Sugerir tradução
 
Outras sugestões:

progress indicator
Sem sugestões.
TechNet Magazine > Home > Todas as edições > 2009 > TechNet Magazine Abril 2009 >  O desafio do Information Security Management, p...
Exibir Conteúdo: Lado a LadoExibir Conteúdo: Lado a Lado
Este é um conteúdo traduzido por máquina que os membros da comunidade podem editar. Incentivamos você a melhorar a tradução clicando no link Editar associado a qualquer sentença abaixo.
Security Watch The Challenge of Information Security Management, Part 1
Jesper M. Johansson


For a while now, I have been thinking about the broader challenge of Information Security ( InfoSec) management in an organization. It seems the older I get, the farther away I get from technology—or, rather, the more I realize technology is fundamentally not the solution to our problems. Technology, in so many ways, is the problem. In fact, InfoSec Management is almost exclusively about preventing the kinds of problems we get into with technology.
I originally thought it would be interesting to write a book on this topic, but I eventually decided that a series of essays would be more appropriate. And here's where these essays will live. Over the next year or so, I will use the Security Watch column to occasionally visit the topic of Information Security Management. In this first installment of the series, I look at the fundamental principles of InfoSec management.

Can We Get Rid of the Technology?
Technology, for good and for bad, is inevitable today. Technology empowers organizations to do more, faster and more efficiently. It also enables criminals to do the same thing. And as much as many of us in the technology fields would like to believe that technology exists for technology's own sake, it does not. Technology exists to store, process, and transmit data—data that can be turned into information. Data and the information we derive from it are our truly valuable resources.
Shouldn't we, as security professionals, then call ourselves "data security" professionals? Are we not more accurately engaged in protecting data? In many ways, this is true, but data is just a raw material. Certainly it has value on its own, but it is putting the data together and creating information from it that really provides value. Therefore, we work at a layer of abstraction slightly higher than data. I will use the term "information" (except when I really wish to speak about raw materials) because that is what we eventually turn the data into.
Many technology professionals work at layers of abstraction below data—the bits, bytes, and electron layers. We like technology for technology's own sake. It is very often why we went into the technology field in the first place. Technology is more comfortable for us than, say, people. However, as Information Security professionals, this is dangerous because we must have a far broader scope than just technology. While Information Security professionals must be experts in one or more technology domains, we must look at the whole ecosystem of technology, information, people, and processes—the four pillars of information security. We must, by necessity, focus on all four pillars. The truth is, however, that many people ignore one or more.
Several years ago, Microsoft embarked on a Trustworthy Computing campaign, proclaiming that security is people, process, and technology. Many were skeptical, saying that Microsoft was trying to shift focus from poor security technologies to factors it could not control. That was an unfair analysis, though, considering the security of Microsoft solutions, particularly in Windows XP SP2 and more recent operating systems, is actually quite good. Windows Vista and Windows Server 2008, and particularly Windows 7 and Windows Server 2008 R2, are exemplary in most respects when it comes to security and are head and shoulders above any competing solution.
Another, kinder, take was that the People, Process, and Technology mantra was simply stating that InfoSec professionals need to consider people and process, as well.
However, the people-process-technology triad failed to take into account the basic purpose of all we do. The process is how people use technology to turn data into information so that they can make informed decisions.

What We Really Protect
Then, why is it that I say that information, and the data it is derived from, is our only valuable resource? Clearly, a more technologically advanced company with better processes is more capable of achieving its objectives than one without. I think we can take that as a given. But from a security perspective, process and technology are problematic. Technology, by definition, adds complexity, and complexity breeds insecurity. Components of a system must interact, and the number of interactions is exponentially related to the number of components. Each of those interactions creates new avenues to transmit data, new mechanisms to process it, and new storage locations. All of those elements represent possible areas of weakness, as well as weak points that reduce our ability to visualize the technology and the problems it may pose. The less complex a technology, the easier it is to understand and secure. In fact, inability to easily visualize and understand the scope of technologies in use in an organization is one of the key causes of information security problems. As InfoSec professionals, we should consider reducing the amount of technology being used, not increasing it.
Processes are also complex, nebulous, and, in most cases, not sensitive in and of themselves. A process may provide competitive advantage, but a process cannot be copied per se. It is the information documenting the process that can be copied. A process is ephemeral—it disappears. Only by turning it into data can one copy it. This is similar to music. Music exists only temporally as we listen to it. To enable people to listen to music over and over again, Thomas Edison invented the phonograph (an ingenious piece of technology that permitted us to record the process of creating music as data so that people could listen to it again and again).
Now, more than one hundred years later, people of elastic morals and questionable virtue steal the data representation to feed the process of playing music. The music industry, in a failed attempt at thwarting this trend, turned to security technologies to obfuscate the process of re-creating music. The result is primarily to make it more difficult for its legitimate customers to enjoy their music. This technology, known as Digital Rights Management ( DRM ), is practically useless in combating theft, although it is very successful at combating customer satisfaction. Looking at this rationally, you realize that the problem is really about securing information, not processes. In some cases, as in music, the data essentially cannot be protected, necessitating its owners to simply accept that fact and move on.
This leads to a number of interesting observations. For example, can't you just obfuscate the process? Can't you make the process of creating value from data a secret? Can't you create a secret algorithm, as it were? Well, you can, but it would usually do no good. Claude Shannon put this very bluntly as "the enemy knows the system," a pronouncement commonly known as Shannon's Maxim.
What does this mean? The algorithm itself typically cannot remain secret. The process will become known and the competitive edge comes from the difficulty of implementing the process. Information Security must, once again, focus on protecting information as the core valuable asset. Securing processes is only interesting insofar as it provides protection for the information.

