内の敵を認識し

にアクセスすると効率的に人々の信頼の位置に配置され、そのジョブを行うには、 機密データやシステム。あなたはその善意に依存することはできませんデクラン意見 グローガンセキュリティデザイナーで。一時的な不注意やならず者の従業員することができます 現実的な問題が発生します。

陰謀や自己満足？それは、人々を効率的に我々の信頼の位置に置くには、機密データやシステムにアクセスしている自分のジョブを実行できるように認識される必要があります。証拠を考えると、しかし、それはもはや純粋な善意と信仰に頼ることで十分です。そこは、潜在的なリスクを提供する地域の番号です。

派遣社員ピーク時の負荷の時、一時的なスタッフでは頻繁にサイト上での最初の日には、供給機関から、インタビューや他の審査過程なしに直接到着します。もちろん、彼らは、Microsoft Wordや具体のためにあるExcelのスキルが付いてきますし、数分で明白ですが、何を他のスキルも武装ですか？おそらく環境の一層の様々な彼らはおそらくもっと非保護領域にその方法を見つけることに長けている働いてきた。特権を私たちが、すべての後、我々は彼らのスタッフのフルタイムのメンバーと同じ作業を行うことを期待これらの人々を提供する当社のネットワーク管理者は、どんな質問をするのですか？

ローグや不注意な従業員このカテゴリには明らかに主な候補と思わ過小評価さ不満を持つ従業員、販売促進のため見落とされ、予約駐車場のスペース、または単純にベッドの間違った側に降りた拒否されます。このカテゴリには、次の候補の下にいる人たちの手に時間を使って実験では週休2日、調査中に自分自身を見つける活用従業員。何らかの理由で、彼らは会社の最高の友人ではない時間を与えられた瞬間インチ不注意な従業員は、1つは、パスワードを自分の机の上の引き出しに一枚の紙に書かれた葉や亡くなったから歩いてターミナルが、貴重なデータソースに接続したまま。ので、誰も彼らに明らかにして不注意な従業員は必ずしも、ほとんどのケースで彼らの行動の潜在的な影響を認識していない場合、悪意のあるではありません。

内部違反のどのような性質は、被害が解消したのコストは潜在的に非常に高いです-自分もその違反が発生して認識していると仮定。あなたの会社の機密情報がインターネット上にボタンに触れるだけでアウト消えて停止するのですか？またはあなたの友人で、トロイの木馬を経由してインターネット上のハッカー？にウイルス対策情報をダウンロードするには確かに優先順位をここでは、両方のワークステーションおよびメールサーバー上に存在するが送信されているジョークのアプリケーションを停止します。慎重に検討もしたメールの添付ファイルを送信することができるはずとして、スキャナの実装もすることを確認メールの内容が人々の不正機密資料を送信することを停止する与えられるべきである。もう一つの脅威の電子メールに関連付けられて、もう1つは、同様につながっている非常にコストのかかる訴訟の記載例は、電子メールの内容や中傷的な発言の外の世界に企業の電子メールを介して発行されています。単語'ポリシー'ここに他の適用されます。

貧困層のネットワークポリシー現代のPCシステムでお互いに非常に簡単に話をするように設計されている平均中退者たくさんの知識を彼らとしています。能力は、内部ネットワークを参照する内部システムと他のユーザーのパソコンのすべての種類のデータを見ることの可能性を開きます。これはかなり想定されている事業の管理アカウントのユーザー情報は、シニアマネージャーのPC上で開催へのアクセスを得ることができたが不十分な保護された環境での紙のコピーをロックし、キーの下に保持されますが、しばしば、このアクセスするために簡単です。悪い保護されたサーバやPC上の情報です。これは、実際には、ツールのすべての種類のデスクトップおよびサーバーのオペレーティングシステムに記載ドアと一緒にダウンロードすることができますが悪化している。再度、適切なトラフィック管理と一緒に政策や機密データを保護するのに長い道を行く監査を行います。

