Information Security Management System

L'attente: l'équation de l'expérienceQuoi que nous fassions, nous ne pouvons pas prétendre avoir «e-confiance" et "e-confiance" sauf si nous avons véritablement got it. N'oubliez pas que beaucoup de soi-disant «pirates» de perpétrer des attentats juste pour pouvoir dire qu'ils ont obtenu à travers les défenses d'une organisation spécifique. Vous mai prétendre être sûr -, ils mai ainsi vous essayer! Pour avoir une sécurité de l'information (Assurance) Management System (ISMS ou IAMS) en place et fonctionne correctement elle pourra vous fournir l'assurance que vous avez besoin de faire une telle demande dans le la première place. Mais ce n'est pas la raison d'avoir un tel système - vous en avez besoin afin de mener des affaires par voie électronique, si vous allez public au sujet de l'avoir ou pas. Donc, la réponse à la question "Avons-nous connaître notre sécurité, ou devons-nous tenir tranquille à ce sujet «les questions non, vous en ont besoin pour exercer leurs activités, même si vous avez l'intention seulement de dire à vos partenaires (clients, fournisseurs et le personnel inclus).

Mais ce qui peut arriver?Virus, vers, chevaux de Troie, attaques délibérées (des pirates extérieurs, les pirates informatiques internes, Leaver récente pirates, hactivists), attaques de hasard dans les mêmes communautés et des erreurs (comme tout ce qui précède peut être «location» par erreur) et, en outre, une simple erreur humaine peut, dans un système mal protégé, faire des ravages. Le coût en termes de dommages économiques à partir des sources ci-dessus pour juste les 9 premiers mois de l'année 2002 est estimé à entre 32 -39 milliards dolaires pour des attaques ouvertes numérique uniquement - non y compris les erreurs. Et juste au cas où vous vous dites: «D'accord, mais je suis / nous ne sommes pas susceptibles d'être objectifs» (qui ignore totalement la nature aléatoire de virus, etc et la possibilité d'attaques internes), nous regardons quelques exemples réels.

1. L ' «erreur» (ou «je ne veux pas détruire votre

moyens de subsistance »)Récemment, un 'hactivist' (quelqu'un qui croit que le piratage est leur «éthique» parce qu'ils rompent seulement dans les sites et les systèmes qui appartiennent ou sont gérés par des organisations qu'ils ne sont pas d'accord avec) a détruit une société qui était totalement innocent, même des soi-disant «crime» que le hactivist était tellement travaillé en place au sujet de. Malheureusement pour l'entreprise de son fondateur avait choisi un nom qui a été similaire au nom d'une entreprise qui est liée à l'utilisation des animaux pour leur fourrure - et non le même nom, pas le nom de la cible, et l'entreprise n'avait certainement rien à voir avec la pratique tant haï par le hactivist. La société a été totalement innocents - et il est maintenant totalement hors de l'entreprise. Un «cas simple erreur d'identité», c'est ainsi qu'il a été présenté, mais le résultat a été catastrophique pour les propriétaires et tous les travailleurs, tout simplement parce que quelqu'un qui était si pleine de leurs propres «droits» a fait une recherche électronique pour toute entreprise qui avait un nom semblable et l'ont attaqué sans aucune autre vérification.

2. Le «jeu» ( «Je voulais prouver que je pouvais" prendre

quelqu'un " ')Même plus récemment, une e'Internet Service Provider (ISP) - pas exactement une organisation sans «-nous techniques - ont souffert de déni distribué un total 'de service' attaque. Cela signifie qu'aucun de leurs clients pourraient utiliser leurs services pendant plus d'une semaine - ils sont sortis d'entreprise comme une conséquence directe.

3. L ' «idiot» (ou quelqu'un qui pense qu'ils sont "au-dessus

tout cela »)Une grande société informatique a eu une attaque de virus très coûteux et, malgré le fait qu'il est fier d'aider les nombreux domaines de la «UK plc 'pour résoudre les défis de la technologie. Comment pourrait obtenir quoi que ce soit passé ses systèmes de protection sophistiqué? Simple: le PDG ne croit pas que les règles qui leur sont appliquées, et introduit dans un disque créé sur PC à la maison de leur fils - complet avec un virus très désagréable. En raison d'une erreur au début du virus était «l'intérieur» leur pare-feu - et a fait du foin! Le coût est bien supérieur à £ 10.000.000, juste pour leurs systèmes internes.

4. La «bonne idée» (ou «Let's do this avec" e "» - sans

la pensée)Une entreprise de publicité sur internet offerts gratuitement aux clients d'un autre service. Quelqu 'hacked in' et a changé les prix indiqués. Mis à part le cauchemar de tri it all out, la réputation de l'entreprise a été fortement ébranlée lorsque l'objet de l'exercice était tout le contraire!

5. Les «employés mécontents» (soit comme une cause ou en tant que

victime)Considérons deux scénarios. Le premier concernait une personne qui a vu une scène pornographique sur l'écran du PC d'un autre employé. Ils ont poursuivi la compagnie, et gagné des dommages considérables - près en six chiffres - pour le harcèlement sexuel. La deuxième comportait une personne qui était, à juste titre, ont tiré de leur emploi. Leur employeur a été excellente en fournissant de nouveaux employés avec des mots de passe, etc - mais pas bons du tout à les enlever quand les gens de gauche, même dans de mauvaises circonstances. L'ex-employé a décidé de «se venger» et connecté au système de l'entreprise en utilisant leur ancien mot de passe, et modifié de nombreux articles détaillés dans des domaines tels que les dossiers du personnel, la paie et l'établissement des coûts et la tarification. Le problème était que personne ne savait exactement où cette personne avait consulté, et le coût de redresser la 'vandalism'was mesuré en années-homme. Les effets de marketing? Les coûts étaient considérables, non seulement avec leurs clients existants et prospects, mais aussi dans le marché du travail où la société a acquis une réputation RH pauvres.

