Inspeção de segurança O desafio do Information Security Management, parte 1

Jesper M. Johansson

Conteúdo

É possível obter RID da tecnologia?
O que É realmente proteger
Dilema do Defender
Conflito de principais
Manter as luminárias desativado
Quando você esquecer de segurança das informações
Responsabilidade no nível do governo
Aceitação inadequada de riscos
Um Blueprint
Quebra automática para cima

Há algum tempo agora, eu ter sido pensar sobre o desafio maior de gerenciamento de segurança das informações (InfoSec) em uma organização. Parece que a mais antiga que É exibida, o bem fora obter da tecnologia — ou, em vez disso, o mais perceber tecnologia não fundamentalmente é a solução para nossos problemas. Tecnologia, no caso de várias maneiras, é o problema. Na verdade, gerenciamento de InfoSec é quase exclusivamente sobre como evitar os tipos de problemas que obtemos em com a tecnologia.

Originalmente pensei que seria interessante de escrever um livro sobre esse tópico, mas, eventualmente, decidi que uma série de essays seria mais apropriada. E aqui é onde esses essays serão live. Sobre o próximo ano ou isso, VOU usar a coluna Security Watch para visitar, ocasionalmente, o tópico de gerenciamento de informações de segurança. Nesta primeira parte da série, examine os princípios fundamentais de gerenciamento de InfoSec.

É possível obter RID da tecnologia?

Tecnologia, para a BOM e incorreto, é inevitável hoje. Tecnologia capacita às organizações faça mais, mais rápido e eficiente. Ele também permite os criminosos fazer a mesma coisa. E, assim como muitos de nós nos campos de tecnologia deseja acreditar que tecnologia existe para o bem da tecnologia, ele não. Tecnologia existe para armazenar, processar e transmitir dados — dados que podem ser ativados em informações. Dados e as informações que derivam de ele são nossos recursos realmente importantes.

Não, como profissionais de segurança, em seguida, chamamos nos profissionais de "segurança de dados"? Tem não mais precisamente comprometidos com proteção de dados? De várias maneiras, isso é verdadeiro, mas dados são apenas uma matéria-prima. Certamente, ela tem valor por conta própria, mas ele é montar os dados e, na verdade, criar informações dele que fornece o valor. Por isso, funciona em uma camada de abstração ligeiramente acima de dados. Usarei o termo "Information" (exceto quando eu realmente deseja falar sobre matérias-primas) porque esse é o que nós finalmente ativar os dados.

Muitos profissionais de tecnologia trabalham em camadas de abstração abaixo dos dados — o bits, bytes e elétron camadas. Gostamos de tecnologia para o bem da tecnologia. Geralmente é muito por fomos para o campo de tecnologia em primeiro lugar. A tecnologia é mais confortável para nós que, por exemplo, as pessoas. No entanto, como profissionais de segurança das informações, isso é perigoso porque nós deve ter um escopo muito mais amplo que apenas tecnologia. Embora profissionais de segurança das informações devem ser especialistas em um ou mais domínios de tecnologia, deve examinar o ecossistema inteiro de tecnologia, informações, pessoas e processos — quatro pilares de segurança da informação. É necessário, pela necessidade, enfatizar todos os quatro pilares. A verdade é, no entanto, que muitas pessoas ignorar um ou mais.

Vários anos atrás, Microsoft embarcou em uma campanha de computação confiável, proclaiming que segurança é pessoas, processo e tecnologia. Muitos foram skeptical, informando que o Microsoft estava tentando deslocar o foco de tecnologias de baixa segurança para fatores não pode controlar. Que foi uma análise desleal, entretanto, considerando a segurança das soluções da Microsoft, especialmente no Windows XP SP2 e sistemas operacionais mais recentes, é realmente muito bom. Windows Vista e Windows Server 2008 e especialmente para o Windows 7 e Windows Server 2008 R2, são exemplary na maioria dos aspectos quando se trata de segurança e head e shoulders acima qualquer solução de concorrentes.