ポリシーは私には適用されません！ポリシーを持つすべてのも良いですが、施行される必要があります。多くの脅威には、ポリシーによって妨害さを感じる者とその背後にある理由を認識していないユーザーから出てくることができます。これはインターネットサーフィンをすることがありますが一般的な例。人が自由にアクセスしたいユーザーは、インターネットに直接アクセスするためのモデムこれにより、ファイアウォールのような（これが絶対必要があります外部の防衛のための）境界のセキュリティ対策を回避を使用するように誘惑されることがあります。ハッカーたちは、このモデム回線の手法として知られる'polevaulting、ゲインのすべての権限は、モデムが接続されたデバイスに関連付けられて使用して降りてくることができます。また、モデムの数だけでなく、保護する必要が分散していないことは言うまでもない。政策の場合にのみ正常に誰もが理解が厳密に施行に便利です。この管理を簡単にし、それらが適切な行動を取る可能性があります証拠をすることができる任意のcontraventionsを参照できるようにする必要がありますかしてください。

犠牲者の犯罪？1台のコンピュータのセキュリティを使用しての課題の考え方は、被害者の犯罪です。場合、顧客の詳細情報のデータベースを、同社は、まだデータベースがないため、彼らは犯罪としては表示されない場合、内部のハッカーをコピーします。破壊してしまったそれは、しかしながら、犠牲者は、結果として、これは、競合他社、顧客情報を持ってビジネスのレベルをドロップする必要が苦しむすべての人々がいる。頻繁には当時の財務に与える影響を認識しない人はばんじん後にシステムの再構築に使わデータ、または顧客へのサービスの損失。これは、すべての影響をしており、我々の事件、これらのタイプのための機会を最小限にする義務がある。我々は泥棒や車のアラームに投資する。私たちを参照することができますし、それに触れる私たちは一般的に物理的なセキュリティを理解する;しかし、手遅れになるまではデータはしばしば見過ごされている。し、コンピュータを捨てて何を欠場-マシンや、その上に情報をみてください？我々は、建物にいない場合は、よりドアのフックに専務取締役のオフィスとファイリングキャビネット、企業のデータは同じで、感度が扱われる必要があるキーを放置しないでください。

委員会の責任現在、法的および規制要件は、ボードやビジネスの所有者は、情報を確保するための責任を詳述の全体をホストしているコンピュータ上で、不適切な使用またはアクセスから保護されて、特に個人情報を格納します。以下が含まれます：データ保護法1998;人権法1998; Eコマース指令;法1977;調査権限法2000年のレギュレーション;電子通信法2000。ターンブル報告書、1999年に発行された、解釈を支援するフレームワークを提供する不公正な契約条項は、'複合コードのコーポレートガバナンス'は、英国のリスト機関のリストのルールに付加されています。企業は、ロンドン証券取引所に記載されても組織して、リスクを評価している政策の場所には、限りでは、損傷の可能性や損失実用的である現実的なレベルに低減されていることを確認することが示さなければならない。ただし、上場企業での監督は、ターンブルレポートの結果も同様に、適用されると、他の組織のためのビジネスセンスを確認します。

報告書は、取締役の'は、基板内部統制のは、同社のシステムを担当しています。これは、内部統制上の適切なポリシーを設定する必要がありますし、それには、システムを効果的に機能している自分自身を満たすために有効になります定期的に保証を求める。これは、内部統制のシステムは、'多くの企業のためのIT 0.1依存性を承認しているように、これらのリスク管理に有効であることを確認する必要がありますは、セキュリティ情報、または違反のどのような損失の財務的影響を考慮しなければならないということです。これは、単に情報そのものの面では審査されるだけでなく、さらに障害や会社の評判、ブランド価値、パフォーマンス、および将来の可能性への影響を防止する費用が必要です。

