• Artículo

Vigilancia de seguridad El desafío de administración de información de seguridad, parte 1

Jesper M. Johansson

Contenido

¿Puede obtener eliminar de la tecnología?
Lo realmente proteger
Dilema la Defender
Conflicto de principal
Mantener las luces desactivado
Cuando se descuidan información de seguridad
Responsabilidad en el nivel de gobierno
Aceptación inadecuado de riesgos
Un Blueprint
Ajustar hacia arriba

Durante un tiempo ahora, han se pensar el desafío más amplio de administración de información de seguridad (InfoSec) en una organización. Parece que el anterior aparece, ligeramente el inmediatamente recibirá de tecnología, u, en su lugar, cuanto más obtener tecnología fundamentalmente no es la solución a nuestros problemas. La tecnología, de por lo que muchas maneras, es el problema. De hecho, Management InfoSec es casi exclusivamente sobre impedir que los tipos de problemas que obtenemos en con la tecnología.

Originalmente creía sería interesante para escribir un libro en este tema, pero finalmente decidí que una serie de trabajos sería más apropiada. Y aquí es donde se live estos trabajos. Sobre el próximo año o lo, VOY a utilizar la columna Vigilancia de seguridad para visitar en ocasiones el tema de información de administración de seguridad. En esta primera entrega de la serie, observe los principios fundamentales de administración de InfoSec.

¿Puede obtener eliminar de la tecnología?

Tecnología, de buena y incorrecta, es inevitable hoy en día. Tecnología aumenta las posibilidades de las organizaciones a hacer más, más rápido y más eficaz. También permite que los criminales lo mismo. Y como tanto como muchos de nosotros en los campos de tecnología gustaría creer que tecnología existe para asignemos de tecnología, no. Tecnología existe para almacenar, procesar y transmitir datos, datos que se pueden activar en la información. Datos y la información que se derivan de él son nuestros recursos realmente útil.

¿No debería, como profesionales de seguridad, utilizamos nosotros mismos los profesionales de "seguridad de datos"? ¿Estamos no más precisa encargarse de protección de datos? En muchos aspectos, esto es cierto, pero datos están sólo una prima. Ciertamente tiene valor en sí mismo, pero es unir los datos y realmente crear información de ella proporciona el valor. Por lo tanto, trabajamos en un nivel de abstracción ligeramente mayor que los datos. Utilizaré el término "información" (excepto cuando realmente desea hablar acerca de materias primas) ya que es lo finalmente activar los datos.

Muchos profesionales de tecnología de trabajan en capas de abstracción debajo de los datos, los niveles de electron, bytes y bits. Nos gusta tecnología para asignemos de tecnología. Muy a menudo es por qué fuimos en el campo de tecnología en primer lugar. La tecnología es más cómoda para nosotros que, por ejemplo, las personas. Sin embargo, como profesionales de información de seguridad, esto es peligroso porque se debe tener un ámbito mucho más amplio de tecnología sólo. Si bien los profesionales de seguridad de información deben ser expertos en uno o varios dominios de tecnología, debe observamos el ecosistema todo de tecnología, información, personas y procesos, los cuatro pilares de seguridad de la información. Se debe, por necesidad, se centran en todos los cuatro pilares. La verdad es sin embargo, que muchas personas ignorar uno o más.

Hace varios años, Microsoft embarcó en una campaña de Trustworthy Computing, proclaiming que seguridad es personas, procesos y tecnología. Muchas eran skeptical, que indica que Microsoft ha intentando desplazar el enfoque de tecnologías de una seguridad insuficiente a factores no puede controlar. Que era un análisis desleal, sin embargo, considerando la seguridad de soluciones de Microsoft, especialmente en Windows XP SP2 y los sistemas operativos más recientes, es realmente bastante bueno. Windows Vista y Windows Server 2008 y especialmente 7 de Windows y Windows Server 2008 R2, son exemplary en la mayoría de los aspectos cuando lo que respecta a seguridad y se head y shoulders anteriormente cualquier solución de competencia.

