Sécurité : La formation garante de la sécurité

Il ne suffit pas d'avoir la dernière version du logiciel antiviru ou pare-feu. Afin de garantir une infrastructure sécurisée, vous devez également vous concentrer sur la formation de votre personnel.

John Vacca

Adapté de « Computer and Information Security Handbook » (Elsevier Science & Livres de technologie)

Tout comme avoir un environnement robuste et sécurisé est un processus dynamique, création d'un personnel hautement qualifié de professionnels de la sécurité est aussi dynamique. Il est important de garder à l'esprit que même si l'infrastructure technique de l'organisation n'aurait pas qui changent fréquemment, de nouvelles vulnérabilités sont découvertes et nouvelles attaques sont lancées sur une base quotidienne.

Très peu d'organisations disposent une infrastructure stagnante. Employés demandent constamment de nouveaux logiciels. Et plus de technologies sont ajoutés dans le but d'améliorer l'efficacité. Chaque nouvel ajout probable ajoute des failles de sécurité supplémentaires.

Il est important pour le personnel informatique de se préparer à les identifier et répondre aux nouvelles menaces et de vulnérabilités. Les personnes intéressées à acquérir une compréhension profonde de sécurité devraient commencer par un programme indépendant du fournisseur. Un programme indépendant du fournisseur se concentre sur des concepts plutôt que des produits spécifiques.

SANS Institute vous propose deux programmes d'introduction : Introduction à la sécurité de l'Information, une classe de cinq jours conçue pour les personnes débutant dans le domaine de la sécurité et les San Security Essentials Bootcamp, une classe de six jours conçue pour les personnes ayant une certaine expérience de la sécurité. Chaque classe est également disponible comme un programme d'autoformation, et chacune peut être utilisée pour préparer une certification spécifique.

Une autre option est de commencer avec un programme qui respecte les exigences de certification de CompTIA Security, telles que le Global Knowledge Essentials of Information Security. Une fois que vous avez une bonne connaissance fondamentale en matière de sécurité, vous devriez subir ensuite une formation spécifique du vendeur d'appliquer les notions apprises à certaines applications et dispositifs de sécurité utilisés dans l'environnement de travail.

Une excellente ressource pour rester connecté avec les tendances actuelles en matière de sécurité consiste à s'engager activement dans une organisation de commerce relatives à la sécurité. Le concept clé ici est activement. De nombreux professionnels adhérer à des organisations afin qu'ils peuvent ajouter un élément à la section « affiliations professionnelles » de leur curriculum vitae.

Être « activement » signifie assiste aux réunions régulières, desservant un comité ou à un poste de direction. Bien que cela semble être un redoutable engagement de temps, l'avantage est un réseau professionnel des ressources disponibles pour donner un aperçu, de constituer une caisse de résonance ou de fournir une aide lorsqu'un problème se pose. Participant à ces associations est un moyen économique de se mettre au diapason avec les questions et les tendances actuelles de sécurité.

Ces organisations peuvent s'avérer utiles :

• ASIS International : Il s'agit de la plus grande organisation liées à la sécurité dans le monde. Il se concentre principalement sur la sécurité matérielle, mais a récemment commencé à aborder aussi bien la sécurité informatique.
• ISACA : Anciennement l'Information Systems Audit and Control Association.
• High Technology Crime Investigation Association (HTCIA)
• Information Systems Security Association (ISSA)
• InfraGard : Il s'agit d'un organisme public et privé mixte parrainé par le Federal Bureau of Investigation (FBI)

En plus des réunions mensuelles, experts reconnus de nombreux chapitres locaux de ces conférences régionales de sponsor organisations que les prix sont généralement raisonnables et les attirent à l'échelle nationale.

Examiner la certification

Sans doute une des meilleures façons de déterminer si un employé a une forte compréhension des concepts de sécurité des informations est si elle peut obtenir la certification Certified Information Systems Security Professional (CISSP). Les candidats pour cette certification sont testés sur leur compréhension des 10 domaines de connaissances suivant :

1. Contrôle d'accès
2. Sécurité des applications
3. Après sinistre et continuité planification du rétablissement
4. Chiffrement
5. Sécurité de l'information et de gestion des risques
6. Enquêtes, de conformité et de dispositions légales
7. Sécurité des opérations
8. Sécurité physique (environnementale)
9. Conception et Architecture de sécurité
10. Télécommunications et sécurité des réseaux

Ce qui rend cette certification si précieux, c'est que le candidat doit avoir un minimum de cinq années d'expérience professionnelle dans le domaine de la sécurité des informations ou des quatre années d'expérience et un diplôme d'études collégiales. Pour maintenir l'homologation, une personne certifiée est tenue de fréquenter les 120 heures de formation continue durant le cycle de certification de trois ans. Cela garantit que les gens détenant l'information d'identification CISSP restez à jour avec les tendances actuelles en matière de sécurité. La certification CISSP est régie par l'International Information Systems Security Certification Consortium, également connu comme (ISC)2.

