Sicherheit: Schärfen des Bewusstseins für Sicherheitsaspekte

Es ist nicht genug, um die aktuellsten Antiviren-Software oder Firewall. Für eine sichere Infrastruktur ist es auch wichtig, dass Sie Ihre Mitarbeiter entsprechend schulen.

John Vacca

Adaptiert von "Computer and Information Security Handbook" (Elsevier Science & Technik-Bücher)

Genauso wie mit einer robusten, sicheren Umgebung ein dynamischer Prozess ist, ist es auch dynamisch, erstellen ein hoch qualifiziertes Personal von Sicherheitsexperten. Es ist wichtig zu beachten, dass obwohl technische Infrastruktur einer Organisation nicht häufig ändern könnte, neue Sicherheitslücken entdeckt sind und neue Angriffe, auf einer täglichen Basis gestartet werden.

Nur wenige Organisationen haben eine stagnierende Infrastruktur. Mitarbeiter fordern ständig neuen Software. Und weitere Technologien werden hinzugefügt, in dem Bemühen um Effizienz zu verbessern. Jeder Neuzugang wahrscheinlich fügt zusätzliche Sicherheitsrisiken.

Es ist wichtig für die IT-Mitarbeiter darauf vorbereitet sein, erkennen und reagieren auf neue Bedrohungen und Schwachstellen. Interessenten an einer tiefen Sicherheit Verständnis sollte mit einem Hersteller-neutrale-Programm starten. Ein Hersteller-neutrale-Programm konzentriert sich auf Konzepte, anstatt spezifische Produkte.

Das SANS-Institut bietet zwei einleitende Programme: Einführung in die Informationssicherheit, einer fünf-Tage-Klasse für Menschen, die gerade erst in dem Gebiet der Sicherheit und der SANS Security Essentials Bootcamp, einer sechs-Tage-Klasse für Menschen mit einiger Sicherheit-Erfahrung. Jede Klasse gibt es auch als Selbststudium Programm und Vorbereitung auf die spezifische Zertifizierung verwendet werden können.

Eine andere Möglichkeit ist, mit einem Programm zu starten, die die CompTIA Zertifizierung Sicherheitsanforderungen, wie die Global Knowledge Grundlagen der Informationssicherheit folgt. Sobald Sie einen guten fundamentalen Hintergrund in Sicherheit haben, sollten Sie dann herstellerspezifische die Konzepte, die auf spezifische Anwendungen gelernt und Sicherheitseinrichtungen genutzt in der Arbeitswelt anzuwenden geschult.

Eine großartige Ressource für mit aktuellen Trends in Sicherheit zu halten ist eine sicherheitsrelevante Handelsorganisation aktiv beteiligt werden. Hier das Schlüsselkonzept ist aktiv. Viele Fachleute beitreten Organisationen, damit sie ein Element zum Abschnitt "Mitgliedschaften" von ihren Lebenslauf hinzufügen können.

Als "aktiv" bedeutet Teilnahme an regelmäßigen Treffen, serviert in einem Ausschuss oder in einer Führungsposition. Obwohl dies eine gewaltige Zeiteinsatz scheint, ist der Vorteil ein professionelles Netzwerk von Ressourcen zur Verfügung zu geben Einblick, dienen als Resonanzboden oder Hilfe zu leisten, wenn ein Problem auftritt. Teilnehmen an dieser Verbände ist eine kostengünstige Möglichkeit, mit aktuellen Sicherheits-Trends und Themen auf Touren zu bringen.