Colocar outro, kinder, foi que o mantra pessoas, processos e tecnologia foi simplesmente dizendo que profissionais InfoSec precisa considerar as pessoas e processo, também.

No entanto, o triad pessoas-processo-tecnologia falha ao levar em conta a finalidade básica de tudo o que fazemos. O processo é como as pessoas usam tecnologia para transformar dados em informações para que façam decisões.

O que É realmente proteger

Em seguida, por que é que eu digo que informações e os dados que ele é derivado do, é nosso recurso valioso somente? Obviamente, uma empresa mais tecnologicamente avançada com processos melhor é mais capaz de atingir seus objetivos daquele sem. Acho que pode levar que como um determinado. Mas do ponto de vista da segurança, processo e tecnologia são problemáticos. Tecnologia, por definição, adiciona complexidade e complexidade breeds insecurity. Componentes de um sistema devem interagir, e o número de interações exponencialmente é relacionado ao número de componentes. Cada uma dessas interações cria novos caminhos para transmitir dados, novos mecanismos para processar e novos locais de armazenamento. Todos os elementos representam possíveis áreas de vulnerabilidade, bem como pontos fracos que reduzem a nossa capacidade de visualizar a tecnologia e os problemas que ele pode representar. Menos complexo uma tecnologia, mais fácil é compreender e proteger. Na verdade, incapacidade facilmente visualizar e entender o escopo de tecnologias em uso em uma organização é uma das principais causas de problemas de segurança de informações. Como o InfoSec profissionais, deve considerar reduzindo a quantidade de tecnologia que está sendo usado, não o aumento.

Processos são também complexos, nebulous e, na maioria dos casos, não confidenciais no e deles mesmos. Um processo pode fornecer vantagem competitiva, mas um processo não pode ser copiado por si. Ele é as informações documentando o processo que pode ser copiado. Um processo é efêmero — ele desaparece. Somente por transformá-la em dados possível um copiá-lo. Isso é semelhante a música. Música existe somente temporally como nós ouvir a ele. Permitir que pessoas ouvir música repetidas, Thomas Edison inventou o phonograph (uma informação engenhosas de tecnologia que permitidos nos para registrar o processo de criação música como dados para que as pessoas podem ouvir a ele novamente e novamente).

Agora, mais de cem anos mais tarde, pessoas de morals elástica e virtue questionável roubar a representação de dados para alimentar o processo de reprodução de músicas. O setor de música, em uma tentativa com falha em impedir essa tendência, mudou para tecnologias de segurança para que obstruam o processo de recriação música. O resultado é principalmente para que seja mais difícil para seus clientes legítimos aproveitar sua música. Essa tecnologia, conhecida como gerenciamento de direitos digitais (DRM), é praticamente inútil no combate a roubo, embora seja muito bem-sucedida no combate a satisfação do cliente. Observando esse rationally, você percebe que o problema é realmente sobre como proteger informações, não processos. Em alguns casos, como em música, os dados essencialmente não podem ser protegidos, necessidade de seus proprietários para apenas aceitar esse fato e mover no.

Isso leva a um número de observações interessantes. Por exemplo, você não obstruam apenas o processo? Você não pode tornar o processo de criação de valor dos dados um segredo? Você não pode criar um algoritmo secreto, como você were? Bem, você pode, mas ele faria normalmente não boa. Máxima Claude colocar isso muito bluntly como "o inimigo sabe o sistema," uma Proclamação comumente conhecida como sou do máxima.

O que isso significa? O algoritmo próprio normalmente não permaneça secreto. O processo será tornam-se conhecido e a competitiva proveniente a dificuldade de implementar o processo. Segurança de informações novamente, deverá se concentrar na proteger as informações como o principal valioso. Proteger processos só é interessante na pois ele fornece proteção para as informações.

