Riconoscendo il nemico interno

Per svolgere il proprio lavoro in modo efficiente le persone si trovano in una posizione di fiducia, con l'accesso ai dati sensibili e dei sistemi. Non si può fare affidamento solo sulla loro buona volontà, ha detto Declan Grogan a Designers di sicurezza. Temporanea, dipendenti negligenti o disonesto può causare problemi reali.

Cospirazione o compiacenza?Va riconosciuto che, per consentire alle persone di fare il loro lavoro in modo efficiente, dobbiamo metterli in una posizione di fiducia, con accesso ai dati sensibili e dei sistemi. Date le prove, tuttavia, non è più sufficiente fare affidamento esclusivamente sulla buona volontà e la fede. Ci sono un certo numero di settori che forniscono i potenziali rischi.

Agenti temporaneiNei momenti di picco di carico, personale temporaneo spesso arrivano sul posto il giorno prima, direttamente presso l'agenzia di fornitura, senza un colloquio o un processo di selezione di altri. Naturalmente vengono con la Parola di Microsoft Excel e le competenze che abbiamo chiesto espressamente, e che è dimostrabile in pochi minuti, ma quello che le altre abilità sono anche armati? Probabilmente avendo lavorato in una grande varietà di ambienti che sono probabilmente più abili a trovare la loro strada nello spazio nonprotected. Quali privilegi possiamo chiedere ai nostri amministratori di rete di dare a queste persone, quando, dopo tutto, ci aspettiamo che loro di fare lo stesso lavoro come un tempo pieno di personale?

Rogue e incurante dei lavoratoriIl candidato più ovvio primario in questa categoria è il dipendente insoddisfatto, trascurato per la promozione, apparentemente sottovalutata, private di un posto auto riservato, o semplicemente alzato dal letto dal lato sbagliato. I prossimi candidati in questa categoria sono sotto-utilizzati i dipendenti che si trovano con il tempo sulle loro mani durante la giornata di lavoro in cui sperimentare e studiare. Per qualsiasi ragione, in un dato momento non sono i migliori amici della società. Il dipendente distratto è quello che lascia la propria password scritta su un pezzo di carta nel cassetto della propria scrivania, o che si allontana da un terminale lasciando collegato a una fonte preziosa di dati. Il dipendente distratto non è necessariamente dannoso e nella maggior parte dei casi non è a conoscenza del potenziale impatto delle loro azioni, perché nessuno ha chiarito a loro.

Qualunque sia la natura della violazione interno, il costo di riparazione del danno arrecato è potenzialmente molto elevato - supponendo che si è anche consapevole del fatto che la violazione si è verificata. Fai smettere di informazioni aziendali riservate scomparire verso Internet con il semplice tocco di un pulsante? O interrompere l'applicazione scherzo che vi viene inviato da un amico il download delle informazioni tramite un Trojan per un hacker su Internet? Protezione dai virus ha certamente essere una priorità in questo campo, sia su workstation e server di posta. Attenta considerazione dovrebbero essere fornite anche da chi dovrebbe essere in grado di inviare allegati di posta elettronica, e anche per l'attuazione di scanner che i contenuti di posta elettronica di controllo per interrompere l'invio di persone non autorizzate di materiale riservato. Un'altra minaccia associata con la posta elettronica, e uno che ha portato a ben -i casi documentati di cause legali molto costosa, è quella dei contenuti e-mail e commenti diffamatori venga rilasciato via e-mail aziendale per il mondo esterno. La politica della parola 'vale qui come altrove.

Cattiva politica di reteModerni sistemi di PC sono progettati per parlare tra loro molto facilmente, e il tasso di abbandono medio scuola ha un sacco di familiarità con essi. La possibilità di navigare in rete interna apre la possibilità di vedere i dati su tutti i tipi di sistemi interni e PC di altri utenti '. Si può immaginare che in un ambiente poco sicuro che un utente potrebbe ottenere l'accesso alle informazioni in possesso sul PC di un senior manager. La copie cartacee dei conti di gestione di un business sono tenuti sotto chiave, ma spesso è facile accedere a questo informazioni sui server poco protetti o PC. Ciò è aggravato dal fatto che tutti i tipi di strumenti possono essere scaricati con backdoor documentata in sistemi operativi desktop e server. Ancora una volta, la politica insieme a un'adeguata gestione del traffico e controllo fare molto per proteggere i dati sensibili.