The Defender's Dilemma
This leads me to the "defender's dilemma." Your job is to protect all your data, including where it is exposed in all interactions between your components, under the assumption that the bad guys know the system. The bad guys, on the other hand, need to find only one way to compromise your system. They do not need multiple copies of your data. One copy will suffice, regardless of how they get it. Just as one copy of an MP3 file is enough to fuel the entire criminal ecosystem, so is a single copy of your data enough for your adversaries. Furthermore, theft using any one approach cannot be undone. There is no undo switch in cyberspace.
The defender, therefore, must protect all possible points. You must provide adequate protection for data at rest and in flight, on all devices, no matter who owns the devices. The more places information is stored, processed, and transmitted, the more difficult your job becomes. Complexity is the enemy of security!
Note the use of the term "possible." In many cases, such as with DRM technology, it is impossible to provide protection for technical reasons. In such cases, the defenders must find a way to live with a "lossy" system or prevent all access to the data. In general, data that is distributed to would-be adversaries can never be protected. If data needs to be protected, the only way to do so is to never distribute it.

Major Conflict
Because of our natural aversion to complexity, the InfoSec function is often perceived as a road-block. Those of us in the InfoSec field often, and largely correctly, view our jobs as preventing access to things.
The InfoSec group is where you go if you want your project to be killed. The evil security guys will always try to stop you from doing what you want. That is often true, and it is unfortunate, but not because the evil security guys shouldn't try to minimize complexity and stop bad ideas. It is unfortunate because it highlights a fundamental disconnect between the business and the security group.

Keeping the Lights Off
If you have ever studied for an information security exam, you've undoubtedly learned about the CIA triad—Confidentiality, Integrity, and Availability. It provides a way to describe the objectives in protecting information. We must provide confidentiality of the information against those who should not have access to it, integrity to ensure that the information is accurate, and availability for those who need access to the information. Consequently, some security groups consider much of their job to be about ensuring that the lights stay on, that availability is assured. Others assume the exact opposite approach and consider their jobs to be keeping the lights off—preventing anyone, including those with legitimate needs, from accessing the information.
I would argue that, if you have an appropriate partnership with the business, the security group can ignore the availability part of the triad. The business has other people who are more expert in availability and service level agreements. If security simply partners with them and makes sure that an adequate trade-off between confidentiality/integrity and availability is reached, the security function can consider availability to be of secondary importance. Security then becomes to some extent about ensuring the lights are off, and stay off; but while taking business needs into account. The business, left to its own devices, will ensure that the lights stay on. Security just needs to help the business ensure that only the correct lights stay on and others stay off. Security, in a sense, is then a reasonable white listing function.
This is one of the things I find most fascinating when working with other security people. We walk into a meeting with the business executives. The executives say "we need you to help secure our product." The security guys say "OK, tell me about the product." The business folks say "It's a widget"; at which point the security guys immediately start telling them how to secure widgets.
What is missing here? Sure, the security guys tried to learn what the product was. But what is the business objective? What is the business trying to achieve with this widget? How valuable is it to the business? How strategic is it? How important is it? How much risk is the business willing to accept to get it done? Do the business folks even want to build it?
The security group so rarely knows the business. Yet the security folks pretend to understand so they can tell the business how to do things. It is not our job as InfoSec professionals to tell the rest of the organization how to run a business. It is merely our job to inform the business as to the correct set of lights to turn on, and which ones must stay off, in accordance with the business' tolerance for risk and its needs. We support and advise the business on how to achieve its objectives with an acceptable level of risk—but the objectives are still owned by the business, not by the InfoSec group.