Dilema do Defender

Isso leva-me para "dilema do Defender". Seu trabalho é proteger todos os seus dados, incluindo onde ele está exposto em todas as interações entre os seus componentes, sob a suposição de que os bandidos saibam o sistema. Os bandidos, por outro lado, precisa encontrar apenas uma maneira de comprometa o sistema. Eles não precisam várias cópias de seus dados. Uma cópia será suficiente, independentemente de como chegarem. Assim como uma cópia de um arquivo MP3 é suficiente para fuel o ecossistema criminal todo, portanto, é uma cópia única dos dados suficiente para seus adversários. Além disso, roubo usando qualquer abordagem uma não pode ser desfeito. Não há nenhuma opção desfazer em cyberspace.

O usuário que tenta se defender, portanto, deve proteger todos os possíveis pontos. Você deve fornecer proteção adequada para dados em repouso e em vôo, em todos os dispositivos, não importa que possui os dispositivos. As obter mais informações locais são armazenadas, processadas e transmitidas, se torna o trabalho a mais difícil. A complexidade é o inimigo de segurança!

Observe o uso do termo possível. Em muitos casos, como com a tecnologia DRM, é impossível fornecer proteção por razões técnicas. Em tais casos, os defensores devem encontrar uma forma para conviver com um sistema de perdas" ou impedir que todos os acessos aos dados. Em geral, dados que são distribuídos aos adversários possíveis nunca podem ser protegidos. Se os dados precisam ser protegidos, a única maneira de fazer isso é nunca distribuí-lo.

Conflito de principais

Devido a nossa aversion natural a complexidade, a função InfoSec geralmente será percebida como uma estrada-bloco. Aqueles no campo InfoSec freqüentemente e amplamente corretamente, exibir nossos trabalhos como impedindo o acesso a itens.

O grupo InfoSec é onde você vai se desejar que seu projeto a ser eliminado. O equipe de segurança nocivo sempre irá tentar impedir que você fazer o que você deseja. Que geralmente é true e é Infelizmente, mas não porque o equipe de segurança nocivo não deve tentar reduzir a complexidade e parar idéias inválidas. É infeliz porque ele destaca uma fundamental desconectar-se entre a empresa e o grupo de segurança.

Manter as luminárias desativado

Se você já tiver estudados para um exame de segurança de informações, que, indubitavelmente, aprendeu o triad as proteções CIA — confidencialidade, integridade e disponibilidade. Ele fornece uma maneira para descrever os objetivos na proteção de informações. É necessário fornecer confidencialidade das informações contra aqueles que não deveria ter acesso a ele, integridade para garantir que as informações seja precisas e disponibilidade para aqueles que precisam acessar as informações. Conseqüentemente, alguns grupos de segurança considere muito trabalho a ser sobre como garantir que as luzes permanecer na, essa disponibilidade é garantida. Outros assuma os exatamente opostos abordagem e considere seus trabalhos para ser manter as luzes off, impedindo que qualquer pessoa, inclusive aqueles com necessidades legítimas, de acessar as informações.

Eu poderia argumentar que, se você tiver uma parceria apropriada com a empresa, o grupo de segurança pode ignorar a parte de disponibilidade a triad. A empresa tem outras pessoas que estão mais especialistas em contratos de nível de disponibilidade e o serviço. Se segurança simplesmente parceiros com eles e assegura que uma compensação adequada entre confidencialidade/integridade e disponibilidade for atingida, a função de segurança pode considerar a disponibilidade de importância secundária. Segurança passará até certo ponto sobre como garantir as luzes estão desativados e permanecem off; mas ao fazer necessidades em conta. Os negócios, da esquerda para seus próprios dispositivos, garantirá que as luzes permaneçam na. Segurança apenas precisa ajudar a empresa a garantir que somente as luzes corretas permanecer na e outros permanecem off. A segurança, de certa forma, em seguida, é um white razoável listagem função.