La politica non si applica a me!Avere una politica è tutto bene, ma deve essere applicata. Spesso le minacce possono emergere dagli utenti che si sentono gravate dalla politica e che non riconoscono le ragioni dietro di esso. Un esempio comune di questa può essere la navigazione in Internet. Gli utenti che desiderano un accesso senza restrizioni possono essere tentati di utilizzare un modem per l'accesso diretto a Internet, aggirando così le misure di sicurezza perimetrale, come firewall (che sono un must assoluto per difesa esterna). Gli hacker possono scendere questa linea modem utilizzando una tecnica nota come 'polevaulting', e ottenere tutti i privilegi connessi con il dispositivo che ha il modem collegato ad esso. Si deve inoltre fare a meno di dire che i numeri modem dovrebbero essere ben protetti e non distribuiti. Una politica è utile solo se ben compreso da tutti e quando applicate rigorosamente. Per fare questo i manager devono essere in grado di vedere eventuali violazioni facilmente ed essere in grado di prove in modo che l'azione appropriata può essere adottata.

Il crimine senza vittime?Una delle sfide con la sicurezza informatica è l'idea che si tratta di un crimine senza vittime. Se un hacker copie interno un database di dati del cliente, l'azienda ha ancora il database e quindi non può vedere come un crimine. E ', tuttavia, e le vittime sono tutte le persone che soffrono in conseguenza dovrebbe livelli aziendali drop off a causa di un concorrente ha loro le informazioni sui clienti. Spesso le persone non si rendono conto l'impatto finanziario del tempo impiegato per ricostruire i sistemi, dopo un vandalo ha distrutto dati, o la perdita di servizio ai clienti. È tutto un impatto, e abbiamo il dovere di ridurre al minimo le possibilità per questi tipi di incidenti. Investiamo in Allarmi antifurto e auto. Che generalmente intendiamo la sicurezza fisica, perché possiamo vedere e toccare, ma i dati sono spesso trascurato fino a quando non è troppo tardi. Provare a buttare via il computer e che cosa ti manca - la macchina o le informazioni su di esso? Noi non lasciare le chiavi della struttura, i dati dell'ufficio del direttore generale e l'archivio su un gancio vicino alla porta, e la società dovrebbero essere trattati con la stessa, se non di più, la sensibilità.

Consiglio di responsabilitàOra ci sono tutta una serie di requisiti di legge e regolamentari in dettaglio le responsabilità del consiglio di amministrazione o un imprenditore al fine di garantire che le informazioni memorizzate sul computer, in particolare i dati personali, è protetta da uso improprio o l'accesso. Tra questi: il Data Protection Act 1998; Lo Human Rights Act del 1998; La direttiva sul commercio elettronico; sulle clausole abusive legge del 1977; Il regolamento del Investigatory Powers Act 2000; L'Electronic Communication Act 2000. Turnbull Il Rapporto, pubblicato nel 1999, fornisce un quadro che aiutino ad interpretare la 'combinata Codice in materia di Corporate Governance ', che è allegata al Regolamento Emittenti della UK Listing Authority. Società quotata al London Stock Exchange deve dimostrare di aver valutato i rischi per l'organizzazione e le politiche che sono in atto per garantire che, per quanto possibile, il rischio di danni o perdita è stata ridotta a livelli realistici. Anche se diretta a società quotate, le risultanze della relazione Turnbull sono ugualmente applicabili, e dare un senso economico per le altre organizzazioni.

La relazione afferma che 'il consiglio di amministrazione è responsabile per il sistema della società di controllo interno. E 'necessario impostare politiche adeguate in materia di controllo interno e cercare di garantire regolari che le consentirà di assicurarsi che il sistema funziona in modo efficace. Si deve assicurare che il sistema di controllo interno è efficace nel gestire tali rischi in modo che essa ha approvato '.1 dipendenza da esso per molte imprese significa che le conseguenze finanziarie di qualsiasi perdita di informazioni o di violazione della sicurezza, deve essere considerato. Questo deve essere valutato non solo in termini di informazioni, ma anche per il costo di prevenire ulteriori fallimenti e l'impatto sulla reputazione della società, il valore del marchio, le prestazioni e le potenzialità future.