When You Neglect Information Security
I have finally arrived at risk. InfoSec is really information risk management. We manage the risk to our information assets. Or, at least we are supposed to. But in many cases, we simply are not allowed to. Security is a really hard sell because the upside is so unclear. What, after all, is the benefit of security? What is it that constitutes success? Is it merely "we did not get hacked this year?" You can never make that statement and be assured it is correct—you may have been hacked, but failed to notice. In fact, failing to invest enough money and time on InfoSec is a really good way to ensure you won't notice when you are hacked.
There are many potential consequences of neglecting InfoSec and, in some cases, an appalling lack of consequences. In some areas, neglect can cause you to lose your job or result in criminal charges. Failing to protect the privacy of children, for instance, is criminal in the United States under the Children's Online Privacy Protection Act (COPPA), and in other countries, such as Canada and Australia, under national statutes.
For a business that is based on customer trust, and where customers find it obvious that there is a risk, security is a cost of doing business. In a world where people are already nervous, and switching costs are negligible, a single breach can doom a business. A single major and very public breach in the world of online banking, for example, would probably be enough to set online banking back years.
This, however, does not seem to hold in other industries. Take the TJX Companies or Heartland, the credit card processor, for example. Even after appalling levels of neglect for security led to the theft of the credit cards of virtually every American who has one of these cards, the companies are still in business. The TJX breach was made public in early 2007. That same year, the company's CEO, Bernard Cammarata, enjoyed a salary of $911,539 plus about $1.6 million in stock and other compensation. The president of the company, Carol Meyrowitz, earned a posh $7.5 million while overseeing the organization that enabled the largest credit card theft in history and then failed to notice when it happened—a figure that pales in comparison to the cost incurred by her customers and their credit card companies. The exact cost of the Heartland breach is unclear as of this writing. However, I have no doubt its executive management will be handsomely rewarded for the valiant way it dealt with a crisis that was entirely avoidable had it simply implemented the most basic information security measures. Neglect and rationalization are still virtues in far too many companies. Clearly, we have a long way to go when it comes to accountability for InfoSec.

Accountability at the Government Level
On the topic of accountability, I recommend that you read the report from the Center for Strategic & International Studies (CSIS) entitled " Securing Cyberspace for the 44th Presidency ." The report, which was published in December 2008, was written by U.S. Representatives James R. Langevin and Michael T. McCaul, along with Microsoft VP of Trustworthy Computing, Scott Charney, and Lieutenant General Harry Raduege, USAF ( Ret. ). The objective was to lay out a strategy for the incoming Obama administration around cybersecurity. More interesting, however, is the critical assessment of how cybersecurity was neglected under the previous administration; the report states that "cybersecurity is now a major national security problem for the United States."
Interestingly, the report advocates a position long opposed by the software industry, with Microsoft at the forefront of the opposition: the use of procurement rules to drive a desired direction in information technology products—specifically software. The report does not mince words when detailing how important this is. It specifically points out that cybersecurity is a "battle we are losing." Furthermore, it says "weak cybersecurity dilutes our investment in innovation while subsidizing the research and development efforts of foreign competitors." It is no stretch to take that same statement and apply it to almost any organization's InfoSec efforts.

Figure 1 Do you really have to sign your credit cards?
Inappropriate Acceptance of Risk
Many of the failures come from an inappropriate acceptance of risk. Human beings tend to underestimate risks and overestimate the benefits. We particularly underestimate risks in areas we find difficult to understand, such as cyberspace. We can very easily visualize physical risks. Most people lock their cars, even though the potential downside of a car theft is a $500 insurance deductible and being inconvenienced for a few days. We lock the doors to our houses, even in places where burglaries are very rare. However, we throw bank statements in the garbage, literally handing criminals all the information they need to steal everything we own. We sign the backs of our credit cards and store them alongside our checkbooks. Put these ingredients together and a criminal has everything he needs to empty your checking account. It is for that very reason that my credit cards look like the card shown in Figure 1.
One of the most critical aspects of InfoSec management is to have an accurate perception of risk. This is where the InfoSec group comes in. It is up to this core advisory group to help the business understand the risks it is accepting, ensuring the business understands the risks and values them properly. We have traditionally been far too simplistic about how we value risk. In my May 2008 installment of the Security Watch column, entitled " Principles of Quantum Security ," I introduced a revised version of the Annual Loss Expectancy (ALE) equation used to asses risk (see Figure 2 ).
Figure 2 The revised Annual Loss Expectancy (ALE) equation
However, this is not just about valuing risk. Being a trusted advisor goes beyond that. In a future piece in this series on InfoSec Management, I will discuss risk in far more depth.