Toma de otro, kinder, era que el cantinela personas, procesos y tecnología simplemente se indicando que los profesionales de TI InfoSec deben tener en cuenta personas y procesos, así.

Sin embargo, la triad personas de proceso de tecnología al tener en cuenta el propósito básico de todo lo que hacemos. El proceso es cómo en que las personas utilizar tecnología para convertir datos en información de modo que pueden tomar decisiones bien fundamentadas.

Lo realmente proteger

Entonces, ¿por qué es que indican que la información y los datos que se deriva, es nuestro recurso valioso sólo? Claramente, una compañía tecnológicamente más avanzada con procesos mejor es más capaz de lograr sus objetivos de uno sin. CREO que se puede tardar que, como un determinado. Pero desde una perspectiva de seguridad, los procesos y la tecnología son problemáticas. Tecnología, por definición, agrega complejidad y complejidad breeds inseguridad. Componentes de un sistema deben interactuar, y el número de interacciones exponencialmente está relacionado con el número de componentes. Cada una de esas interacciones crea nuevas formas para transmitir datos, nuevos mecanismos para procesar y nuevas ubicaciones de almacenamiento. Todos los elementos representan posibles áreas de punto débil, así como los puntos débiles que reducen nuestra capacidad para visualizar la tecnología y los problemas que puede suponer. El menos complejo una tecnología, la más fácil es comprender y proteger. De hecho, incapacidad para visualizar con facilidad y conocer el alcance de tecnologías de uso en una organización es una de las principales causas de problemas de seguridad de información. Como profesionales InfoSec, se considere reducir la cantidad de tecnología que utiliza, no se aumenta.

Los procesos son también complejos, nebulous y, en la mayoría de los casos, no confidencial en y de sí mismos. Un proceso puede proporcionar ventaja competitiva, pero un proceso no puede copiarse por sí. Es la información de documentar el proceso que se pueda copiar. Un proceso es efímero, desaparece. Sólo por su activación en datos puede uno copiarlo. Esto es similar a la música. Música existe sólo temporally como nos escuchar. Permitir que personas escuchar música una y otra vez, Thomas Edison inventado el phonograph (una pieza ingeniosas de tecnología que permite nos para registrar el proceso de creación música como datos para que las personas puede escuchar a él y otra vez).

Ahora, más de cien años más tarde, las personas de morals elastic y virtue cuestionable robar la representación de datos que avance el proceso de reproducción de música. El sector de música, en un intento con error en thwarting esta tendencia, convierte a tecnologías de seguridad que obstruyan el proceso de volver a crear música. El resultado es principalmente para que sea más difícil para sus clientes legítimos disfrutar de su música. Esta tecnología, conocida como administración de derechos digitales (DRM), es prácticamente inútil en combatir el robo, aunque resulta mucho éxito a combatir satisfacción del cliente. Mira Esto rationally, se da cuenta que el problema es realmente acerca de cómo proteger información, no los procesos. En algunos casos, como en música, los datos esencialmente no podrán protegerse, necesitando sus a los propietarios simplemente Aceptar este hecho y mover.

Esto conduce a un número de observaciones interesantes. ¿Por ejemplo, sólo no ofusca el proceso? ¿No puede simplifican el proceso de creación valor de datos de un secreto? ¿No se puede crear un algoritmo secreta, como lo were? Bien, puede, pero lo no haría normalmente buena. Shannon Claude poner esto muy bluntly como "el enemigo conozca el sistema," un pronouncement comúnmente conocido como del Shannon Maxim.

¿Qué significa esto? El algoritmo de sí mismo normalmente no puede permanecer secreto. Se convierten en conocerá el proceso y el borde competitivo proviene de la dificultad de implementar el proceso. Información de seguridad una vez más, debe centrarse en proteger información como el activo valioso principal. Proteger los procesos sólo es interesante insofar ya que proporciona protección para la información.