Diese Organisationen können hilfreich sein:

  • ASIS International: Dies ist die größte sicherheitsrelevanter Organisation in der Welt. Es konzentriert sich hauptsächlich auf physische Sicherheit, sondern hat vor kurzem begonnen, Adressierung sowie die Sicherheit des Computers.
  • ISACA: Ehemals Information Systems Audit and Control Association.
  • High-Tech Crime Investigation Association (HTCIA)
  • Information Systems Security Association (ISSA)
  • InfraGard: Es ist eine gemeinsame öffentliche und private Organisation gesponsert von das Federal Bureau of Investigation (FBI)

Zusätzlich zu monatlichen Sitzungen erkannten viele Ortsgruppen von diesen Organisationen-Sponsor-Regionalkonferenzen, die sind in der Regel preiswert und auf nationaler Ebene zu gewinnen Experten.

Betrachten Sie die Zertifizierung

Wohl ist eine der besten Möglichkeiten, um festzustellen, ob ein Mitarbeiter eine starke Verständnis für Information-Security-Konzepte, wenn sie die Zertifizierung Certified Information Systems Security Professional (CISSP) erreichen kann. Kandidaten für diese Zertifizierung sind auf ihr Verständnis der folgenden 10 wissen Domains getestet:

  1. Zugriffskontrolle
  2. Anwendungssicherheit
  3. Business Continuity und Disaster Recovery-Planung
  4. Kryptographie
  5. Informationssicherheit und Risikomanagement
  6. Gesetzliche Regelungen, Compliance und Untersuchungen
  7. Operationen-Sicherheit
  8. Objektschutz (Umwelt-)
  9. Sicherheitsarchitektur und Design
  10. Telekommunikations- und Netzwerk-Sicherheit

Was diese Zertifizierung so wertvoll macht, ist, dass der Kandidat mindestens fünf Jahre Berufserfahrung im Bereich Sicherheit Informationen oder vier Jahre Erfahrung und einen Hochschulabschluss haben muss. Um die Zertifizierung zu erhalten, ist eine zertifizierte Person benötigt, um 120 Stunden professionelle Weiterbildung während des Drei-Jahres-Zertifizierung-Zyklus zu besuchen. Dadurch wird sichergestellt, dass Leute, die halten der CISSP-Anmeldeinformationen in Sicherheit mit aktuellen Trends auf dem Laufenden bleiben. Die CISSP-Zertifizierung unterliegt International Information Systems Security Certification Consortium, auch bekannt als (ISC)2.

"Outside the Box" denken

Für die meisten Unternehmen geht die Bedrohung ihrer geistigen Güter und technische Infrastruktur vor den "bösen Jungs" sitzt davor und ihrer Organisationen versucht, zu brechen. Diese Organisationen schaffen starke Perimeterverteidigung, die im wesentlichen "Boxen in" ihr Vermögen.

Interne Mitarbeiter haben jedoch Zugriff auf geschützte Informationen, die sie benötigen für ihre Arbeit benötigen. Oft verbreiten sie diese Informationen, um Bereiche, in denen es nicht mehr unter der Kontrolle des Arbeitgebers. Diese Daten erfolgt in der Regel nicht mit jedem bösen Absichten, aber für Mitarbeiter, die Zugriff auf Daten haben, also sie können führen Sie einfach ihre Aufgaben effizienter. Jedoch wird dies ein Problem, wenn ein Mitarbeiter verlässt und die Organisation keine Schritte übernimmt zu sammeln oder ihre Eigentumsrechte im Besitz von ihren jetzt Ex-Mitarbeiter zu kontrollieren.

Eine der am häufigsten übersehenen Bedrohungen des geistigen Eigentums ist das harmlos und jetzt allgegenwärtige USB flash Drive. Diese Geräte, die Größe einer Röhre bei Lippenstift, sind die heutigen Diskette in Bezug auf tragbaren Datenspeicher. Sie sind eine bequeme Möglichkeit zur Übertragung von Daten zwischen Computern.

Der Unterschied zwischen diesen Geräten und eine Diskette ist, dass eine große Menge von Daten von USB-Sticks gespeichert werden können. Ein 16GB USB-Stick hat die gleiche Speicherkapazität als mehr als 10.000 Disketten. Du kannst einen 16 GB USB-Stick kaufen, für weniger als $15. Denken Sie daran, dass wie die Zeit vergeht, die Kapazität dieser Geräte erhöht und der Preis sinkt, macht sie äußerst attraktiv.