A Blueprint
At this point, we are getting closer to the true purpose of InfoSec. I argue that there are four central aspects, all rooted in the overriding principle that should guide InfoSec:
Keep Risk at an Acceptable Level The job of the InfoSec professionals, first and foremost, is to keep risk at an acceptable level. This includes the things I've discussed here—making sure the lights stay on, turning off the right lights, and generally ensuring that information is available to those who need it and not to those who do not. The core problem with keeping risk at an acceptable level is establishing what is meant by "acceptable." It turns out that acceptable is influenced by many factors, which I will discuss in a later article.
Enable the Business First and foremost, the InfoSec group is a member of the business. Your job is to enable the business, not to stop it. InfoSec professionals who view their role as being to protect the business from itself rarely experience much long-term success. They also will not be very busy as much of the business will simply avoid them and proceed without input from InfoSec, often making even more inappropriate risk management trade-offs. Once again, we are here to protect the business and help it achieve its objectives, while managing risk.
Advise on Risk InfoSec has an operational role, managing network devices, security software, and processes (such as patch management and incident response). This operational side is where InfoSec is often most visible. The part that can have the broadest impact, however, is the advisory capacity. As an advisor, InfoSec should act as an internal consulting resource, lending a security perspective to projects far and wide. This can be a very fulfilling role for InfoSec professionals who enjoy creating direct value for the company.
Establish Risk Management Policies and Processes Finally, InfoSec manages the overall information risk posture through policies and processes. That means that the InfoSec group must assess the risk to the business, establish policies, and define processes. The assessment of risk consists largely of an analysis of how the organization is managing risk and what its preferred posture should be. Based on that philosophy, InfoSec establishes a set of security policies to codify the organization's risk posture and the principles of managing them. These policies are then implemented in a set of processes to assist the organization with compliance.

Wrapping Up
In this article, I have looked at a basic blueprint for InfoSec management. The key here is to understand that InfoSec is a core part of the business and must be a trusted advisor to the rest of the business. Rather than being in conflict with the business, the InfoSec group must establish a relationship with other parts of the business to help the whole business achieve its objectives with an acceptable level of risk. Only then can InfoSec be effective.
But this is just the start of the conversation. Watch for future installments of the Security Watch column when I continue this series on Information Security Management.

Jesper Johansson is Principal Security Architect for a well-known Fortune 200 company, working on risk-based security vision and security strategy. He is also a contributing editor to TechNet Magazine. His work consists of ensuring security in some of the largest, most distributed systems in the world. He holds a Ph.D. in Management Information Systems, has more than 20 years experience in security, and is an MVP in Enterprise Security. His latest book is the Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).

Inspeção de segurança O desafio do Information Security Management, parte 1
Jesper M. Johansson


Há algum tempo agora, eu ter sido pensar sobre o desafio maior de gerenciamento de segurança das informações (InfoSec) em uma organização. Parece que a mais antiga que É exibida, o bem fora obter da tecnologia — ou, em vez disso, o mais perceber tecnologia não fundamentalmente é a solução para nossos problemas. Tecnologia, no caso de várias maneiras, é o problema. Na verdade, gerenciamento de InfoSec é quase exclusivamente sobre como evitar os tipos de problemas que obtemos em com a tecnologia.
Originalmente pensei que seria interessante de escrever um livro sobre esse tópico, mas, eventualmente, decidi que uma série de essays seria mais apropriada. E aqui é onde esses essays serão live. Sobre o próximo ano ou isso, VOU usar a coluna Security Watch para visitar, ocasionalmente, o tópico de gerenciamento de informações de segurança. Nesta primeira parte da série, examine os princípios fundamentais de gerenciamento de InfoSec.

É possível obter RID da tecnologia?
Tecnologia, para a BOM e incorreto, é inevitável hoje. Tecnologia capacita às organizações faça mais, mais rápido e eficiente. Ele também permite os criminosos fazer a mesma coisa. E, assim como muitos de nós nos campos de tecnologia deseja acreditar que tecnologia existe para o bem da tecnologia, ele não. Tecnologia existe para armazenar, processar e transmitir dados — dados que podem ser ativados em informações. Dados e as informações que derivam de ele são nossos recursos realmente importantes.
Não, como profissionais de segurança, em seguida, chamamos nos profissionais de "segurança de dados"? Tem não mais precisamente comprometidos com proteção de dados? De várias maneiras, isso é verdadeiro, mas dados são apenas uma matéria-prima. Certamente, ela tem valor por conta própria, mas ele é montar os dados e, na verdade, criar informações dele que fornece o valor. Por isso, funciona em uma camada de abstração ligeiramente acima de dados. Usarei o termo "Information" (exceto quando eu realmente deseja falar sobre matérias-primas) porque esse é o que nós finalmente ativar os dados.
Muitos profissionais de tecnologia trabalham em camadas de abstração abaixo dos dados — o bits, bytes e elétron camadas. Gostamos de tecnologia para o bem da tecnologia. Geralmente é muito por fomos para o campo de tecnologia em primeiro lugar. A tecnologia é mais confortável para nós que, por exemplo, as pessoas. No entanto, como profissionais de segurança das informações, isso é perigoso porque nós deve ter um escopo muito mais amplo que apenas tecnologia. Embora profissionais de segurança das informações devem ser especialistas em um ou mais domínios de tecnologia, deve examinar o ecossistema inteiro de tecnologia, informações, pessoas e processos — quatro pilares de segurança da informação. É necessário, pela necessidade, enfatizar todos os quatro pilares. A verdade é, no entanto, que muitas pessoas ignorar um ou mais.
Vários anos atrás, Microsoft embarcou em uma campanha de computação confiável, proclaiming que segurança é pessoas, processo e tecnologia. Muitos foram skeptical, informando que o Microsoft estava tentando deslocar o foco de tecnologias de baixa segurança para fatores não pode controlar. Que foi uma análise desleal, entretanto, considerando a segurança das soluções da Microsoft, especialmente no Windows XP SP2 e sistemas operacionais mais recentes, é realmente muito bom. Windows Vista e Windows Server 2008 e especialmente para o Windows 7 e Windows Server 2008 R2, são exemplary na maioria dos aspectos quando se trata de segurança e head e shoulders acima qualquer solução de concorrentes.
Colocar outro, kinder, foi que o mantra pessoas, processos e tecnologia foi simplesmente dizendo que profissionais InfoSec precisa considerar as pessoas e processo, também.
No entanto, o triad pessoas-processo-tecnologia falha ao levar em conta a finalidade básica de tudo o que fazemos. O processo é como as pessoas usam tecnologia para transformar dados em informações para que façam decisões.