Dilema la Defender

Esto me lleva a la "dilema de Defender". Su trabajo consiste en proteger todos los datos, incluidos donde se expone en todas las interacciones entre los componentes, bajo el supuesto de que los malos saben el sistema. Por otro lado, los malos, necesita buscar sólo una manera de poner en peligro el sistema. No necesitan copias de los datos. Una copia será suficiente, independientemente de cómo la reciben. Como una copia de un archivo MP3 es suficiente para fuel el ecosistema criminal todo, por lo que es una copia única de los datos suficiente para el adversario. Además, no robo con cualquier método un puede deshacerse. No hay ningún modificador de deshacer en el ciberespacio.

Por lo tanto, el defensor debe proteger todos los posibles puntos. Debe proporcionar suficiente protección de datos en reposo y en tránsito, en todos los dispositivos, independientemente de que pertenecen los dispositivos. La obtener más información lugares se almacena, procesa y transmitir, su trabajo más difícil se convierte en. Complejidad es el enemigo de seguridad.

Observe el uso del término posible. En muchos casos, como con la tecnología DRM, resulta imposible ofrecer protección por razones técnicas. En tales casos, los defensores deben encontrar la forma de live con un sistema "con pérdidas" o evitar todo el acceso a los datos. En general, datos que se distribuye a adversario información nunca se pueden proteger. Si se debe proteger datos, la única forma de hacerlo es nunca distribuirlo.

Conflicto de principal

Debido a nuestro aversion natural a complejidad, de la función InfoSec a menudo se percibe como un viaje de bloque. De nosotros en el campo InfoSec con frecuencia y en gran medida correctamente, ver nuestros trabajos como impedir el acceso a las cosas.

El grupo InfoSec es donde si desea que se elimina el proyecto. Los chicos de seguridad malintencionada siempre intenta evitar hacer lo que desea. A menudo que es true y es una pena, pero no como los chicos de seguridad malintencionada no deberían intentar reducir la complejidad y detener ideas incorrectos. Es una pena porque resalta un fundamental desconectar entre el negocio y el grupo de seguridad.

Mantener las luces desactivado

Si alguna vez ha estudiado para un examen de seguridad de información, indudablemente ha aprendido la triad CIA, confidencialidad, integridad y disponibilidad. Proporciona una forma para describir los objetivos de protección de información. Se debe proporcionar confidencialidad de la información frente a los usuarios que no debe tengan acceso a él, integridad para asegurar que la información es exacta y disponibilidad para aquellas personas que necesitan tener acceso a la información. Por lo tanto, algunos grupos de seguridad considere gran parte de su trabajo se sobre cómo garantizar que las luces permanecerán en, se asegura de que la disponibilidad. Otros usuarios asumen exacto opuesto enfoque y considere sus trabajos para ser mantener las luces fuera, impedir que cualquiera, incluidos aquellos que tienen necesidades legítimas, tenga acceso a la información.

Podría argumentar que, si tiene una asociación correspondiente con la empresa, el grupo de seguridad puede omitir la parte de disponibilidad de la triad. La empresa tiene otras personas que están más expertos en acuerdos de nivel de disponibilidad y servicio. Si la seguridad simplemente socios con ellos y garantiza que se alcanza un equilibrio adecuado entre confidencialidad o integridad y disponibilidad, la función de seguridad puede considerar la disponibilidad de importancia secundaria. A continuación, la seguridad adquiere en cierta medida sobre garantiza las luces están desactivados y que permanecen fuera; pero al tomar las necesidades empresariales en cuenta. La empresa, de izquierda a sus propios dispositivos, se asegurarse de que las luces se mantienen en. Seguridad sólo es necesario ayudar a la empresa, asegúrese de que las luces correctas permanecerán en y otros usuarios permanecen fuera. La seguridad, en cierto sentido, a continuación, es un blanco razonable función de lista.