Essa é uma das coisas que acho mais fascinante ao trabalhar com outras pessoas de segurança. Nós movimentar em uma reunião com os executivos da empresa. Os executivos que dizer "precisamos para ajudar a seguro nosso produto." O equipe de segurança dizer "Tudo bem, diga-me sobre o produto." O pessoal de negócios dizer "é um widget"; momento em que a segurança equipe imediatamente iniciar informando-os como proteger widgets.

O que está faltando aqui? Com certeza, o equipe de segurança tentou saber qual foi o produto. Mas o que é o objetivo de negócios? O que é a empresa tentando atingir com este widget? Como valioso é para os negócios? Como estratégico é ele? Importante como é? Quanto risco é a empresa disposto a aceitar fazê-lo feito? O pessoal de negócios ainda deseja compilá-lo?

O grupo de segurança portanto raramente sabe a empresa. O pessoal de segurança ainda fingir entender para eles podem informar a empresa como fazer coisas. Não é nosso trabalho como os profissionais de InfoSec a informar o resto da organização como um negócio. Ele é simplesmente nosso trabalho para informar a empresa como o conjunto correto de luzes para ativar e quais devem fique logoff, de acordo com suas necessidades e de tolerância da empresa para o risco. Estamos suporte e informar a empresa sobre como atingir seus objetivos com um nível aceitável de riscos — mas os negócios, não pelo grupo InfoSec ainda pertencem os objetivos.

Quando você esquecer de segurança das informações

Por fim, chegaram ao risco. InfoSec é realmente gerenciamento de informações de riscos. É gerenciar o risco aos nossos ativos de informações. Ou, pelo menos deveriam. Mas em muitos casos, nós simplesmente não podem. A segurança é uma venda de rígido, na verdade, porque a cabeça portanto, não está claro. O que, afinal, é a vantagem de segurança? O que é que constitui o sucesso? É simplesmente "não obter hacked deste ano?" Você nunca poderá fazer essa instrução e ter certeza de ele está correto — você pode foram um, mas falhou ao Observe. Na verdade, a falha em investir suficiente dinheiro e tempo em InfoSec é uma boa realmente maneira para garantir que você não perceberá quando você estiver atacada.

Há muitas conseqüências potenciais de negligenciando InfoSec e, em alguns casos, uma falta appalling de conseqüências. Em algumas áreas, negligenciar pode causar a perder seu trabalho ou resultar em encargos criminais. Falha em proteger a privacidade dos filhos, por exemplo, é criminal nos Estados Unidos dos filhos on-line Privacy Protection Act (COPPA) e em outros países, como no Canadá e a Austrália, em estatutos nacionais.

Para uma empresa que se baseia na relação de confiança do cliente e onde os clientes localizá-lo claro que há um risco, segurança é um custo de fazer negócios. Em um mundo onde as pessoas estiverem nervosos e custos comutação serão insignificante, uma única violação pode condenar uma empresa. Uma violação de principal e muito pública única no mundo das transações bancárias online, por exemplo, poderia provavelmente ser suficiente para definir online banco volta anos.

Isso, no entanto, não parece armazenar em outras indústrias. Levar o TJX empresas ou o Heartland, o processador de cartão de crédito, por exemplo. Mesmo após appalling níveis de negligenciar para segurança levou o roubo dos cartões de crédito de praticamente qualquer americano que tenha uma dessas placas, as empresas ainda estão na empresa. A violação TJX foi feita pública no início de 2007. Esse mesmo ano, PRESIDENTE da empresa, Bernard Cammarata, aproveitado um salário de $911,539 mais sobre $ 1.6 milhões em estoque e outra compensação. O presidente da empresa, Meyrowitz Carol, acumulado um posh $ 7,5 milhões ao supervisionar a organização que habilitado o roubo de cartão de crédito maior no histórico e, em seguida, ao observar quando ele aconteceu — uma figura que pales em comparação com o custo por seus clientes e suas empresas de cartão de crédito. O custo exato de violação Heartland é incorreto como da elaboração deste documento. No entanto, eu não ter nenhuma dúvida que seu gerenciamento executivo irá ser handsomely recompensado para a forma valiant que ele lidado com uma crise que era totalmente avoidable tinha simplesmente implementou as medidas de segurança informações mais básicas. Negligenciar e rationalization ainda são vantagens em muito muitas empresas. Claramente, é ter uma forma longa para ir quando se trata a responsabilidade para InfoSec.

