Seguridad: Entrénese para la seguridad

No es suficiente para tener el último software antivirus o cortafuegos. Para garantizar una infraestructura segura, también debe entrenar al personal.

John Vacca

Adaptado de "Computadoras y manual de seguridad de la información" (Elsevier Science & Libros de tecnología)

Así como tener un ambiente seguro, robusto es un proceso dinámico, creando un personal altamente calificado de profesionales de la seguridad también es dinámico. Es importante tener en mente que aunque la infraestructura técnica de la organización no puede cambiar eso con frecuencia, se descubren nuevas vulnerabilidades y nuevos ataques son lanzados sobre una base diaria.

Muy pocas organizaciones tienen una infraestructura estancada. Los empleados piden constantemente nuevo software. Y se añaden más tecnologías en un esfuerzo por mejorar la eficiencia. Cada nueva adición probable agrega vulnerabilidades de seguridad adicional.

Es importante para el personal que estar preparados para identificar y responder a vulnerabilidades y amenazas nuevas. Los interesados en obtener una comprensión profunda de seguridad deben comenzar con un programa vendor-neutral. Un programa de proveedor neutral se centra en conceptos más productos específicos.

El Instituto SANS ofrece dos programas de introducción: Introducción a la seguridad de la información, una clase de cinco días diseñada para las personas en el campo de seguridad y los SANS Security Essentials Bootcamp, una clase de seis días diseñada para personas con alguna experiencia en seguridad. Cada clase está también disponible como un programa de auto-estudio, y cada uno puede usarse para preparar una certificación específica.

Otra opción es comenzar con un programa que sigue los requisitos de certificación CompTIA Security, tales como Global conocimientos esenciales de seguridad de la información. Una vez que tienes una buena base fundamental en la seguridad, entonces debe someterse a entrenamiento específico de proveedor para aplicar los conceptos aprendidos para aplicaciones específicas y dispositivos de seguridad utilizados en el entorno laboral.

Es un gran recurso para mantenerse al día con las tendencias actuales en seguridad a involucrarse activamente en una organización de comercio relacionados con la seguridad. El concepto clave aquí participa activamente. Muchos profesionales de afiliarse a organizaciones para que estas pueden añadir un elemento a la sección de "afiliaciones profesionales" de su currículum vitae.

Ser "activamente" significa que asisten a las reuniones regulares, sirviendo en un Comité o un cargo ejecutivo. Aunque esto parece ser un compromiso de tiempo de enormes proporciones, el beneficio es una red profesional de los recursos disponibles para proporcionar la penetración, servir como una caja de resonancia o proporcionar asistencia cuando surja un problema. Participar en estas asociaciones es una forma rentable de ponerse al día con los problemas y las tendencias actuales de seguridad.

Estas organizaciones pueden resultar útiles:

• ASIS International: Esta es la mayor organización relacionadas con la seguridad en el mundo. Se centra principalmente en la seguridad física, pero recientemente ha comenzado a abordar la seguridad informática como bien.
• ISACA: Anteriormente la auditoría de sistemas de información y Control Association.
• Asociación de investigación de crimen de alta tecnología (HTCIA)
• Information Systems Security Association (AISS)
• InfraGard: Esta es una organización pública y privada conjunta patrocinada por la Oficina Federal de investigaciones (FBI)

Además de las reuniones mensuales, muchos capítulos locales de estas conferencias regionales patrocinador organizaciones que tienen un precio generalmente razonable y atraen nacionalmente reconocieron a expertos.

Considerar la certificación

Podría decirse que es una de las mejores maneras de determinar si un empleado tiene una fuerte comprensión de conceptos de seguridad de la información si puede lograr la certificación certificado información Systems Security Professional (CISSP). Los candidatos a esta certificación son probados en su comprensión de los siguientes 10 dominios de conocimiento:

1. Control de acceso
2. Seguridad de las aplicaciones
3. Continuidad del negocio y Disaster Recovery Planning
4. criptografía
5. Seguridad de la información y gestión del riesgo
6. Las investigaciones, cumplimiento de normas y regulaciones legales
7. Las operaciones seguridad
8. Seguridad física (ambiental)
9. Diseño y arquitectura de seguridad
10. Las telecomunicaciones y la seguridad de la red

Lo que hace tan valioso a esta certificación es que el candidato debe tener un mínimo de cinco años de experiencia profesional en el campo de la seguridad de información o de cuatro años de experiencia y un título universitario. Para mantener la certificación, es necesaria una persona certificada para asistir a 120 horas de formación profesional durante el ciclo de tres años la certificación continua. Esto asegura la gente sostiene la credencial CISSP vas a quedar al día con las tendencias actuales en seguridad. La certificación CISSP es gobernada por el International Information Systems seguridad certificación Consortium, también conocido como (ISC)2.