Ésta es una de las cosas que encuentro más fascinante cuando se trabaja con otras personas de seguridad. Nos recorrer en una reunión con los ejecutivos de negocio. Los ejecutivos diga "necesitamos que ayudan a segura nuestro producto." Los chicos de seguridad diga "BUENO, informar sobre el producto." La gente de negocio decir "es un dispositivo"; en cuyo caso la seguridad chicos inmediatamente que les indica cómo proteger dispositivos.

¿Lo que no se encuentra aquí? Sí, los chicos de seguridad intentó aprender lo que era el producto. Pero ¿qué es el objetivo empresarial? ¿Qué está la empresa intentando conseguir con este dispositivo? ¿Lo valiosa es para la empresa? ¿Cómo estratégico es? ¿Qué importancia tiene? ¿Cuánto riesgo es la empresa dispuesta a aceptar para que realiza? ¿La gente de negocio aún desea crearlo?

El grupo de seguridad por lo que rara vez conoce la empresa. Aún el equipo de seguridad fingir entender por lo que puedan decirte el negocio cómo realizar determinadas tareas. No es nuestro trabajo como profesionales InfoSec para indicar el resto de la organización cómo ejecutar una empresa. Es simplemente nuestro trabajo informar a la empresa as to el conjunto correcto de las luces para activar y cuáles deben permanecer desactivado, de acuerdo con tolerancia a de la empresa para los riesgos y sus necesidades. Se admite y recomendamos el negocio sobre cómo lograr sus objetivos con un nivel aceptable de riesgo, pero todavía son pertenecen los objetivos por la empresa, no por el grupo InfoSec.

Cuando se descuidan información de seguridad

Por último han llegado a riesgos. InfoSec es realmente la administración de información de riesgos. Nos administrar el riesgo a nuestros activos de información. O, por lo menos nos se supone que. Pero en muchos casos, simplemente no se admiten en. Seguridad es una venta realmente duro porque el lado por lo que no está claro. ¿Lo que, después de todo, es la ventaja de seguridad? ¿Qué es que constituye el éxito? Es simplemente "se no obtener atacados este año?" Se nunca puede realizar esa instrucción y se asegura de es correcta, es posible que han atacado pero no se pudo tenga en cuenta. De hecho, no puede invertir suficiente dinero y tiempo en InfoSec es una realmente buena forma de asegurarse de que no verá cuando se atacado.

Existen muchas posibles consecuencias de olvidarse InfoSec y, en algunos casos, una falta appalling de consecuencias. En algunas áreas neglect puede hacer que producir cargos criminales o perder su trabajo. Por ejemplo, no proteger la privacidad de elementos secundarios, es criminal en Estados Unidos en los elementos secundarios en privacidad protección Act (COPPA) y en otros países, tales como Canadá y Australia, en estatutos nacionales.

Para una empresa que se basa en confianza de cliente y clientes dónde se evidente que hay un riesgo, seguridad es un coste de hacer negocios. En un mundo donde las personas ya tienen nervous, y los costos de conmutación son insignificante, una infracción de la única puede doom una empresa. Una infracción principal y muy pública única del mundo de banca en línea, por ejemplo, probablemente sería suficiente para establecer conexión banca volver años.

Esto, sin embargo, no parece contener del otros sectores. Tardar la compañías TJX o Heartland, el procesador de tarjeta de crédito, por ejemplo. Incluso después de appalling niveles de neglect para la seguridad se llevó al robo de las tarjetas de crédito de prácticamente cada estadounidense que tenga una de estas tarjetas, las compañías están todavía en empresa. La infracción TJX se ha hecho pública en principios de 2007. Ese mismo año, Director general de la compañía, Cammarata Bernard, había disfrutado un salario de $911,539 más aproximadamente 1,6 millones de dólares en cotizaciones y otras compensaciones. El presidente de la compañía, Meyrowitz Cecilia, acumulado un posh 7,5 millones de dólares mientras supervisan la organización que habilita el robo de tarjeta de crédito mayor en el histórico y, a continuación, no pudo observar cuando ocurrió, una figura que pales en comparación con el costo incurrido por sus clientes y sus compañías de tarjetas de crédito. El costo exacto de la infracción Heartland es claro de escribir este documento. Sin embargo, no tiene duda que su administración ejecutiva se rewarded handsomely para la forma valiant que tratan con una crisis que era totalmente avoidable tenía que simplemente implementar las medidas de seguridad información más básicas. Neglect y rationalization todavía son virtudes en ahora muchas compañías. Claramente, nos tener una forma larga cuando se trata responsabilidad para InfoSec.