Diese Geräte sind nicht die einzige Bedrohung für Daten. Weil andere Geräte über den USB-Port, Digitalkameras, MP3-Player an den Computer angeschlossen werden können und externe Festplatten können auch entfernen von Daten aus einem Computer und das Netzwerk, mit dem er verbunden ist. Erkennen die meisten Menschen würden, dass externe Festplatten eine Bedrohung, aber würden sie Kameras und MP3-Player und andere Geräte als Bedrohung erkennen?

Kameras und Musik-Player dienen dazu, Bilder und Musik speichern, aber auf einen Computer sind sie einfach zusätzliche Massenspeichergeräte. Es ist schwierig für Leute zu verstehen, dass ein iPod Textverarbeitungsdokumente, Datenbanken und Tabellenkalkulationen, sowie Musik tragen kann. Glücklicherweise verfolgt Microsoft Windows die Geräte, die an ein System im Registrierungsschlüssel HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor angeschlossen. Sie erweisen interessant in diesem Schlüssel auf dem eigenen Computer zu sehen, welche Geräte angeschlossen sind.

Windows Vista verfügt über einen zusätzlichen Schlüssel, dass Spuren Geräte angeschlossen: HKEY_Local_Machine\Software\Microsoft\Windows Portable Devices\Devices.30. Analyse der Registrierungs ist eine gute Möglichkeit, die Aktivitäten der Computerbenutzer zu untersuchen. Die Registrierung ist jedoch für viele schwer zu navigieren und zu interpretieren. Wenn Sie interessiert, mehr über die Registry zu verstehen sind, möchten Sie downloaden und spielen Sie mit Harlan Carveys RegRipper.

Eine weitere Bedrohung für Informationen, die Daten außerhalb der Mauern der Organisation tragen können ist die Vielzahl von handheld-Geräten. Viele dieser Geräte haben die Möglichkeit, e-Mails senden und empfangen sowie erstellen, speichern und übermitteln, Textverarbeitung, Tabellenkalkulation und PDF-Dateien.

Obwohl die meisten Arbeitgeber für ihre Mitarbeiter diese Geräte kaufen wird nicht, sind sie mehr als glücklich, ihre Mitarbeiter, ihre persönlich-prozentige Geräte mit ihren Firmencomputern synchronisieren zu lassen. Kontakt Kundeninformationen, Business-Pläne und andere Materialien können problemlos von einem System kopiert werden.

Einige Unternehmen glauben, dass sie diese Bedrohung unter Kontrolle haben, weil sie ihre Mitarbeiter mit unternehmenseigenen Geräten bieten und sie diese Geräte sammeln können, wenn Mitarbeiter ihren Arbeitsplatz verlassen. Das einzige Problem mit dieser Haltung ist, dass Mitarbeiter leicht kopieren können Daten von den Geräten auf ihren Heimcomputern bevor die Geräte zurückgegeben werden.

Aufgrund der Bedrohung von portablen Datenträgern und handheld-Geräte ist es wichtig für eine Organisation, Politik, die Gliederung der vorbildliche Verwendung dieser Geräte herzustellen. Es ist auch ratsam, eine Lösung der Enterprise-Klasse zu kontrollieren wie, implementieren, oder wenn Sie Daten darauf kopieren können.

Eine Kultur der Sicherheit entwickeln

Ist eines der größten Sicherheit Vermögenswerte eines Unternehmens eigene Mitarbeiter, aber nur, wenn sie ordnungsgemäß zur Einhaltung von Sicherheitsrichtlinien und potenzielle Sicherheitsprobleme identifiziert ausgebildet habe. Viele Mitarbeiter verstehen nicht die Bedeutung der verschiedenen Sicherheitsrichtlinien und Implementierungen. Sie betrachten diese Politik nichts anderes als ein Nachteil. Die Unterstützung und Loyalität der Mitarbeiter zu gewinnen, braucht Zeit, aber es ist gut investierte Zeit.