O que É realmente proteger
Em seguida, por que é que eu digo que informações e os dados que ele é derivado do, é nosso recurso valioso somente? Obviamente, uma empresa mais tecnologicamente avançada com processos melhor é mais capaz de atingir seus objetivos daquele sem. Acho que pode levar que como um determinado. Mas do ponto de vista da segurança, processo e tecnologia são problemáticos. Tecnologia, por definição, adiciona complexidade e complexidade breeds insecurity. Componentes de um sistema devem interagir, e o número de interações exponencialmente é relacionado ao número de componentes. Cada uma dessas interações cria novos caminhos para transmitir dados, novos mecanismos para processar e novos locais de armazenamento. Todos os elementos representam possíveis áreas de vulnerabilidade, bem como pontos fracos que reduzem a nossa capacidade de visualizar a tecnologia e os problemas que ele pode representar. Menos complexo uma tecnologia, mais fácil é compreender e proteger. Na verdade, incapacidade facilmente visualizar e entender o escopo de tecnologias em uso em uma organização é uma das principais causas de problemas de segurança de informações. Como o InfoSec profissionais, deve considerar reduzindo a quantidade de tecnologia que está sendo usado, não o aumento.
Processos são também complexos, nebulous e, na maioria dos casos, não confidenciais no e deles mesmos. Um processo pode fornecer vantagem competitiva, mas um processo não pode ser copiado por si. Ele é as informações documentando o processo que pode ser copiado. Um processo é efêmero — ele desaparece. Somente por transformá-la em dados possível um copiá-lo. Isso é semelhante a música. Música existe somente temporally como nós ouvir a ele. Permitir que pessoas ouvir música repetidas, Thomas Edison inventou o phonograph (uma informação engenhosas de tecnologia que permitidos nos para registrar o processo de criação música como dados para que as pessoas podem ouvir a ele novamente e novamente).
Agora, mais de cem anos mais tarde, pessoas de morals elástica e virtue questionável roubar a representação de dados para alimentar o processo de reprodução de músicas. O setor de música, em uma tentativa com falha em impedir essa tendência, mudou para tecnologias de segurança para que obstruam o processo de recriação música. O resultado é principalmente para que seja mais difícil para seus clientes legítimos aproveitar sua música. Essa tecnologia, conhecida como gerenciamento de direitos digitais (DRM), é praticamente inútil no combate a roubo, embora seja muito bem-sucedida no combate a satisfação do cliente. Observando esse rationally, você percebe que o problema é realmente sobre como proteger informações, não processos. Em alguns casos, como em música, os dados essencialmente não podem ser protegidos, necessidade de seus proprietários para apenas aceitar esse fato e mover no.
Isso leva a um número de observações interessantes. Por exemplo, você não obstruam apenas o processo? Você não pode tornar o processo de criação de valor dos dados um segredo? Você não pode criar um algoritmo secreto, como você were? Bem, você pode, mas ele faria normalmente não boa. Máxima Claude colocar isso muito bluntly como "o inimigo sabe o sistema," uma Proclamação comumente conhecida como sou do máxima.
O que isso significa? O algoritmo próprio normalmente não permaneça secreto. O processo será tornam-se conhecido e a competitiva proveniente a dificuldade de implementar o processo. Segurança de informações novamente, deverá se concentrar na proteger as informações como o principal valioso. Proteger processos só é interessante na pois ele fornece proteção para as informações.