Pensar 'fuera de la caja'

Para la mayoría de las empresas, la amenaza a sus activos intelectuales e infraestructura técnica proviene de los "chicos malos" sentado afuera de sus organizaciones, tratando de entrar. Estas organizaciones establecen la defensa del perímetro fuerte, esencialmente "acorralando" sus activos.

Sin embargo, los empleados tienen acceso a información confidencial que necesitan para hacer su trabajo. Ellos a menudo difusión esta información a las áreas donde ya no esté bajo el control del empleador. Estos datos generalmente no se hace con cualquier mala intención, sino simplemente para que los empleados tienen acceso a datos que pueden llevar a cabo sus responsabilidades de trabajo más eficientemente. Sin embargo, esto se convierte en un problema cuando un empleado sale y la organización no camina para recoger o controlar su información confidencial en la posesión de su ahora ex empleado.

Una de las amenazas a la propiedad intelectual más alto es el inofensiva y ahora omnipresente unidad flash USB. Estos dispositivos, el tamaño de un tubo de lápiz labial, son el disquete del moderno-día en términos de almacenamiento de datos portátil. Son una manera conveniente para transferir datos entre ordenadores.

La diferencia entre estos dispositivos y un disquete es que las unidades flash USB pueden almacenar una gran cantidad de datos. Una unidad flash USB de 16GB tiene la misma capacidad de almacenamiento que más de 10.000 disquetes. Usted puede comprar una unidad flash USB de 16GB por menos de $15. Tenga en cuenta que a medida que pasa el tiempo, la capacidad de estos dispositivos aumentará y disminuirá el precio, haciéndolos extremadamente atractivo.

Estos dispositivos no son la única amenaza a los datos. Porque otros dispositivos pueden conectarse a la computadora a través del puerto USB, cámaras digitales, reproductores de MP3 y discos duros externos también pueden eliminar datos de una computadora y la red a la que está conectado. ¿Mayoría de la gente reconocería que los discos duros externos representan una amenaza, pero se reconocen las cámaras y reproductores de MP3 y otros dispositivos como una amenaza?

Cámaras y reproductores de música están diseñados para almacenar imágenes y música, pero a una computadora son dispositivos de almacenamiento masivo simplemente adicional. Es difícil que la gente entienda que un iPod puede llevar documentos de procesamiento de textos, bases de datos y hojas de cálculo, así como la música. Afortunadamente, Microsoft Windows pistas de los dispositivos conectados a un sistema en la clave de registro HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor. Podría resultar interesante ver en esta llave en su propia computadora para ver qué tipo de dispositivos se han conectado.

Windows Vista tiene una clave adicional que pistas dispositivos conexión: HKEY_Local_Machine\Software\Microsoft\Windows Devices\Devices.30 portátil. Analizar el registro es una gran manera de investigar las actividades de los usuarios de computadoras. Para muchos, sin embargo, el registro es difícil de navegar e interpretar. Si usted está interesado en conocer más sobre el registro, tal vez quieras descargar y jugar con RegRipper de Harlan Carvey.

Otra amenaza a la información que puede transportar datos fuera de los muros de la organización es la plétora de dispositivos portátiles. Muchos de estos dispositivos tienen la capacidad de enviar y recibir correo electrónico, así como crean, almacenan y transmiten, procesamiento de textos, hojas de cálculo y archivos PDF.

Aunque la mayoría de los empleadores no compra estos dispositivos para sus empleados, están más que felices de dejar que sus empleados sincronizar sus dispositivos propiedad personalmente con sus equipos corporativos. Información de contacto del cliente, planes de negocio y otros materiales pueden copiarse fácilmente de un sistema.