Zunächst einmal sorgfältig die Gründe für alle Security-Prozesse zu erklären. Einer der Gründe könnte sein, um die Produktivität der Mitarbeiter, sondern in erster Linie auf die Fragen der Sicherheit zu gewährleisten. Nicht genehmigte Software herunterladen und installieren können bösartige Software installieren, der Benutzersysteme, verursacht Computer langsam oder überhaupt nicht funktionieren infizieren können.

Während die meisten Mitarbeiter verstehen das Öffnen von unbekannten oder unerwarteten e-Mail-Anlagen zu einer Malwareinfektion führen können, die meisten sind die erweiterten Funktionen der jüngsten Schadcode nicht bewusst. "Advanced Persistent Threat", oder die Fähigkeit eines Systems weiterhin infizierte trotz der sorgfältigen Verwendung von antivirus-Programme, ist ein großes Problem geworden. Mitarbeiter müssen jetzt verstehen, dass willkürliche Web-Surfen "Drive-by" Malware-Installationen führen kann.

Vielleicht ist der direkteste Weg um Mitarbeiter zu gewinnen, lassen Mitarbeiter wissen, dass das Geld benötigt, um auf Angriffe zu reagieren und Fehler zu beheben, initiiert durch Benutzer Ergebnisse in Geld für Erhöhungen und Aktionen nicht verfügbar. Mitarbeiter, die wissen, dass sie etwas "Haut im Spiel" zu lassen, ist eine Möglichkeit, diese Sicherheitsmaßnahmen beteiligen.

Ist ein Budget für die Reaktion auf Sicherheit Probleme und Mitarbeitern Hilfe Aufenthalt nun im Rahmen des Budgets beiseite, könnte der Unterschied zwischen das Geld ausgegeben und dem tatsächlichen Haushalt unter Mitarbeiter als Bonus aufgeteilt. Nicht nur wäre Mitarbeiter eher oben zu sprechen, wenn sie Netzwerk- oder Verlangsamungen bemerkt, wahrscheinlich eher fremden Wanderung durch die Anlage zu stellen wären.

Ein anderer Mechanismus, der Sicherheit Verbündeten gewinnen kann ist über die angemessene Sicherheitsmechanismen zum Schützen von Heimcomputern zu beraten. Auch wenn einige dies möglicherweise nicht angezeigt als direkt profitieren das Unternehmen, denken Sie daran, dass viele Mitarbeiter Unternehmensdaten auf ihren Heimcomputern haben. Diese Ratschläge kommen vom live-Präsentationen oder Newsletter.

Das Ziel dieser Aktivitäten ist es, Mitarbeiter, Management oder Security-Team freiwillig Ansatz zu fördern. Wenn dies regelmäßig geschieht, haben Sie erweitert die Funktionen des Ihr Sicherheitsteam und erstellt eine viel sicherere Organisation.

John Vacca

John Vacca ist Informationen Technologieberater, professioneller Schriftsteller, Redakteur, Prüfer und international bekannten Bestseller-Autor, Sitz in Pomeroy, Ohio.Er verfasste mehr als 50 Titel in den Bereichen der erweiterten Speicher, Computersicherheit und Luft-und Raumfahrttechnik.Vacca war auch ein Configuration-Management-Spezialist, Computer-Spezialist und der Computer Sicherheit Beamte (CSO) für NASA Raumstation (Freiheit) und das internationale Raumstation Programm von 1988 bis zu seiner Emeritierung von der NASA im Jahr 1995.

Schauen Sie für weitere Informationen zu dieser und anderen Titeln von Elsevier, Elsevier Science & Technik Bücher.

Verwandte Inhalte