Information Security Management System

L'aspettativa: equazione di esperienzaQualunque cosa facciamo, non possiamo pretendere di avere 'e la fiducia' e 'posta la fiducia' a meno che non abbiamo veramente capito. Ricordo che molti dei cosiddetti 'hacker' effettuare attacchi solo per essere in grado di dire che hanno preso le difese uno specifico dell'organizzazione. È possibile chiedere di essere al sicuro - possono provare anche a fare fuori! Per avere un Information Security (Assurance) Management System (ISMS o IAMS), in atto e funzionino correttamente vi fornirà la certezza che si richiede di fare una simile affermazione nel primo posto. Ma non è questo il motivo di un tale sistema - ne avete bisogno, al fine di condurre affari per via elettronica, se si va pubblico di avere o no. Quindi la risposta alla domanda 'possiamo pubblicizzare la nostra sicurezza, o dobbiamo tacere a questo proposito 'le questioni che non, ne avete bisogno per svolgere attività, anche se solo l'intenzione di raccontare i vostri stakeholder (clienti, fornitori e del personale incluso).

Ma che cosa può succedere?Virus, worm, trojan, attacchi deliberati (hacker esterni, hacker interno, Diplomate recente-hacker, hactivists), attacchi casuali da parte delle comunità stesse e gli errori (come tutto quanto sopra esposto si può 'entrare' per errore) e, inoltre, semplice errore umano può, in un sistema poco protetto, devastare. Il costo in termini di danni economici dalle fonti di cui sopra solo per i primi 9 mesi del 2002 è stimato tra i US $ 32 -39 miliardi di euro per palesi attacchi solo digitale - non compresi gli errori. E proprio nel caso in cui si sta dicendo a te stesso, 'Okay, ma io sono / non ci possono essere obiettivi' (che ignora totalmente la natura casuale di virus etc e la possibilità di attacchi interni), vediamo alcuni esempi reali.

1. Il 'errore' (o 'non ho intenzione di distruggere la vostra

sussistenza ')Recentemente un 'Hactivist' (qualcuno che crede che la loro hacking è 'etica', perché si rompe in siti e sistemi che sono di proprietà o gestite da organizzazioni che non sono d'accordo con) ha distrutto una società che è stata del tutto innocenti, anche della i cosiddetti 'reati' che il Hactivist era così lavorato-up su. Sfortunatamente per la società il suo fondatore aveva scelto un nome che è simile al nome di un business che è stato collegato con l'uso di animali per la loro pelliccia - non la lo stesso nome, non il nome di destinazione, e il business di certo non aveva nulla a che fare con la pratica tanto odiato dai Hactivist. La società è stata del tutto innocenti - e ora è totalmente fuori mercato. A 'semplice caso di identità sbagliata' stato come è stato descritto, ma il risultato finale è stato catastrofico per i proprietari e tutti i lavoratori, semplicemente perché qualcuno che è stato così pieno dei propri 'diritti' fatto una ricerca elettronica per qualsiasi società che aveva un nome simile e li attaccò senza alcun ulteriore controllo.

2. Il 'gioco' ( 'Io volevo dimostrare che potevo "prendere

qualcuno " ')Ancora più di recente uno E'Internet Service Provider (ISP) - non esattamente una organizzazione senza '-nous tecnico - ha sofferto distributed denial un totale' di servizio 'attacco. Ciò significava che nessuno dei loro clienti potrebbero utilizzare i loro servizi per più di una settimana - che hanno cessato l'attività, come risultato diretto.

3. Il 'idiota' (o qualcuno che pensa che sono 'di cui sopra

tutto questo ')Una grande azienda IT ha avuto un attacco di virus molto costosa; nonostante il fatto che si vanta di aiutare molte aree del 'UK plc' per risolvere le sfide della tecnologia. Come si potrebbe ottenere qualcosa di passato, i suoi sistemi di protezione sofisticati? Semplice: l'amministratore delegato non crede che le regole applicate a loro, e portato in un disco creato sul PC del loro figlio a casa - completa di un virus estremamente spiacevoli. A causa di un errore precedente il virus è stato 'dentro' il firewall - e di fatto il fieno! Il costo è stato ben più di £ 10.000.000, solo per i loro sistemi interni.

4. La 'buona idea' (o 'Let's Do This usando "e"' - senza

pensiero)Una società ha offerto la pubblicità internet gratuita per i clienti di un altro servizio. Qualcuno 'hacked in' e cambiato i prezzi indicati. A parte l'incubo di smistamento tutto fuori, la reputazione della società è stata fortemente scossa quando l'oggetto di questa operazione è stata l'esatto contrario!

5. Il 'lavoratore infelice' (sia come causa o come

vittima)Prendere in considerazione due scenari. Il primo riguarda una persona che ha visto una scena pornografica sullo schermo di un altro dipendente PC. Hanno citato in giudizio la società, e ha vinto danni considerevoli - quasi in sei cifre - per molestie sessuali. La seconda persona coinvolta che era, giustamente, licenziato dal loro lavoro. Loro datore di lavoro è stato eccellente nel fornire nuovi dipendenti con password, ecc - ma non a tutti bravi a rimuoverle quando la gente di sinistra, anche in circostanze male. L'ex dipendente ha deciso di 'ottenere anche' e l'accesso al sistema aziendale tramite la loro vecchia password, e modificato molti elementi dettagliati in settori quali il personale record, sui salari, e calcolo dei costi e dei prezzi. Il problema era che nessuno sapeva esattamente dove tale persona che aveva accesso, e il costo di raddrizzare la 'vandalism'was misurato in anni-uomo. Gli effetti di marketing? I costi sono stati notevoli, non solo con i loro clienti attuali e le prospettive, ma anche nel mercato del lavoro in cui la società ha guadagnato una reputazione poveri HR.