« Sortir des sentiers battus"

Pour la plupart des entreprises, la menace de leurs actifs de propriété intellectuelle et l'infrastructure technique vient des « méchants » assis à l'extérieur de leur organisation, tentent de pénétrer. Ces organisations mettent en place les défenses de périmètre forte, essentiellement « boxe » leurs actifs.

Toutefois, les employés internes ont accès à des informations confidentielles dont ils ont besoin pour faire leur travail. Ils ont souvent de diffuser cette information aux zones où il n'est plus sous le contrôle de l'employeur. Ces données ne sont généralement pas faites avec une intention malveillante, mais simplement pour les employés d'avoir accès aux données ainsi ils peuvent effectuer leurs responsabilités plus efficacement. Cependant, cela devient un problème lorsqu'un employé quitte l'organisation ne prend aucune mesure pour recueillir ou contrôler leurs informations confidentielles en possession de leur ancien employé maintenant.

Une des menaces plus négligés à la propriété intellectuelle est le lecteur flash USB innofensif et maintenant omniprésent. Ces dispositifs, la taille d'un tube de rouge à lèvres, sont la disquette moderne en termes de stockage de données portables. Ils sont un moyen pratique pour transférer des données entre ordinateurs.

La différence entre ces dispositifs et une disquette, c'est que les lecteurs flash USB peuvent stocker une grande quantité de données. Un lecteur flash USB de 16Go a la même capacité de stockage que plus de 10 000 disques souples. Vous pouvez acheter un lecteur flash USB de 16 Go pour moins de 15 $. N'oubliez pas que plus le temps passe, augmentera la capacité de ces appareils et le prix baissera, ce qui les rend extrêmement attractif.

Ces dispositifs ne sont pas la seule menace pour les données. Parce que d'autres dispositifs peuvent être connectés à l'ordinateur via le port USB, les appareils photo numériques, les lecteurs MP3 et disques durs externes peuvent également supprimer des données d'un ordinateur et le réseau auquel il est connecté. La plupart des gens ne reconnaîtrait que les disques durs externes représentent une menace, mais ils reconnaîtraient caméras et lecteurs MP3 et autres appareils comme une menace ?

Caméras et lecteurs de musique sont conçus pour stocker les images et la musique, mais à un ordinateur, ils sont des dispositifs de stockage de masse supplémentaires tout simplement. Il est difficile pour les gens à comprendre qu'un iPod peut transporter les documents de traitement de texte, bases de données et des tableurs, ainsi que la musique. Heureusement, Microsoft Windows suit les appareils connectés à un système dans la clé de Registre HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor. Il pourrait s'avérer intéressant de regarder dans cette clé sur votre propre ordinateur pour voir quels types d'appareils ont été connectés.

Windows Vista possède une clé supplémentaire que les titres des appareils connectés : HKEY_Local_Machine\Software\Microsoft\Windows Devices\Devices.30 Portable. Analyse du Registre est un excellent moyen d'enquêter sur les activités des utilisateurs de l'ordinateur. Pour beaucoup, cependant, le registre est difficile à naviguer et à interpréter. Si vous êtes intéressé à comprendre davantage sur le registre, vous pouvez télécharger et jouer avec RegRipper de Harlan Carvey.

Une autre menace à l'information qui peut transporter des données en dehors des murs de l'organisation est la pléthore d'appareils portatifs. Beaucoup de ces appareils ont la capacité d'envoyer et de recevoir des messages électroniques ainsi que créer, stockent et transmettent des fichiers PDF traitement de texte et tableur.

Bien que la plupart des employeurs n'achètent ces appareils pour leurs employés, ils sont plus qu'heureux de laisser leurs employés à synchroniser leurs appareils appartenant personnellement avec leurs ordinateurs de l'entreprise. Informations de contact client, de plans d'affaires et d'autres matériaux peut être facilement copiés d'un système.

