Reconhecendo o inimigo dentro

Para fazer o seu trabalho de forma eficiente as pessoas são colocadas em uma posição de confiança, com acesso a dados sensíveis e sistemas. Você não pode apenas confiar na sua boa vontade, diz Declan Grogan em Designers de Segurança. Temporário, funcionários negligentes ou desonestos pode causar problemas reais.

Conspiração ou complacência?Deve ser reconhecido que, para permitir às pessoas fazer o seu trabalho de forma eficiente, temos de colocá-los em uma posição de confiança, com acesso a dados sensíveis e sistemas. Dadas as evidências, entretanto, não é mais adequado basear-se unicamente na boa vontade e fé. Há um número de áreas que oferecem riscos potenciais.

Agentes temporáriosEm momentos de pico de carga, pessoal temporário, muitas vezes chegar ao local no primeiro dia, direto da agência de abastecimento, sem entrevista ou outro processo de seleção. É claro que eles vêm com o Microsoft Word e Excel competências que lhe pediu especificamente, o que é demonstrável em minutos, mas que outras habilidades são também armado com? Tendo provavelmente trabalhava em uma grande variedade de ambientes que são, provavelmente, mais aptos a encontrar seu caminho no espaço sem proteção. Que privilégios que pedimos nossos administradores de rede para dar a essas pessoas quando, afinal, nós esperamos que eles façam o mesmo trabalho que um membro a tempo inteiro da equipe?

Rogue empregados e descuidadoO principal candidato óbvio nesta categoria é o empregado descontente, negligenciada para a promoção, provavelmente subavaliado, negou um lugar de estacionamento reservado carro, ou simplesmente saiu da cama do lado errado. Os próximos candidatos nesta categoria são sub-utilizados funcionários que se encontram com o tempo em suas mãos durante o dia de trabalho em que a experimentar e investigar. Por alguma razão, em um determinado momento, não são os melhores amigos da empresa. O empregado negligente é aquele que deixa a sua senha escrita em um pedaço de papel na gaveta de sua mesa, ou quem anda longe de uma terminal de deixá-lo ligado a uma fonte de dados valiosos. O empregado negligente não é necessariamente mal intencionados e na maioria dos casos não está consciente do potencial impacto de suas ações, porque ninguém deixou claro para eles.

Independentemente da natureza da violação interno, o custo da reparação dos danos causados é potencialmente muito elevado - supondo que você está mesmo ciente que a violação tenha ocorrido. Fazê-lo parar de informações confidenciais da empresa a desaparecer para a Internet com o toque de um botão? Ou interromper a aplicação piada que é enviado a você por um amigo de download de informações através de um Trojan para um hacker na internet? Proteção contra vírus, certamente deve ser uma prioridade aqui, em ambas as estações de trabalho e os servidores de e-mail. Consideração cuidadosa deve ser dada quanto a quem deve ser capaz de enviar anexos de e-mail, e também para a implementação de scanners que o índice mail de verificação para impedir que as pessoas o envio de material confidencial não autorizadas. Outra ameaça associados com e-mail, e um que levou a bem casos documentados de processos muito caro, é que do conteúdo dos emails e comentários difamatórios a ser emitidos via e-mail corporativo para o mundo exterior. A política da palavra 'se aplica aqui como em outros lugares.

Pobre política de redeOs modernos sistemas de PC são projetados para falar uns com os outros com muita facilidade, eo abandono escolar média tem muita familiaridade com eles. A capacidade de navegar na rede interna abre a possibilidade de ver os dados sobre todos os tipos de sistemas internos e computadores de outros usuários. É bastante concebível que em um ambiente de mal garantiu um usuário pode ter acesso à informação contida no PC de um gerente sênior. As cópias em papel das contas de gestão de uma empresa são guardados a sete chaves, mas muitas vezes é fácil aceder a este informações em servidores mal protegidos ou computadores. Isto é agravado pelo facto de todos os tipos de ferramentas podem ser baixados junto com backdoors documentado em desktops e sistemas operacionais de servidor. Mais uma vez, junto com a política de gestão adequada do tráfego e auditoria percorrer um longo caminho para proteger dados sensíveis.