SintesiE 'compito della commercializzazione di controllo della comunicazione circa la sicurezza delle informazioni, dentro e fuori l'organizzazione. Un approccio aziendale alla sicurezza influirà direttamente il proprio posizionamento di marketing e di differenziazione organizzativa. Fallimento di sicurezza in grado di distruggere la reputazione di una società - o anche la società stessa. La sicurezza delle informazioni non è un costo, è un investimento di marketing. Ognuno è un potenziale bersaglio e non può permettersi di ignorare questo argomento. E-business ed e-demand governo lo scambio elettronico di informazioni sempre più importante. Marketing deve individuare e promuovere i vantaggi interni ed esterni di avere la sicurezza delle informazioni del caso. Dovrebbe funzionare con esso per ottenere una percezione dello status 'di fiducia', e di assumersi la responsabilità per la creazione di posizionamento dettagliate e messaggi di differenziazione. Marketing dovrebbero creare due piani di comunicazione: uno interno, uno esterno. Infine, il marketing deve garantire che tutte le comunicazioni sono scritti in un linguaggio adatto ad ogni target di riferimento - interni ed esterni - altrimenti il messaggio non sarà capito. Michael Harrison Dip.M., FCIM è presidente di Harrison Smith Associates Limited e presidente, Regno Unito, della 'Protezione Critical Information Infrastructures Initiative'. Per ulteriori informazioni contattare: Michael R Harrison, presidente, Harrison Smith Associates Ltd, terzo piano, Diamond House, 36-38 Hatton Garden, London EC1N 8EB. Tel: +44 (0) 20 7404 5444, Fax: +44 (0) 20 7404 8222; Sito web: www.hsaltd.co.uk

Stamping out il bugTony Neate ha speso un totale di 27 anni come un detective, 13 anni di questo lavoro in frode in commercio e gli otto anni di criminalità informatica, per cui sa tutto di criminalità - e di altre forme di criminalità informatica. Egli è l'industria Liaison Officer al NHTCU e il fatto che egli dispone di tale esperienza dimostra quanta importanza i luoghi unità sul suo rapporto con le imprese. La NHTCU, che è diventata operativa nel mese di ottobre 2001, ha un approccio multi-agenzia per affrontare i problemi sollevate con l'uso del computer e di Internet per attività criminali di vario tipo. L'unità, con sede a Docklands, East London, è diretta da Detective Chief Superintendent Hynds Len, un detective di carriera dal National Crime Squad. L'unità comprende rappresentanti della National Crime Squad, The National Crime Intelligence Service (NCIS), HM Customs & Excise e militare. Essa ha anche un forte legame con Computer Crime Unit (CCU) in tutte le forze di polizia in tutto il Regno Unito e con le altre forze dell'ordine in tutto il paese. La NHTCU effettua operazioni a livello nazionale e internazionale. Essa ha la responsabilità di fare valutazioni strategiche e di sviluppo di intelligence; sostenere forze dell'ordine locali con la consulenza e il coordinamento, lo sviluppo di migliori consigli per le forze dell'ordine e delle prassi commerciali in materia di prevenzione della criminalità informatica. Mantiene i collegamenti anche a stretto contatto con il settore IT, inclusi gli Internet Service Providers (ISPs), aziende di telecomunicazioni e software house.

Le aziende hanno anche bisogno di guardarsi dentro, minacce interne da parte dei dipendenti. "E 'importante che i dipendenti siano a conoscenza delle politiche aziendali e delle procedure e che i contratti di lavoro chiaramente che cosa si tratta. Le aziende hanno bisogno di mettere i protocolli di sicurezza e interventi di emergenza in atto. Datori di lavoro devono anche tenere il passo con le nuove e mutevoli disposizioni legislative e regolamentari in materia, in modo che siano consapevoli delle loro responsabilità. 'Ovviamente uno dei problemi con la criminalità informatica e di come essa influisce sulle imprese è che molto spesso, a causa di sensibilità commerciale, le imprese non vogliono uscire di parole che sono state colpite. La NHTCU è favorevole a tali preoccupazioni e ha messo in atto un sistema di segnalazione in forma riservata ed è disposta a stipulare un accordo di non divulgazione. 'Vogliamo costruire la fiducia, ma la fiducia che ci vorrà del tempo. Siamo pienamente consapevoli che, se noi spezziamo, che la fiducia allora settore perderà tutta la fiducia in noi'. E 'per questa ragione che Tony non ha potuto fornire alcuna buona notizie su come l'unità aveva lavorato con l'industria in questo modo, ma ha detto che il fatto che egli non poteva, in sé, una buona notizia. Che cosa poteva dire era che stavano lavorando a stretto contatto con tutti i settori dell'industria - manifatturiero, dei servizi, della finanza e dei trasporti - e che in tali settori l'NHTCU hanno contribuito a un certo numero di imprese. Per saperne di più circa la National Hi-Tech Crime Unit vedi www.nhtcu.org o contattare Tony Neate, Industry Liaison Officer di admin@nhtcu.org.

un articolo presentato da Frank C.

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "Information Security Management System" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.