Responsabilidad en el nivel de gobierno

En el tema de responsabilidad, se recomienda que lea el informe desde el centro para estratégico & internacional prácticos (CSIS) titulado" Proteger el ciberespacio para el Presidency 44th." El informe, que se publicó en diciembre de 2008, fue escrito por Estados Unidos R. James de representantes Langevin y Michael T. McCaul, junto con Microsoft VICEPRESIDENTE de Trustworthy Computing, Scott Charney y Lieutenant general Harry Raduege, USAF (rec.). El objetivo era diseñar una estrategia para la administración de Obama entrante alrededor cybersecurity. Más interesante, sin embargo, es la evaluación crítica de cómo se ha olvidado cybersecurity en la administración anterior; el informe indica que "cybersecurity es ahora un problema de seguridad nacional principal para los Estados Unidos."

Curiosamente, una posición largo diferencia por el sector de software, con Microsoft en la vanguardia de la opposition encarga del informe: el uso de las reglas de aprovisionamiento para dirigir una dirección que desee en productos de tecnología de información, software concreto. El informe no mince palabras cuando que detalla qué importancia que tiene. Específicamente señala fuera que cybersecurity es un "batalla nos están perdiendo". Además, dice "cybersecurity débil dilutes nuestra inversión en innovación mientras subsidizing los esfuerzos de investigación y desarrollo de competidores externas". No es extender para realizar esa misma instrucción y aplicarlo a InfoSec esfuerzos casi cualquier organización.

fig01.gif

La figura 1 ¿realmente tiene que firmar sus tarjetas de crédito?

Aceptación inadecuado de riesgos

Muchos de los errores proceden de una aceptación inadecuada de los riesgos. Los seres humanos tienden a infravalorar los riesgos y las ventajas de sobrevalorarlos. Nos especialmente infravalorar los riesgos en áreas que encontramos resulta difíciles de leer, como ciberespacio. Se pueden visualizar fácilmente físicos de los riesgos. La mayoría de los usuarios bloquear sus automóviles, aunque la desventaja posible de robo de un coche es un deducible seguros de 500 € y está inconvenienced durante unos días. Nos bloquear las puertas a nuestros casas, incluso en lugares donde burglaries son muy poco frecuentes. Sin embargo, nos producir extractos bancarios en los elementos no utilizados, literalmente entrego delincuentes toda la información que necesitan para robar todo lo que el propietario. Nos firmar la crea una seguridad de nuestras tarjetas de crédito y almacenarlos junto con nuestras cuentas de tesorería. Reunir estos ingredientes y un delincuente tiene todo lo que necesita para vaciar la cuenta de tesorería. Es por ese motivo muy que las tarjetas de crédito aspecto de la tarjeta se muestra en la figura 1 .

Uno de los aspectos más importantes de administración InfoSec es que una percepción precisa de riesgo. Aquí es donde entra el grupo InfoSec en. Es este grupo de consulta principal para la empresa comprender los riesgos es Aceptar, garantizar la empresa entiende los riesgos y los valores correctamente. Se han sido tradicionalmente demasiado simplista acerca de cómo se valor riesgo. En mi entrega de mayo de 2008 de la columna Vigilancia de seguridad, titulado" Principios de seguridad Quantum" Presentó una versión revisada de la ecuación de expectativa de pérdida anual (ALE) utilizada para evaluar riesgos (consulte la La figura 2 ).

fig02.gif

La Figura 2 la ecuación de expectativa de pérdida anual (ALE) revisado

Sin embargo, esto no es sólo acerca de la valoración de riesgos. Se un asesor confianza va más allá de eso. En un fragmento futuro de esta serie en Administración de InfoSec, explicará riesgo en profundidad mucho más.