Dilema do Defender
Isso leva-me para "dilema do Defender". Seu trabalho é proteger todos os seus dados, incluindo onde ele está exposto em todas as interações entre os seus componentes, sob a suposição de que os bandidos saibam o sistema. Os bandidos, por outro lado, precisa encontrar apenas uma maneira de comprometa o sistema. Eles não precisam várias cópias de seus dados. Uma cópia será suficiente, independentemente de como chegarem. Assim como uma cópia de um arquivo MP3 é suficiente para fuel o ecossistema criminal todo, portanto, é uma cópia única dos dados suficiente para seus adversários. Além disso, roubo usando qualquer abordagem uma não pode ser desfeito. Não há nenhuma opção desfazer em cyberspace.
O usuário que tenta se defender, portanto, deve proteger todos os possíveis pontos. Você deve fornecer proteção adequada para dados em repouso e em vôo, em todos os dispositivos, não importa que possui os dispositivos. As obter mais informações locais são armazenadas, processadas e transmitidas, se torna o trabalho a mais difícil. A complexidade é o inimigo de segurança!
Observe o uso do termo possível. Em muitos casos, como com a tecnologia DRM, é impossível fornecer proteção por razões técnicas. Em tais casos, os defensores devem encontrar uma forma para conviver com um sistema de perdas" ou impedir que todos os acessos aos dados. Em geral, dados que são distribuídos aos adversários possíveis nunca podem ser protegidos. Se os dados precisam ser protegidos, a única maneira de fazer isso é nunca distribuí-lo.

Conflito de principais
Devido a nossa aversion natural a complexidade, a função InfoSec geralmente será percebida como uma estrada-bloco. Aqueles no campo InfoSec freqüentemente e amplamente corretamente, exibir nossos trabalhos como impedindo o acesso a itens.
O grupo InfoSec é onde você vai se desejar que seu projeto a ser eliminado. O equipe de segurança nocivo sempre irá tentar impedir que você fazer o que você deseja. Que geralmente é true e é Infelizmente, mas não porque o equipe de segurança nocivo não deve tentar reduzir a complexidade e parar idéias inválidas. É infeliz porque ele destaca uma fundamental desconectar-se entre a empresa e o grupo de segurança.

Manter as luminárias desativado
Se você já tiver estudados para um exame de segurança de informações, que, indubitavelmente, aprendeu o triad as proteções CIA — confidencialidade, integridade e disponibilidade. Ele fornece uma maneira para descrever os objetivos na proteção de informações. É necessário fornecer confidencialidade das informações contra aqueles que não deveria ter acesso a ele, integridade para garantir que as informações seja precisas e disponibilidade para aqueles que precisam acessar as informações. Conseqüentemente, alguns grupos de segurança considere muito trabalho a ser sobre como garantir que as luzes permanecer na, essa disponibilidade é garantida. Outros assuma os exatamente opostos abordagem e considere seus trabalhos para ser manter as luzes off, impedindo que qualquer pessoa, inclusive aqueles com necessidades legítimas, de acessar as informações.
Eu poderia argumentar que, se você tiver uma parceria apropriada com a empresa, o grupo de segurança pode ignorar a parte de disponibilidade a triad. A empresa tem outras pessoas que estão mais especialistas em contratos de nível de disponibilidade e o serviço. Se segurança simplesmente parceiros com eles e assegura que uma compensação adequada entre confidencialidade/integridade e disponibilidade for atingida, a função de segurança pode considerar a disponibilidade de importância secundária. Segurança passará até certo ponto sobre como garantir as luzes estão desativados e permanecem off; mas ao fazer necessidades em conta. Os negócios, da esquerda para seus próprios dispositivos, garantirá que as luzes permaneçam na. Segurança apenas precisa ajudar a empresa a garantir que somente as luzes corretas permanecer na e outros permanecem off. A segurança, de certa forma, em seguida, é um white razoável listagem função.
Essa é uma das coisas que acho mais fascinante ao trabalhar com outras pessoas de segurança. Nós movimentar em uma reunião com os executivos da empresa. Os executivos que dizer "precisamos para ajudar a seguro nosso produto." O equipe de segurança dizer "Tudo bem, diga-me sobre o produto." O pessoal de negócios dizer "é um widget"; momento em que a segurança equipe imediatamente iniciar informando-os como proteger widgets.
O que está faltando aqui? Com certeza, o equipe de segurança tentou saber qual foi o produto. Mas o que é o objetivo de negócios? O que é a empresa tentando atingir com este widget? Como valioso é para os negócios? Como estratégico é ele? Importante como é? Quanto risco é a empresa disposto a aceitar fazê-lo feito? O pessoal de negócios ainda deseja compilá-lo?
O grupo de segurança portanto raramente sabe a empresa. O pessoal de segurança ainda fingir entender para eles podem informar a empresa como fazer coisas. Não é nosso trabalho como os profissionais de InfoSec a informar o resto da organização como um negócio. Ele é simplesmente nosso trabalho para informar a empresa como o conjunto correto de luzes para ativar e quais devem fique logoff, de acordo com suas necessidades e de tolerância da empresa para o risco. Estamos suporte e informar a empresa sobre como atingir seus objetivos com um nível aceitável de riscos — mas os negócios, não pelo grupo InfoSec ainda pertencem os objetivos.