Política não se aplica a mim!Ter uma política está tudo muito bem, mas deve ser executada. Muitas vezes, as ameaças podem surgir de usuários que se sentem sobrecarregados com a política e os que não reconhecem as razões por trás disso. Um exemplo comum desta situação pode estar a navegar na Internet. Usuários que querem acesso irrestrito pode ser tentado a utilizar um modem para acesso direto à Internet, assim, contornar as medidas de segurança, como firewalls (que são uma necessidade absoluta para a defesa externa). Hackers podem vir abaixo desta linha de modem usando uma técnica conhecida como "polevaulting ', e ganha todos os privilégios associados com o dispositivo que tem o modem ligado a ele. Também deve ir sem dizer que os números do modem deve estar bem protegidos e não distribuídas. A política só é útil quando bem compreendida por todos e quando aplicada com rigor. Para fazer isso os gestores devem ser capazes de ver qualquer contravenções facilmente e ser capaz de prova-los para que medidas adequadas possam ser tomadas.

O crime inocente?Um dos desafios com a segurança do computador é a idéia de que é um crime sem vítimas. Se um hacker interno cópias de uma base de dados dos clientes, a empresa ainda tem o banco de dados e, portanto, não vejam isso como um crime. É, contudo, e as vítimas são todas as pessoas que sofrem como conseqüência os níveis de negócios deve cair fora, porque um concorrente tem suas informações de clientes. Muitas vezes as pessoas não percebem o impacto financeiro do tempo gasto para reconstruir os sistemas depois de um vandalismo tem destruído dados, ou a perda de serviço aos clientes. Tudo tem um impacto, e temos o dever de minimizar as oportunidades para esses tipos de incidentes. Investimos no ladrão e alarmes de carro. Em geral, compreender a segurança física, pois podemos ver e tocar, mas os dados são muitas vezes esquecido até que seja tarde demais. Tentar jogar fora seu computador e fazer o que você sente falta - a máquina ou as informações sobre ele? Não deixe as chaves do edifício, dados do escritório do diretor e do armário de arquivamento em um gancho na porta, e empresas devem ser tratados com o mesmo, se não mais, de sensibilidade.

Responsabilidades CâmaraHá agora uma série de exigências legais e regulamentares que detalha as responsabilidades do conselho de administração ou proprietário de uma empresa para garantir que as informações armazenadas em computadores, em particular informações pessoais, é protegido contra utilização abusiva ou acesso. Estes incluem: O Data Protection Act de 1998; The Human Rights Act de 1998; O E-commerce directiva; As Cláusulas contratuais abusivas lei de 1977, o regulamento dos Poderes de Investigação Act 2000; Electronic Communication Act 2000. O Relatório de Turnbull, emitido em 1999, fornece um quadro para ajudar a interpretar o "Combinado Código de Governança Corporativa ", que é anexada ao Regulamento de Listagem do UK Listing Authority. Companhias listadas na Bolsa de Londres tem de mostrar que têm avaliado os riscos para a organização e as políticas que estão no lugar para assegurar que, na medida do possível, o potencial de dano ou perda foi reduzida para níveis realistas. Embora dirigida a empresas cotadas na bolsa, as conclusões do Relatório de Turnbull são igualmente aplicáveis a, e faça sentido para o negócio, outras organizações.

O relatório afirma que "o Conselho de Administração é responsável pelo sistema da empresa de controlo interno. Deve definir políticas adequadas em matéria de controlo interno e buscar garantia regulares que lhe permitam assegurar que o sistema está a funcionar eficazmente. Deve assegurar que o sistema de controle interno é eficaz na gestão desses riscos da mesma forma que homologou '.1 dependência de TI para muitas empresas significa que as conseqüências financeiras de uma eventual perda de informações ou a violação da segurança deve ser considerada. Isso precisa ser revisto, não apenas em termos de informação em si, mas também para o custo da prevenção de falhas e ainda o impacto sobre a reputação da empresa, o valor da marca, desempenho e potencial futuro.