Responsabilidade no nível do governo

No tópico de responsabilidade, eu recomendo que você leia o relatório no centro para estratégico & internacional estudos (CSIS) intitulado" Protegendo Cyberspace para o Presidency 44th." O relatório, que foi publicado em dezembro de 2008, foi escrito por dos EUA Representantes James r Langevin e Michael T. McCaul, juntamente com o Microsoft VP de computação confiável, Scott Charney e Tenente geral Jaime Raduege, USAF (resposta.). O objetivo era dispor de uma estratégia para a administração de Obama entrada ao redor cybersecurity. Mais interessante, no entanto, é a avaliação crítica de como cybersecurity foi inativa sob a administração anterior; o relatório afirma que "cybersecurity é agora um problema de segurança nacional principais para os Estados Unidos."

Curiosamente, o relatório defende uma posição longo em oposição pela indústria de software, com o Microsoft no forefront do opposition: o uso de aquisição regras para conduzir uma direção desejada em produtos de tecnologia de informações — especificamente o software. O relatório não mince palavras quando detalhando como importante que isso é. Ele aponta especificamente out que cybersecurity é uma "batalha nós está perdendo." Além disso, ela diz "cybersecurity fraco dilutes nossos investimentos em inovação ao subsidizing os esforços de pesquisa e desenvolvimento de concorrentes externos." Ele é não alongue para tomar essa mesma instrução e aplicá-la a InfoSec esforços praticamente qualquer organização.

fig01.gif

A Figura 1 você realmente precisa assinar seus cartões de crédito?

Aceitação inadequada de riscos

Muitas das falhas vêm de uma aceitação inadequada do risco. Os usuários tendem a subestime riscos e overestimate os benefícios. É particularmente subestime riscos em áreas que achamos difícil de entender, como cyberspace. É muito facilmente pode visualizar riscos físicos. A maioria das pessoas bloquear seus carros, mesmo que a desvantagem potencial de roubo de um carro seja um dedutível seguro r$ 500,00 e sendo inconvenienced por alguns dias. É bloquear as portas para nossas casas, mesmo em locais onde burglaries são muito raros. No entanto, nós lançar instruções banco no lixo, entregando os criminosos literalmente todas as informações necessárias para roubar tudo o que é proprietário. Nós assinar o faz de nossos cartões de crédito e armazená-los juntamente com nossos checkbooks. Reunir esses ingredientes e um criminoso tem tudo de que ele precisa para Esvaziar sua conta corrente. É por esse motivo que se meus cartões de crédito parecem com o cartão mostrado na Figura 1 .

Um dos aspectos mais importantes do gerenciamento de InfoSec é ter uma percepção precisa de risco. É aí que o grupo InfoSec entra no. É nesse grupo de comunicado principal para ajudar a empresa a compreender os riscos está aceitando, garantindo a empresa entende os riscos e valores-los corretamente. Tradicionalmente foi muito simples sobre como nós valor risco. Em minha edição de maio de 2008 da coluna Security Watch, intitulado" Princípios de segurança de quantum" Apresentei uma versão revisada da equação expectativa de perda anual (EPA) usada para asses risco (consulte a A Figura 2 ).

fig02.gif

A Figura 2 A equação de expectativa de perda anual (EPA) revisado

No entanto, isso não é apenas sobre atribuir valores a risco. Sendo um consultor confiável vai além do. Em um pedaço futuro nesta série sobre o gerenciamento de InfoSec, discutirei risco em profundidade muito mais.

