Information Security Management System

A expectativa: equação de experiênciaTudo o que fazemos, não podemos afirmar que "e-confiança" e "e-confiança" a menos que tenhamos realmente conseguiu. Lembre-se que muitos dos chamados "hackers" realizar ataques só para poder dizer que eles têm com as defesas de uma organização específica. Você pode pedir para ser seguro - eles podem também tentar para fora! Para se ter uma Segurança da Informação (Assurance) Management System (ISMS ou IAMS) no lugar e funcionando corretamente irá fornecer-lhe a certeza de que você precisa para fazer tal afirmação no primeiro lugar. Mas não é esse o motivo para ter esse sistema - você precisa para realizar negócios eletronicamente, se você ir a público sobre ter ou não. Portanto, a resposta à pergunta 'vamos divulgar a nossa segurança, ou vamos manter a calma sobre ele 'não importa, você precisa para realizar negócios, mesmo se você pretende apenas contar seus stakeholders (clientes, fornecedores e funcionários incluídos).

Mas o que pode acontecer?Os vírus, worms, trojans, ataques deliberados (hackers externos, os hackers internos, leaver recente hackers, hactivists), ataques aleatórios das mesmas comunidades e os erros (como todos os acima podem ser 'let em' por engano) e, além disso, simples erro humano pode, em um sistema protegido mal, causar estragos. O custo em termos de danos econômicos a partir das fontes acima apenas para os primeiros 9 meses de 2002 é estimado entre E.U. $ 32 -39 bilhões para ostensivas ataques digitais só - não incluindo os erros. E só no caso que você está dizendo para si mesmo: 'Ok, mas eu sou / nós não são susceptíveis de ser alvos "(que ignora totalmente o carácter aleatório de vírus, etc, e as possibilidades de ataques internos), vejamos alguns exemplos reais.

1. O "erro" (ou "Eu não quis destruir a sua

subsistência ")Recentemente, um 'hactivist "(alguém que acredita que a sua pirataria é" ético "porque só invadir sites e sistemas que sejam detidos ou geridos por organizações que não concordar com) destruiu uma empresa que estava totalmente inocente, até do chamado 'crime' que o hactivist era assim trabalhou-se aproximadamente. Infelizmente para a empresa de seu fundador original havia escolhido um nome que foi semelhante ao nome de um negócio que estava conectado com o uso de animais para a sua pele - e não o mesmo nome, não o nome do alvo, e as empresas, certamente não tinha nada a ver com a prática tão odiado pelo hactivist. A empresa era totalmente inocente - e agora está totalmente fora do negócio. A 'simples caso de confusão de identidade "foi como foi retratado, mas o resultado final foi catastrófico para os proprietários e todos os trabalhadores, simplesmente porque alguém que estava tão cheio de seus próprios "direitos" fez uma busca eletrônica para qualquer empresa que tinha um nome parecido e atacou-os sem qualquer verificação adicional.

2. O 'jogo' ( 'Eu queria provar que podia "tomar

alguém lá fora " ')Ainda mais recentemente, um e'Internet Service Provider (ISP) - não exatamente uma organização sem 'técnico-nous - sofreram ataques distribuídos um total' de serviço 'ataque. Isto significava que nenhum de seus clientes podem utilizar os seus serviços para mais de uma semana - que saiu do negócio como um resultado direto.

3. O "idiota" (ou alguém que pensa que eles estão "acima

tudo isso ')Uma grande empresa de TI teve um ataque de vírus muito caro; apesar do fato de que se orgulha de apoiar muitas áreas de 'UK plc "para resolver os desafios da tecnologia. Como poderia ter passado nada de seus sistemas de proteção sofisticados? Simples: o presidente não acredita que as regras aplicadas a eles, e trouxe um disco criado no computador do seu filho em casa - com um vírus altamente desagradável. Devido a um erro antes que o vírus foi "dentro" de seu firewall - e fez hay! O custo era bem mais de £ 10.000.000, apenas para os seus sistemas internos.

4. A "boa ideia" (ou "vamos fazer isso usando" e " '- sem

pensamento)A empresa ofereceu publicidade na internet grátis para os clientes de um outro serviço. Alguém invadiu e alterou os preços apresentados. Além do pesadelo de classificar tudo isso, a reputação da empresa foi abalado quando o objeto do exercício foi o contrário!

5. O 'funcionário infeliz "(seja como causa ou como uma

vítima)Considere dois cenários. O primeiro envolveu uma pessoa que viu uma cena pornográfica em um outro empregado da tela do PC. Eles processaram a empresa, e ganhou danos consideráveis - em quase seis números - por assédio sexual. A segunda causa de alguém que foi, apropriadamente, demitido de seu trabalho. Empregador foi excelente na prestação de novos empregados com senhas, etc - mas não em todos os bons em retirá-los, quando as pessoas deixaram, mesmo em circunstâncias más. O ex-empregado decidiu "vingar" e registrado no sistema da empresa usando sua senha antiga, e alterou muitos itens detalhados em áreas tais como registros de pessoal, folha de pagamento e de custos e preços. O problema era que ninguém sabia exatamente onde o pessoa teve acesso, eo custo de corrigir o "vandalism'was medido em anos-homem. Os efeitos de marketing? Os custos foram consideráveis, não apenas com os seus clientes actuais e perspectivas, mas também no mercado de trabalho onde a empresa ganhou uma reputação de RH pobres.