Quando você esquecer de segurança das informações
Por fim, chegaram ao risco. InfoSec é realmente gerenciamento de informações de riscos. É gerenciar o risco aos nossos ativos de informações. Ou, pelo menos deveriam. Mas em muitos casos, nós simplesmente não podem. A segurança é uma venda de rígido, na verdade, porque a cabeça portanto, não está claro. O que, afinal, é a vantagem de segurança? O que é que constitui o sucesso? É simplesmente "não obter hacked deste ano?" Você nunca poderá fazer essa instrução e ter certeza de ele está correto — você pode foram um, mas falhou ao Observe. Na verdade, a falha em investir suficiente dinheiro e tempo em InfoSec é uma boa realmente maneira para garantir que você não perceberá quando você estiver atacada.
Há muitas conseqüências potenciais de negligenciando InfoSec e, em alguns casos, uma falta appalling de conseqüências. Em algumas áreas, negligenciar pode causar a perder seu trabalho ou resultar em encargos criminais. Falha em proteger a privacidade dos filhos, por exemplo, é criminal nos Estados Unidos dos filhos on-line Privacy Protection Act (COPPA) e em outros países, como no Canadá e a Austrália, em estatutos nacionais.
Para uma empresa que se baseia na relação de confiança do cliente e onde os clientes localizá-lo claro que há um risco, segurança é um custo de fazer negócios. Em um mundo onde as pessoas estiverem nervosos e custos comutação serão insignificante, uma única violação pode condenar uma empresa. Uma violação de principal e muito pública única no mundo das transações bancárias online, por exemplo, poderia provavelmente ser suficiente para definir online banco volta anos.
Isso, no entanto, não parece armazenar em outras indústrias. Levar o TJX empresas ou o Heartland, o processador de cartão de crédito, por exemplo. Mesmo após appalling níveis de negligenciar para segurança levou o roubo dos cartões de crédito de praticamente qualquer americano que tenha uma dessas placas, as empresas ainda estão na empresa. A violação TJX foi feita pública no início de 2007. Esse mesmo ano, PRESIDENTE da empresa, Bernard Cammarata, aproveitado um salário de $911,539 mais sobre $ 1.6 milhões em estoque e outra compensação. O presidente da empresa, Meyrowitz Carol, acumulado um posh $ 7,5 milhões ao supervisionar a organização que habilitado o roubo de cartão de crédito maior no histórico e, em seguida, ao observar quando ele aconteceu — uma figura que pales em comparação com o custo por seus clientes e suas empresas de cartão de crédito. O custo exato de violação Heartland é incorreto como da elaboração deste documento. No entanto, eu não ter nenhuma dúvida que seu gerenciamento executivo irá ser handsomely recompensado para a forma valiant que ele lidado com uma crise que era totalmente avoidable tinha simplesmente implementou as medidas de segurança informações mais básicas. Negligenciar e rationalization ainda são vantagens em muito muitas empresas. Claramente, é ter uma forma longa para ir quando se trata a responsabilidade para InfoSec.

Responsabilidade no nível do governo
No tópico de responsabilidade, eu recomendo que você leia o relatório no centro para estratégico & internacional estudos (CSIS) intitulado" Protegendo Cyberspace para o Presidency 44th ." O relatório, que foi publicado em dezembro de 2008, foi escrito por dos EUA Representantes James r Langevin e Michael T. McCaul, juntamente com o Microsoft VP de computação confiável, Scott Charney e Tenente geral Jaime Raduege, USAF (resposta.). O objetivo era dispor de uma estratégia para a administração de Obama entrada ao redor cybersecurity. Mais interessante, no entanto, é a avaliação crítica de como cybersecurity foi inativa sob a administração anterior; o relatório afirma que "cybersecurity é agora um problema de segurança nacional principais para os Estados Unidos."
Curiosamente, o relatório defende uma posição longo em oposição pela indústria de software, com o Microsoft no forefront do opposition: o uso de aquisição regras para conduzir uma direção desejada em produtos de tecnologia de informações — especificamente o software. O relatório não mince palavras quando detalhando como importante que isso é. Ele aponta especificamente out que cybersecurity é uma "batalha nós está perdendo." Além disso, ela diz "cybersecurity fraco dilutes nossos investimentos em inovação ao subsidizing os esforços de pesquisa e desenvolvimento de concorrentes externos." Ele é não alongue para tomar essa mesma instrução e aplicá-la a InfoSec esforços praticamente qualquer organização.