BS 7799 (ISO 17799)Il British Standards Institute (BSI) ha pubblicato lo standard di un Information Security Management System che offre di revisione e certificazione esterna a una norma riconosciuta britannico, e molte organizzazioni stanno cercando di questo come un punto di riferimento per le buone prassi e come misura di quelli con che essi desiderano commerciare elettronicamente. Ciò fornisce un eccellente quadro per la definizione delle politiche e delle procedure che consentono alle organizzazioni di proteggersi dalle minacce alla sicurezza, sia interne che esterne, ma fornisce anche un modo strutturato e un'azione comune di tutte le organizzazioni. Sebbene formale adozione delle tecnologie attraverso la all'esterno il percorso di certificazione controllati sono stati lenti, il ritmo è accelerato con il governo britannico ha mandato il rispetto tra i vari dipartimenti e le offerte del governo ora fare dichiarazioni circa gli offerenti preferito essere compliant. Se assunto in combinato disposto con gli aspetti giuridici della sicurezza delle informazioni, la relazione Turnbull e il nervosismo crescente del mercato assicurativo, BS 7799 e la gestione della sicurezza dell'informazione sono certamente intenzione di entrare nella sala del consiglio agenda nei prossimi mesi.

Un'ultima parola sulla sicurezzaI sistemi di gestione deve essere messo in atto e una serie di controlli e metodi di comunicazione stabiliti. Almeno una politica chiara e inequivocabile la sicurezza dovrebbe essere messo in atto e il personale dovrebbe essere addestrato a capire la sua importanza e le sue esigenze. Alcune delle causa di un danno da parte di persone non riconoscendo il valore dei dati, come rilevato nel sondaggio 2002 DTI che stima un costo per le imprese del Regno Unito di sterline 18 miliardi di euro all'anno. In generale, il comportamento è l'unico modo in cui noi è possibile identificare le potenzialità di dati ladri o vandali prima si verifica l'evento. Ciò è riconducibile alla buona gestione e sensibili, e la consapevolezza delle capacità del personale, le questioni di vita e modelli di lavoro è essenziale. Qualsiasi modifica di questi potrebbe essere un limite per un tale evento. Monitoraggio del comportamento complessivo delle persone e vedere il cambiamento dei modelli di lavoro è anche un buon modo di stabilire eventuali carenze. Chi è in ufficio, quando non c'è nessun altro - la mattina presto o la sera tardi? È coscienzioso lavoro per vostro conto o loro? Non dobbiamo, però, essere paranoici di persone su base personale. Molte persone dovrebbero capire che la vostra organizzazione ha una politica di sicurezza e che essa viene applicata. Allo stesso modo, è inutile impostare una politica se non avete intenzione di farla rispettare, e non è giusto aspettarsi che il manager ad attuare uno senza dar loro gli strumenti per il lavoro. Una volta capito che la politica è a posto e che gli strumenti ci sono per proteggere i sistemi e dare ai dirigenti qualsiasi medicina legale che potrebbe avere bisogno, ma tutti i più determinati dati ladro / atti vandalici saranno messi fuori.

Non esiste una cosa come il sistema perfetto. Non vi è nessuna banca che non può essere derubato, ma solo quelli che sono così fortemente protetto che gli obiettivi vengono scelti invece più morbida. La sicurezza non è fornita da un dispositivo, ma da una serie di dispositivi, sistemi e procedure di gestione, costruita a strati, come la pelle di una cipolla. Tegumento esterno può arrivare danneggiata, ma il nucleo interno è conservata. Ci sono lezioni da trarre dalle attività di disaster recovery, dove le società hanno avuto grandi incendi che hanno distrutto la loro attività principale. Perché le loro informazioni aziendali è sicuro e che avevano posto in atto sistemi sono stati in grado di continuare, a differenza di quelli che ha fatto e non morti. Trarre oltre 20 anni di esperienza nello sviluppo di alcuni dei protocolli di comunicazione al centro di ogni piattaforma Microsoft Windows comunicazioni, la sicurezza progettisti Ltd è una proprietà privata, indipendente, UK-based società di software. Provenienti da specialisti di connettività di rete, designer di sicurezza è stato istituito nel 2000 per vendere e commercializzare il premiato Active Net Steward Security Information Management System (SIM) e ha ora una base sempre crescente di governo del Regno Unito, NHS, l'istruzione e le organizzazioni del settore commerciale, e è rapidamente una reputazione come fornitore leader nel settore. Per ulteriori informazioni contattare: Sicurezza Designers Ltd, 5 Wharfe Mews, Cliffe Terrazza, Wetherby, Leeds, West Yorkshire LS22 6LX. Tel: +44 (0) 1937 584 584, Fax: +44 (0) 1937 587 367 e-mail: info@SecurityDesigners.com; Sito web: www.SecurityDesigners.com

un articolo presentato da Frank C.

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "Riconoscendo il nemico interno" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.