Algunas empresas sienten que tienen esta amenaza bajo control porque ofrecen a sus empleados con dispositivos corporativos y pueden recoger estos dispositivos cuando los empleados abandonar su empleo. El único problema con esta actitud es que los empleados pueden fácilmente copiar datos desde los dispositivos sus ordenadores antes de que los dispositivos son devueltos.

Debido a la amenaza de dispositivos de almacenamiento de datos portátiles y dispositivos de mano, es importante para una organización a establecer políticas sobre el uso aceptable de estos dispositivos. También es aconsejable implementar una solución de nivel empresarial para controlar cómo, cuando o si puede copiar datos en ellos.

Desarrollar una cultura de seguridad

Uno de los mayores activos de seguridad es un asunto tener empleados, pero sólo si debidamente entrenados para cumplir con las políticas de seguridad e identificar posibles problemas de seguridad. Muchos empleados no comprenden el significado de varias políticas de seguridad e implementaciones. Consideran que estas políticas no es más que una molestia. Ganando el apoyo y la lealtad de los empleados lleva tiempo, pero es tiempo bien invertido.

Comienzan explicando cuidadosamente las razones detrás de los procesos de seguridad. Una de las razones podría ser asegurar la productividad de los empleados, pero centrarse principalmente en las cuestiones de seguridad. Descargar e instalar software no aprobado pueden instalar software malicioso que puede infectar los sistemas de usuario, causando computadoras funcionar lentamente o en absoluto.

Mientras que la mayoría de los empleados entienden esa apertura desconocidos o inesperados archivos adjuntos de correo electrónico pueden conducir a una infección viral, la mayoría no es consciente de las capacidades avanzadas de reciente código malicioso. "Amenaza persistente avanzada", o la capacidad de un sistema a permanecer infectado a pesar del uso diligente de programas antivirus, se ha convertido en un problema importante. Los empleados ahora necesitan entender que indiscriminada navegación por la Web puede resultar en "drive-by" instalaciones de malware.

Tal vez es la vía más directa para obtener el apoyo de empleados a los empleados el dinero necesario para responder a los ataques y solucionar problemas iniciados por los resultados de los usuarios en dinero disponible para aumentos salariales y promociones. Dejar que los empleados saben que tienen algo de "piel en el juego" es una forma de involucrarlos en los esfuerzos de seguridad.

Si hay un presupuesto reservado para responder a la estancia de seguridad problemas y empleados de ayuda dentro del presupuesto, la diferencia entre el dinero y el presupuesto real podría dividirse entre los empleados como un bono. No sólo sería más probables que hablar si se dieron cuenta de ralentización del sistema o red, probablemente serían más probables hacer frente a los extraños deambulando por las instalaciones de los empleados.

Otro mecanismo que puede ganar a aliados de seguridad es proporcionar asesoramiento sobre los mecanismos de seguridad adecuados para proteger ordenadores domésticos. Aunque algunos no podrían ver esto como beneficiando directamente a la empresa, tenga en cuenta que muchos empleados tienen datos corporativos en sus ordenadores domésticos. Este Consejo puede provenir de presentaciones en vivo o un boletín informativo.

El objetivo de estas actividades es alentar a los empleados acercarse voluntariamente gestión o el equipo de seguridad. Cuando esto ocurre sobre una base regular, habrá ampliado las capacidades de su equipo de seguridad y creó una organización mucho más segura.

John Vacca es un consultor de tecnología de información, escritor profesional, editor, crítico e internacionalmente conocido autor best-seller basado en Pomeroy, Ohio.Es autor de más de 50 títulos en las áreas de almacenamiento de información avanzado, seguridad informática y tecnología aeroespacial.Vacca fue también un especialista en gestión de la configuración, especialista en computación y el funcionario de seguridad del ordenador (CSO) para el programa de estación espacial de la NASA (la libertad) y el programa de estación espacial internacional desde 1988 hasta su retiro de la NASA en 1995.

Para más información sobre este u otros títulos de Elsevier, echa un vistazo Elsevier Science & Libros de tecnología.

Contenido relacionado

• Informática en nube: Nube de operaciones y seguridad
• Noticias destacadas de utilidad: Microsoft Security Essentials
• Administración de seguridad: La nueva tendencia Hacking Mieda