Un Blueprint

En este momento, se está obteniendo el propósito es true de InfoSec más cerca. Argumentar que existen cuatro aspectos centrales, todos con raíz en el principio primordial que debe guían InfoSec:

mantener el riesgo en un nivel aceptable En primer lugar y principalmente, el trabajo de los profesionales InfoSec, es mantener el riesgo a un nivel aceptable. Esto incluye las cosas que hemos descrito aquí, asegurándose de que las luces permanecerán en, al desactivar las luces derecha, y generalmente garantizar esa información está disponible a aquellos que necesite y a quienes no. El problema principal mantener el riesgo a un nivel aceptable es establecer qué está diseñada por "aceptables". Resulta que aceptable está influida por muchos factores, que explicará en un artículo posterior.

Habilitar la presentación En primer lugar y principalmente, el grupo InfoSec es un miembro de la empresa. Su trabajo consiste en habilitar la empresa, no detenerlo. Los profesionales de InfoSec que ver su función como a proteger la empresa de sí mismo rara vez experimentan mucho éxito a largo plazo. También dejarán de estar muy ocupados como gran parte de la empresa se simplemente evitarlos y continuar sin entrada InfoSec, a menudo que hace aún más inadecuados riesgo administración pros y contras. Una vez más, estamos aquí proteger la empresa y ayudar a que conseguir sus objetivos, mientras que la administración de riesgos.

aviso de riesgos InfoSec tiene una función operativa, administración de procesos (como la respuesta de administración y incidente de revisiones), software de seguridad y dispositivos de red. Este lado operativo es donde InfoSec es a menudo más visible. La parte que puede tener impacto más amplio, sin embargo, es la capacidad de consulta. Como un asesor, InfoSec debe actuar como un recurso de consultoría interno, préstamos una perspectiva de seguridad a los proyectos mucho y ancho. Esto puede ser una función muy cumplimiento para profesionales de InfoSec que disfrute de creación de valor directo para la compañía.

establecer directivas de administración de riesgos y los procesos Por último, InfoSec administra la postura de riesgo general información a través de directivas y procesos. Que significa que el grupo InfoSec debe evaluar los riesgos para la empresa, establecer directivas y definir los procesos. La evaluación de riesgos consiste en gran medida un análisis de cómo la organización es administrar los riesgos y lo que debe ser su postura preferido. Basándose en esa filosofía, InfoSec establece un conjunto de directivas de seguridad para codify postura de riesgo de la organización y los principios de administración. Estas directivas, a continuación, se implementan en un conjunto de procesos para ayudar a la organización de cumplimiento.

Ajustar hacia arriba

En este artículo, ha observado una guía básica para la administración de InfoSec. La clave aquí es comprender que InfoSec es una parte fundamental de la empresa y debe ser un asesor de confianza con el resto de la empresa. En vez de que se está en conflicto con la empresa, el grupo InfoSec debe establecer una relación con otras partes de la empresa para la empresa toda lograr sus objetivos con un nivel aceptable de riesgo. Sólo entonces puede InfoSec ser eficaz.

Pero esto es sólo el comienzo de la conversación. Vigilar los futuros partes de la columna Vigilancia de seguridad cuando continúa esta serie en administración de información de seguridad.

Jesper Johansson es arquitecto de seguridad principal para una empresa Fortune 200 conocida, trabajar en la visión de la seguridad basada en riesgos y estrategia de seguridad. También es un redactor a TechNet Magazine. Su trabajo consiste en garantizar la seguridad de algunos de los sistemas más grandes y más distribuidos en el mundo. Contiene un pH.d. en sistemas de administración de información, tiene más de 20 años experiencia en seguridad y es un MVP de seguridad de la empresa. Su último libro es la Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).