A Figura 1 você realmente precisa assinar seus cartões de crédito?
Aceitação inadequada de riscos
Muitas das falhas vêm de uma aceitação inadequada do risco. Os usuários tendem a subestime riscos e overestimate os benefícios. É particularmente subestime riscos em áreas que achamos difícil de entender, como cyberspace. É muito facilmente pode visualizar riscos físicos. A maioria das pessoas bloquear seus carros, mesmo que a desvantagem potencial de roubo de um carro seja um dedutível seguro r$ 500,00 e sendo inconvenienced por alguns dias. É bloquear as portas para nossas casas, mesmo em locais onde burglaries são muito raros. No entanto, nós lançar instruções banco no lixo, entregando os criminosos literalmente todas as informações necessárias para roubar tudo o que é proprietário. Nós assinar o faz de nossos cartões de crédito e armazená-los juntamente com nossos checkbooks. Reunir esses ingredientes e um criminoso tem tudo de que ele precisa para Esvaziar sua conta corrente. É por esse motivo que se meus cartões de crédito parecem com o cartão mostrado na Figura 1 .
Um dos aspectos mais importantes do gerenciamento de InfoSec é ter uma percepção precisa de risco. É aí que o grupo InfoSec entra no. É nesse grupo de comunicado principal para ajudar a empresa a compreender os riscos está aceitando, garantindo a empresa entende os riscos e valores-los corretamente. Tradicionalmente foi muito simples sobre como nós valor risco. Em minha edição de maio de 2008 da coluna Security Watch, intitulado" Princípios de segurança de quantum " Apresentei uma versão revisada da equação expectativa de perda anual (EPA) usada para asses risco (consulte a Figura 2 ).
A Figura 2 A equação de expectativa de perda anual (EPA) revisado
No entanto, isso não é apenas sobre atribuir valores a risco. Sendo um consultor confiável vai além do. Em um pedaço futuro nesta série sobre o gerenciamento de InfoSec, discutirei risco em profundidade muito mais.

Um Blueprint
Neste ponto, está obtendo mais perto o verdadeiro objetivo InfoSec. Eu argumentar que há quatro aspectos centrais, todos os enraizada no princípio de substituição que deve orientar o InfoSec:
manter o risco em um nível aceitável O trabalho de profissionais InfoSec, primeiro e foremost, é manter o risco em um nível aceitável. Isso inclui os itens já discutidos aqui, certificando-se as luzes permanecer, desativando as luzes à direita, e geralmente garantir essa informação está disponível para quem precisa e não para aqueles que não. O principal problema mantendo o risco em um nível aceitável é estabelecer o que significa "aceito". Acontece que aceitável é influenciada por vários fatores, que discutirei em um artigo posterior.
Ativar a empresa Primeiro e foremost, o grupo de InfoSec é um membro da empresa. Seu trabalho é permitir a empresa, não interrompê-lo. Profissionais de InfoSec que exibirem a sua função como sendo a impedir o negócio próprio raramente experiência muito sucesso a longo prazo. Eles também não será muito ocupados como grande parte os negócios simplesmente evitá-los e continuar sem entrada de InfoSec, geralmente fazendo o gerenciamento de risco ainda mais inadequado trade-offs. Uma vez, estamos aqui proteger a empresa e ajudá-lo a atingir seus objetivos, ao gerenciamento de riscos.
informar sobre riscos InfoSec tem uma função de operação, gerenciamento de dispositivos de rede, software de segurança e processos (como o patch gerenciamento e incidente resposta). Este lado operacional é onde InfoSec é geralmente mais visíveis. A parte que pode ter o impacto mais amplo, no entanto, é a capacidade de comunicado. Como um consultor, InfoSec deve agir como um recurso interno de consultoria, empréstimo de uma perspectiva de segurança para projetos e muito grande. Isso pode ser uma função muito gratificante para profissionais de InfoSec que aproveite a criação direta de valor para a empresa.
estabelecer diretivas de gerenciamento de riscos e processos Finalmente, o InfoSec gerencia a postura de risco geral do informações através de diretivas e processos. Que significa que o grupo InfoSec deve avaliar os riscos aos negócios, estabelecer diretivas e definir processos. A avaliação de riscos consiste basicamente uma análise de como a organização está Gerenciando riscos e o que deve ser sua postura preferencial. Com base no que filosofia, o InfoSec estabelece um conjunto de diretivas de segurança para codify postura de risco da organização e os princípios de gerenciá-las. Essas diretivas, em seguida, são implementadas em um conjunto de processos para ajudar a organização com a conformidade.

Quebra automática para cima
Neste artigo, eu ter examinamos uma estrutura básica para o gerenciamento de InfoSec. A chave aqui é entender que o InfoSec é uma parte principal da empresa e deve ser um consultor confiável ao resto da empresa. Em vez de estar em conflito com a empresa, o grupo InfoSec deve estabelecer uma relação com outras partes da empresa para ajudar a empresa inteira atingir seus objetivos com um nível aceitável de riscos. Só então o InfoSec possível eficaz.
Mas isso é apenas o início da conversação. Procure prestações futuras da coluna Security Watch quando eu continuar desta série no gerenciamento de informações de segurança.

Jesper Johansson é arquiteto de segurança principal para uma empresa de 200 empresas da lista Fortune conhecida, trabalhando em visão de segurança com base em risco e estratégia de segurança. Ele também é editor colaborador da TechNet Magazine. Seu trabalho consiste em garantir a segurança em alguns dos sistemas do mundo maiores, mais distribuídos. Ele contém o título de Ph.d. em sistemas de informações de gerenciamento, tem mais de 20 anos experiência em segurança e é um MVP em segurança da empresa. Seu livro mais recente é o Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).

Page view tracker