ResumoÉ trabalho de marketing para controlar a comunicação sobre a segurança da informação, dentro e fora da organização. Uma abordagem da empresa para a segurança irá afectar directamente o seu posicionamento no mercado e diferenciação organizacional. Segurança não pode destruir a reputação de uma empresa - ou até mesmo a própria empresa. A segurança da informação não é um custo, é um investimento em marketing. Todo mundo é um alvo em potencial e não se pode dar ao luxo de ignorar o assunto. E-business e e exigir do governo a troca eletrônica de informações cada vez mais importante. Marketing deve identificar e promover as vantagens internas e externas de ter segurança de informação adequada. Deve trabalhar com ele, para atingir um estado percebido 'de confiança', e assumir a responsabilidade pela criação de posicionamento detalhado e mensagens de diferenciação. Marketing deve criar dois planos de comunicação: um interno, um externo. Finalmente, o mercado deve assegurar que todas as comunicações são escritos em linguagem apropriada para cada público-alvo - interna e externa - caso contrário, a mensagem não será compreendida. Dip.M. Michael Harrison, FCIM é presidente de Harrison Smith Associates Limited e presidente, Reino Unido, da "Protecção da Informação Infra-estruturas Críticas iniciativa». Para mais informações contactar: Michael R Harrison, presidente, Harrison Smith Associates Ltd, Third Floor, Diamond House, 36-38 Hatton Garden, Londres EC1N 8EB. Tel: +44 (0) 20 7404 5444, Fax: +44 (0) 20 7404 8222; Website: www.hsaltd.co.uk

Carimbar os bugsTony Neate gastou um total de 27 anos como um detetive de 13 anos deste trabalho em fraudes comerciais e oito anos de criminalidade informática, então ele sabe tudo sobre o crime - e outras formas de cibercrime. Ele é o Industry Liaison Officer no NHTCU eo fato de que ele tem uma vasta experiência como demonstra a importância que os locais unidade em sua relação com as empresas. O NHTCU, que tornou-se operacional em Outubro de 2001, tem uma abordagem multi-agência, a resolução de problemas levantadas pela utilização de computadores e da Internet para atividades criminosas de vários tipos. A unidade, sediada em Docklands, Londres do leste, é chefiada pelo detetive superintendente-chefe Len Hynds, um detetive de carreira do National Crime Squad. O aparelho é composto por representantes do National Crime Squad, The National Crime Intelligence Service (NCIS), as Alfândegas e Impostos Especiais de Consumo e as Forças Armadas. Ela também tem fortes ligações com a Computer Crime (Unidades CCUs) em todas as forças policiais em todo o Reino Unido e com outros órgãos policiais de todo o país. O NHTCU realiza operações em nível nacional e internacional. Ele tem a responsabilidade de fazer avaliações estratégicas e desenvolvimento de inteligência, a aplicação da lei local com o apoio de aconselhamento e coordenação, o desenvolvimento de melhores conselhos para a aplicação da lei e as práticas empresariais em matéria de prevenção da criminalidade informática. Ele também tem ligações com a indústria de TI, incluindo o Internet Service Providers (ISPs), empresas de telecomunicações e de software.

As empresas também precisam olhar para dentro, para ameaças internas dos funcionários. "É importante que os trabalhadores estão cientes das políticas da empresa e os procedimentos e que os contratos de trabalho indicam claramente que estes são. As empresas precisam colocar protocolos de segurança e respostas de emergência no local. Os empregadores também devem manter-se com o novo e mudar as leis e regulamentos neste domínio, de modo que eles estão conscientes das suas responsabilidades. "Naturalmente um dos problemas com a criminalidade e como ela afeta o negócio é que, muitas vezes, devido à sensibilidade comercial, as empresas não querem ficar fora do Word que tenham sido atingidas. O NHTCU é simpático a estas preocupações e pôs em prática um sistema de informação confidencial e está preparado para entrar em um acordo de não divulgação. "Queremos construir confiança, mas que a confiança levará tempo. Estamos plenamente conscientes de que, se quebrar essa confiança da indústria, então vai perder toda a confiança em nós." É por esta razão que Tony não poderia fornecer qualquer boa notícia sobre a histórias como a unidade tinha trabalhado com a indústria, desta forma, mas disse que o fato de que ele não poderia, em si, uma boa notícia. O que ele podia dizer era que eles estavam trabalhando em estreita colaboração com todos os setores da indústria - indústria, serviços, finanças e transportes - e que, dentro dos sectores da NHTCU ter ajudado um número de negócios. Para saber mais sobre a National Hi-Tech Crime Unit ver www.nhtcu.org ou entre em contato Tony Neate, Indústria Liaison Officer na admin@nhtcu.org.

um artigo submetido por Frank C.

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Information Security Management System" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.