SommaireC'est le travail de marketing pour contrôler la communication sur la sécurité des informations, à l'intérieur qu'à l'extérieur de l'organisation. Approche d'une société de sécurité affecte directement son positionnement marketing et de la différenciation de l'organisation. D'échec de sécurité peut détruire la réputation d'une entreprise - ou même l'entreprise elle-même. Sécurité de l'information n'est pas un coût, il est un investissement marketing. Tout le monde est une cible potentielle, et on ne peut se permettre d'ignorer cette question. E-business et e-gouvernement demande l'échange électronique de plus en plus des informations importantes. Marketing devraient identifier et promouvoir les avantages internes et externes d'avoir la sécurité des informations appropriées. Il devrait travailler avec elle pour parvenir à un statut perçu «de confiance», et prendre la responsabilité de créer détaillés de positionnement et des messages de différenciation. La commercialisation devrait créer deux plans de communications: l'une interne, l'autre externe. Enfin, le marché doit s'assurer que toutes les communications sont écrites dans un langage adapté pour chaque public cible - interne et externe - sinon les messages ne seront pas compris. Dip.M. Michael Harrison, FOIM est président de Harrison Smith Associates Limited et président du Royaume-Uni, de la «Protection des infrastructures d'information critiques Initiative". Pour de plus amples renseignements: Michael R Harrison, président, Harrison Smith Associates Ltd, troisième étage, Diamond House, 36-38 Hatton Garden, London EC1N 8EB. Tel: +44 (0) 20 7404 5444; Fax: +44 (0) 20 7404 8222; Site web: www.hsaltd.co.uk

Éradiquons les bugsTony Neate a dépensé un total de 27 ans comme un détective, 13 ans de ce travail dans la fraude commerciale et huit ans dans la criminalité informatique, donc il sait tout sur la criminalité - la cybercriminalité et d'autres formes. Il est l'Industry Liaison Officer au NHTCU et le fait qu'il possède une vaste expérience montre par exemple l'importance que les lieux unité sur sa relation avec les entreprises. La NHTCU, qui est devenu opérationnel en Octobre 2001, a une approche multi-agences pour résoudre des problèmes soulevées par l'utilisation des ordinateurs et l'Internet pour des activités criminelles de différents types. L'unité, basée dans les Docklands, l'Est de Londres, est dirigé par le surintendant-détective en chef Hynds Len, un détective de carrière de la National Crime Squad. L'unité comprend des représentants de la National Crime Squad, The National Crime Intelligence Service (NCIS), HM Customs & Excise et les militaires. Il a également des liens solides avec les Computer Crime Units (CCU) de toutes les forces de police dans tout le Royaume-Uni et avec d'autres organismes de répression à travers le pays. NHTCU mène des opérations aux niveaux national et international. Elle est responsable de la réalisation d'évaluations stratégiques et de développement de l'intelligence, en soutenant l'application des lois locales des conseils et de coordination, le développement de meilleur conseil pour l'application des lois et des pratiques commerciales sur la prévention de la criminalité informatique. Elle assure également la liaison étroite avec l'industrie des TI, y compris les fournisseurs de services Internet (FSI), les sociétés de télécommunications et les maisons de logiciels.

Les entreprises doivent également regarder à l'intérieur, à des menaces internes auprès des employés. «Il est important que les employés soient informés des politiques de l'entreprise et des procédures et que les contrats de travail clairement de quoi il s'agit. Les entreprises ont besoin pour mettre protocoles de sécurité et les interventions d'urgence en place. Les employeurs doivent aussi tenir à jour avec les nouveaux et l'évolution des lois et règlements dans ce domaine, afin qu'ils soient conscients de leurs responsabilités. "Bien sûr, des problèmes de cybercriminalité et comment elle affecte d'affaires est que bien souvent, en raison de sensibilités commerciales, les entreprises ne veulent pas la parole de sortir qu'ils ont été touchés. La NHTCU est sensible à ces préoccupations et a mis en place un système de signalement confidentiel et est disposé à conclure un accord de non-divulgation. «Nous voulons construire la confiance, mais que la confiance prendra du temps. Nous sommes pleinement conscients que si nous brisons la confiance alors que l'industrie perdra toute confiance en nous. C'est pour cette raison que Tony n'a pas pu fournir les bonnes nouvelles sur la façon dont l'unité avait travaillé avec l'industrie dans cette voie, mais n'a pas dit que le fait qu'il ne pouvait pas en elle-même de bonnes nouvelles. Ce qu'il pouvait dire, c'est qu'ils travaillent en étroite collaboration avec tous les secteurs de l'industrie - fabrication, des services, des finances et des transports - et que dans ces secteurs, le NHTCU ont aidé un certain nombre d'entreprises. Pour en savoir plus sur le Salut National-Tech Crime Unit Voir www.nhtcu.org ou contacter Tony Neate, de l'industrie Agent de liaison à admin@nhtcu.org.

un article présenté par Frank C.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «Information Security Management System" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.