BS 7799 (ISO 17799)O British Standards Institute (BSI) publicou o padrão para um Sistema de Gestão da Segurança da Informação que oferece auditoria externa e certificação de uma norma reconhecida britânico, e muitas organizações estão olhando para isto como uma referência para boas práticas e como medida de pessoas com quem deseja negociar eletronicamente. Isso proporciona um excelente quadro para o estabelecimento de políticas e procedimentos que permitem às organizações para se proteger de ameaças à segurança, tanto internos como externos, mas também fornece uma forma estruturada e medida comum para todas as organizações. Embora formal de aceitação através da certificação auditada externamente percurso tem sido lento, o ritmo está acelerado com o Governo do Reino Unido que obrigam o cumprimento entre os departamentos e as propostas do governo agora fazer declarações sobre licitantes preferiu ser complacente. Quando tomada em conjunto com os aspectos legais da segurança da informação, o Relatório de Turnbull e o nervosismo crescente do mercado de seguros, BS 7799 e gestão da segurança da informação são, certamente vai entrar na agenda de reuniões nos próximos meses.

Uma última palavra sobre segurançaOs sistemas de gestão deve ser colocado no lugar e uma série de controlos e métodos de comunicação estabelecido. No mínimo, uma política de segurança clara e inequívoca, deve ser postas em prática e os funcionários devem ser treinados a entender sua relevância e suas exigências. Alguns dos danos surge de pessoas não reconhecer o valor dos dados, como apontado na pesquisa DTI de 2002, que estima um custo para o Reino Unido de negócios de cerca de £ 18 bilhões por ano. Em geral, o comportamento é a única maneira em que nós pode detectar potenciais ladrões ou vândalos dados antes de ocorrer o evento. Esta é baixo para uma boa gestão e sensível, e uma consciência das capacidades do pessoal, questões de vida e padrões de trabalho é essencial. Qualquer alteração desses poderia ser um gatilho para um evento como esse. Acompanhamento do comportamento geral das pessoas e observar evolução dos padrões de trabalho também é uma boa maneira de estabelecer as potenciais deficiências. Quem está no escritório quando ninguém mais é - no início da manhã ou à noite? É trabalho de consciência em seu nome ou o deles? Não devemos, contudo, ser paranóico sobre as pessoas numa base pessoal. A maioria das pessoas devem compreender que a sua organização tem uma política de segurança e que é aplicada. Da mesma forma, é inútil para definir uma política se você não tem intenção de aplicá-la, e é injusto para os gestores a esperá-los para implementar um sem lhes dar as ferramentas para o trabalho. Quando se entende que a política está em vigor e que as ferramentas estão lá para proteger os sistemas e gestores dão qualquer forenses podem precisar, mas tudo o mais determinado ladrão de dados / vandalismo serão adiadas.

Não há tal coisa como o sistema perfeito. Não existe um banco que não pode ser roubado, apenas aqueles que são tão fortemente protegidos que os alvos mais fáceis são escolhidas em seu lugar. Segurança não é fornecido por um dispositivo, mas por uma série de dispositivos, sistemas e procedimentos de gestão, construiu-se em camadas como a pele de uma cebola. As camadas exteriores podem ficar danificados, mas o núcleo interno é preservado. Há lições a serem aprendidas com a empresa de recuperação de desastres, onde as empresas tiveram grandes incêndios que destruíram seus ativos essenciais. Porque suas informações corporativas era seguro e eles tinham sistemas no lugar que eles foram capazes de continuar, ao contrário daqueles que não fizeram e pereceram. Capitalizando em mais de 20 anos de experiência em desenvolvimento de alguns dos protocolos de comunicação no centro de cada plataforma Microsoft Windows comunicações, segurança Designers Ltd é uma propriedade privada, independente do Reino Unido companhia baseada em software. Emanadas de especialistas de conectividade de rede Estilistas, Segurança foi criada em 2000 para vender e comercializar o premiado Activo Líquido Steward Security Information Management System (SIM) e agora tem uma crescente base de governo do Reino Unido, o NHS, educação e organizações do sector comercial, e está estabelecendo rapidamente uma reputação como um fornecedor líder em campo. Para mais informações contactar: Segurança Designers Ltd, 5 Wharfe Mews, Cliffe Terrace, Wetherby, Leeds, West Yorkshire LS22 6LX. Tel: +44 (0) 1937 584 584, Fax: +44 (0) 1937 587 367; Email: info@SecurityDesigners.com; Website: www.SecurityDesigners.com

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Reconhecendo o inimigo interno" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---