fax: +44 (0) 1937 587 367; Courrier électronique: info@SecurityDesigners.com; Site web: www.SecurityDesigners.com

un article présenté par Frank C.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «Reconnaissant l'ennemi intérieur» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.