Certaines entreprises estiment qu'ils ont cette menace sous contrôle parce qu'ils offrent à leurs employés avec des appareils appartenant à l'entreprise et ils peuvent recueillir ces dispositifs lorsque des employés quittent leur emploi. Le seul problème avec cette attitude est qu'employés peuvent facilement copier des données depuis les appareils à leur ordinateur avant que les appareils sont retournés.

En raison de la menace des périphériques de stockage de données portables et les périphériques de poche, il est important pour une organisation d'établir des politiques décrivant l'utilisation acceptable de ces dispositifs. Il est également conseillé pour mettre en œuvre une solution de niveau entreprise pour contrôler comment, quand, ou si vous pouvez copier des données vers eux.

Développer une culture de sécurité

L'un des plus grands atouts sécurité est une entreprise posséder des employés, mais seulement si ils ont été correctement formé de se conformer aux politiques de sécurité et d'identifier les problèmes potentiels de sécurité. Beaucoup d'employés ne comprendre pas la signification des différentes stratégies de sécurité et des implémentations. Ils considèrent ces politiques, rien de plus qu'un inconvénient. Obtenir l'appui et l'allégeance des employés prend du temps, mais il est temps bien dépensé.

Commencez par soigneusement expliquant les raisons qui sous-tendent les processus de sécurité. Une des raisons pourrait être d'assurer la productivité des employés, mais se concentrent principalement sur les questions de sécurité. Télécharger et installer des logiciels non approuvés peuvent installer des logiciels malveillants qui peuvent infecter les systèmes utilisateur, causant des ordinateurs fonctionne lentement ou pas du tout.

Alors que la plupart des employés de comprennent que l'ouverture inconnue ou inattendue e-mail des pièces jointes peuvent conduire à une infection de logiciels malveillants, la plupart ne connaissent pas les fonctions avancées du récent code malveillant. "Advanced menace persistante", ou la capacité pour un système à rester infectés malgré l'utilisation assidue des programmes antivirus, est devenue un problème majeur. Employés doivent maintenant comprendre que surfer sur le Web sans discernement peut traduire par « drive-by » installations de logiciels malveillants.

Peut-être le moyen le plus direct pour obtenir le soutien de l'employé est de laisser les employés savent que l'argent nécessaire pour répondre aux attaques et résoudre les problèmes, initiées par les résultats des utilisateurs en argent indisponible pour les relances et les promotions. Laisser les employés savent qu'ils ont quelques « skin dans le jeu » est une façon de les impliquer dans les efforts de sécurité.

S'il y a un budget mis de côté pour faire face à la sécurité des problèmes et des employés aide séjour bien à l'intérieur du budget, la différence entre l'argent dépensé et le budget réel pourrait être divisée entre employés comme un bonus. Non seulement les employés seraient plus susceptibles de prendre la parole que si ils ont remarqué des ralentissements réseau ou système, ils auront probablement plus susceptibles d'affronter des inconnus errant à travers l'installation.

Un autre mécanisme qui peut gagner des alliés de sécurité consiste à donner des conseils sur les mécanismes de sécurité appropriés pour sécuriser les ordinateurs de la maison. Bien que certains ne pourraient pas voir cela comme bénéficiant directement de la société, n'oubliez pas que beaucoup d'employés ont des données d'entreprise sur leur ordinateur. Ces conseils peuvent provenir de présentations en direct ou un bulletin d'information.

L'objectif de ces activités est d'encourager les employés à l'approche de gestion ou l'équipe de sécurité volontairement. Lorsque cela se produit sur une base régulière, vous aurez accru la capacité de votre équipe de sécurité et créé une organisation beaucoup plus sûre.

John Vacca est un consultant en informatique, écrivain professionnel, éditeur, réviseur et auteur de Best-sellers renommée internationale basée à Pomeroy, Ohio.Il est l'auteur de plus de 50 titres dans les zones de stockage avancées, sécurité informatique et de la technologie aérospatiale.Vacca était également un spécialiste de gestion de configuration, un spécialiste en informatique et le responsable de la sécurité informatique (CSO) pour le programme de station spatiale de la NASA (liberté) et le programme de Station spatiale internationale de 1988 jusqu'à sa retraite de la NASA en 1995.

Pour en savoir plus sur les autres titres Elsevier, Découvrez Elsevier Science & Livres technologie.

Contenus associés

• Cloud Computing : Opérations de nuage et de la sécurité
• Utilitaire de Spotlight : Microsoft Security Essentials
• Gestion de la sécurité : La nouvelle tendance de piratage effrayante