学士7799機構（ISO 17799）英国規格協会（BSI）は、情報セキュリティ管理システムは、外部監査と認められたイギリスの標準に証明書を提供し、多くの企業では、すぐにこれに良い練習のためのベンチマークとして、探している標準的な発表している人との措置として、これらの電子取引を相手したい。これは、ポリシーおよび手順の確立のために組織のセキュリティ上の脅威、内部と外部両方から身を守るためにできるようになります優れたフレームワークを提供し、それはまた、すべての組織のための構造化された方法で、一般的な測定を提供します。取りを通じて正式には外部監査証明書のルートされて、ペースは現在、英国政府との迅速化され部門や政府の入札が優先交渉対象者に準拠されてに関するステートメントを全体遵守の義務化が遅れています。時の情報セキュリティの法的側面との組み合わせでの撮影は、ターンブル報告書や保険市場学、BS 7799、情報セキュリティ管理の成長不安は確かに、今後数カ月内の会議室の議題を入力する予定です。

セキュリティ上の最後の言葉管理システム場所に一連のチェックを入れてはならないの報告の方法を確立。少なくともはっきりと明確なセキュリティポリシーの場所に配置する必要がありますし、スタッフとの関連性とその要件を理解するように訓練する必要があります。いくつかの危害の人々はデータの価値を認識することが失敗したから、など、いくつかの� 18000000000年間の英国のビジネスにコストを一般的に、行動の見積もりは、2002年貿易産業省の調査では指摘する唯一の方法ですが発生は、我々イベントの前に潜在的なデータ窃盗や破壊行為を見分けることができますが発生します。不可欠ですこれを良いと小文字を区別管理し、スタッフの能力、人生の問題意識と仕事のパターンです。このようなイベントをトリガすることですべての変更の監視の人々の全体的な行動や仕事のパターンの変化を見ても、潜在的な弱点を確立する良い方法です。誰が誰もされているオフィスでは-早朝や深夜に？しかし、個人的に人々の妄想がお客様に代わっか、彼ら？私たちはすべきではありません上の良心的な仕事あるだろうか。ほとんどの人があなたの組織のセキュリティポリシーを持って、理解する必要がありますが適用されます。同様に、そのポリシーを設定することは無益である場合、それを強制するつもりはないが、それは不公平だ上の管理職を与えることなく1つを実装するよう期待する仕事をするためのツール。いったんは、ポリシーの場所とされているツールは、システムを保護し、管理者は、すべてが、ほとんどの決定、データ泥棒/ばんじんする必要があります任意のフォレンジックを提供され、理解されオフに配置されます。

そこに最適なシステムとしてはそのようなものです。そこが奪われることはできませんが、銀行だけが、そのように強くソフトな目標ではなく、選択され保護されています。セキュリティの1つのデバイスでは提供されても、デバイス、システムおよび管理手順、タマネギの皮のように重ねて構築された範囲で。外側のスキンが破損することがあります内側のコアが保持されます。またここで、企業が自社のコア資産を破壊された大火災があったの災害復旧事業から学んだことのレッスンです。ため、企業情報を保護され、その場所で彼らを継続することができた人。20年以上に乗じたていないし、死んだかと違ってシステムがすべてのMicrosoft Windowsの通信プラットフォーム、セキュリティの中心部でいくつかの通信プロトコルの開発経験デザイナー株式会社は、個人所有の独立した英国は、ソフトウェア企業です。接続の専門家ネットワークの設計から発せられる、セキュリティ設計者は2000年に販売するように設定され、賞を受賞Active Netのスチュワードのセキュリティ情報管理システム（SIM）を受賞市場は、現在、英国政府は、NHSの、教育、商業部門の組織との成長基盤を持ってすぐにフィールドのリーディングサプライヤとしての評判を確立しています。詳細はお問い合わせください：セキュリティ設計公司、5ホウォーフ川ミューズ、クリフテラス、ウェザビー、リーズ、ウェストヨークシャーLS22 6LX。電話番号：+44（0）1937 584 584、ファックス：+44（0）1937 587 367; Eメール：info@SecurityDesigners.com;ウェブサイト：www.SecurityDesigners.com

記事は、フランクC提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"内に敵を認識し、"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。