Um Blueprint

Neste ponto, está obtendo mais perto o verdadeiro objetivo InfoSec. Eu argumentar que há quatro aspectos centrais, todos os enraizada no princípio de substituição que deve orientar o InfoSec:

manter o risco em um nível aceitável O trabalho de profissionais InfoSec, primeiro e foremost, é manter o risco em um nível aceitável. Isso inclui os itens já discutidos aqui, certificando-se as luzes permanecer, desativando as luzes à direita, e geralmente garantir essa informação está disponível para quem precisa e não para aqueles que não. O principal problema mantendo o risco em um nível aceitável é estabelecer o que significa "aceito". Acontece que aceitável é influenciada por vários fatores, que discutirei em um artigo posterior.

Ativar a empresa Primeiro e foremost, o grupo de InfoSec é um membro da empresa. Seu trabalho é permitir a empresa, não interrompê-lo. Profissionais de InfoSec que exibirem a sua função como sendo a impedir o negócio próprio raramente experiência muito sucesso a longo prazo. Eles também não será muito ocupados como grande parte os negócios simplesmente evitá-los e continuar sem entrada de InfoSec, geralmente fazendo o gerenciamento de risco ainda mais inadequado trade-offs. Uma vez, estamos aqui proteger a empresa e ajudá-lo a atingir seus objetivos, ao gerenciamento de riscos.

informar sobre riscos InfoSec tem uma função de operação, gerenciamento de dispositivos de rede, software de segurança e processos (como o patch gerenciamento e incidente resposta). Este lado operacional é onde InfoSec é geralmente mais visíveis. A parte que pode ter o impacto mais amplo, no entanto, é a capacidade de comunicado. Como um consultor, InfoSec deve agir como um recurso interno de consultoria, empréstimo de uma perspectiva de segurança para projetos e muito grande. Isso pode ser uma função muito gratificante para profissionais de InfoSec que aproveite a criação direta de valor para a empresa.

estabelecer diretivas de gerenciamento de riscos e processos Finalmente, o InfoSec gerencia a postura de risco geral do informações através de diretivas e processos. Que significa que o grupo InfoSec deve avaliar os riscos aos negócios, estabelecer diretivas e definir processos. A avaliação de riscos consiste basicamente uma análise de como a organização está Gerenciando riscos e o que deve ser sua postura preferencial. Com base no que filosofia, o InfoSec estabelece um conjunto de diretivas de segurança para codify postura de risco da organização e os princípios de gerenciá-las. Essas diretivas, em seguida, são implementadas em um conjunto de processos para ajudar a organização com a conformidade.

Quebra automática para cima

Neste artigo, eu ter examinamos uma estrutura básica para o gerenciamento de InfoSec. A chave aqui é entender que o InfoSec é uma parte principal da empresa e deve ser um consultor confiável ao resto da empresa. Em vez de estar em conflito com a empresa, o grupo InfoSec deve estabelecer uma relação com outras partes da empresa para ajudar a empresa inteira atingir seus objetivos com um nível aceitável de riscos. Só então o InfoSec possível eficaz.

Mas isso é apenas o início da conversação. Procure prestações futuras da coluna Security Watch quando eu continuar desta série no gerenciamento de informações de segurança.

Jesper Johansson é arquiteto de segurança principal para uma empresa de 200 empresas da lista Fortune conhecida, trabalhando em visão de segurança com base em risco e estratégia de segurança. Ele também é editor colaborador da TechNet Magazine. Seu trabalho consiste em garantir a segurança em alguns dos sistemas do mundo maiores, mais distribuídos. Ele contém o título de Ph.d. em sistemas de informações de gerenciamento, tem mais de 20 anos experiência em segurança e é um MVP em segurança da empresa. Seu livro mais recente é o Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).