Espion de sécurité Le défi de gestion de sécurité informations, partie 1
Jesper M. Johansson
Contenu
Peut nous Get RID de la technologie ?
Ce que nous protéger Really
Dilemme la Defender
Conflit majeur
Conserver les éclairages désactivé
Lorsque vous oubliez d'informations sur la sécurité
Responsabilité au niveau gouvernement
Acceptation inappropriée de risque
Un Géomètre
Conclusion
Pendant un certain temps à présent, J'AI ont été penser au défi plus large de gestion des informations sur la sécurité (InfoSec) dans une organisation. Il semble le plus ancien que j'obtiens, farther le rangement j'obtiens de technologie, ou, au lieu de cela, plus je réaliser technologie est fondamentalement pas la solution à notre problèmes. Technologie, de nombreuses manières, est le problème. En fait, gestion InfoSec est presque exclusivement sur empêche les types de problèmes que nous obtenons dans avec la technologie.
Je pensais au départ qu'il serait intéressant d'écrire un livre sur ce sujet, mais J'AI finalement décidé qu'une série d'essays serait plus appropriée. Et Voici où ces essays sont live. Sur l'année prochaine ou ainsi, je vais utiliser la colonne sécurité espion à visiter il peut arriver que le sujet de gestion des sécurité des informations. Dans ce premier article de la série, J'AI examiner les principes fondamentaux de gestion InfoSec.
Peut nous Get RID de la technologie ?
Technologie, pour bien et défectueux, est inévitable dès aujourd'hui. Technologie permet aux organisations de faire plus, plus rapidement et plus efficacement. Elle permet également de criminels permet de faire la même chose. Et comme bon nombre d'entre nous dans les champs de technologie préférez à croire que technologie existe pour sake de technologie, il n'en pas. Technologie existe pour stocker, processus et transmettre des données, données peuvent être activées dans les informations. Données et les informations que nous dérivés il sont nos ressources réellement utile.
Ne devrait pas nous, en tant que professionnels de la sécurité, puis appeler nous-mêmes professionnels de la sécurité des données ? Sont nous pas plus précisément impliqué dans la protection des données ? De nombreuses façons, cela est vrai, mais données sont simplement une matière première. Certainement a valeur sur son propre, mais il est assembler les données et création d'informations à partir de celui-ci que fournit réellement valeur. Par conséquent, il fonctionne au niveau une couche d'abstraction légèrement plus haut que les données. J'utilise le terme « informations » (sauf lorsque je vraiment souhaite parler sur les matières premières) car c'est ce que nous avons finalement activer les données.
Professionnels de technologie de travaillent en couches d'abstraction au-dessous des données, les bits, les octets et les couches electron. Nous aimons technologie pour sake de technologie. Il est très souvent s'est pourquoi nous avons passé dans le champ technologie en premier lieu. Technologie est mieux pour nous que, par exemple, les personnes. Toutefois, en tant que professionnels d'informations sur la sécurité, cela est dangereux, car nous doit disposer d'une étendue beaucoup plus large que la technologie uniquement. Bien que professionnels d'informations sur la sécurité doivent être experts dans un ou plusieurs domaines technologie, nous doit examiner l'écosystème entière de technologie, d'informations, personnes et processus, les quatre piliers de sécurité des informations. Nous devons, par nécessité, se concentrer sur toutes les quatre piliers. La vérité est, cependant, que plusieurs personnes ignorer un ou plusieurs.
Plusieurs années, Microsoft entrepris sur une campagne Trustworthy Computing, proclaiming que sécurité est personnes, processus et technologie. Nombreux étaient skeptical, indiquant que Microsoft a été essayez de déplacer le focus de technologies de sécurité médiocre à facteurs qu'elle pourrait contrôle pas. Qu'a été une analyse déloyale, cependant, envisagez la sécurité de solutions Microsoft, en particulier dans Windows XP SP2 et systèmes d'exploitation plus récents, est en fait très pratique. Windows Vista et Windows Server 2008 et particulièrement Windows 7 et Windows Server 2008 version 2, sont exemplary la plupart des égards en matière de sécurité et head et shoulders au-dessus de toute solution concurrents.
Prendre une autre, kinder, était que le mantra personnes, processus et technologie a été simplement indiquant que les professionnels InfoSec doivent tenir compte personnes et processus, ainsi.
Cependant, le triad personnes-processus technologie a échoué prendre en compte l'objectif de base de tout que faire. Le processus est la façon dont personnes utilisent technologie pour activer les données en informations afin que peut prendre des décisions.
Ce que nous protéger Really
Pourquoi est-ce que je dis ces informations et les données qu'il est dérivé est notre ressource précieuse uniquement ? Clairement, une société techniquement plus avancée avec une meilleure processus est plus capable d'atteindre ses objectifs que ceux sans. Je pense que nous peut prendre que comme un donné. Mais du point de vue de la sécurité, processus et la technologie sont problématiques. Technologie, par définition, ajoute complexité et complexité breeds insecurity. Composants d'un système doivent interagir et le nombre d'interactions est lié de façon exponentielle à mesure au nombre de composants. Chacune de ces interactions crée de nouvelles voies pour transmettre des données, les nouveaux mécanismes de processus et des nouveaux emplacements de stockage. Tous ces éléments représentent possibles domaines de faiblesse, ainsi que les points faibles qui réduisent notre capacité pour visualiser la technologie et d'elle peut poser des problèmes. Le moins complexe une technologie, la plus simple qu'il consiste à comprendre et sécuriser. En fait, incapacité à facilement visualiser et comprendre la portée de technologies dans une organisation est parmi les causes de problèmes de sécurité informations clés. En tant que professionnels InfoSec, nous envisagez réduisant la quantité de technologie utilisé, il augmente ne pas.
Processus sont également complexe, nebulous et, dans la plupart des cas, non sensibles dans et eux-mêmes. Un processus peut fournir un avantage concurrentiel, mais un processus ne peut pas être copié par se. Il est les informations de documenter le processus qui peuvent être copié. Un processus est éphémère, elle disparaît. Uniquement en activant il en données pouvez une copier. Ceci est similaire à la musique. Musique existe uniquement temporally que nous écouter. Pour activer les personnes à autant de fois écouter de la musique, Thomas Edison inventé le phonograph (un élément ingenious de technologie que nous pour enregistrer le processus de création de musique en tant que données afin que les personnes peuvent écouter il encore et encore autorisé).
Maintenant, plus de cent les années plus tard, personnes morals elastic des virtue douteux dérober la représentation des données pour le flux du processus de la lecture d'un morceau de musique. Le secteur de musique, dans une tentative a échoué thwarting cette tendance activée aux technologies de sécurité pour masquer le processus de recréer la musique. Le résultat est principalement pour la rendre plus difficile pour les ses clients légitimes profiter de leur musique. Cette technologie, connue gestion en tant que des droits numériques (DRM), est pratiquement inutile dans la lutte contre vol, même s'il est très réussie à lutter contre satisfaction du client. En examinant ce rationally, vous réalisez que le problème est réellement sur la sécurisation d'informations, pas de processus. Dans certains cas, comme dans musique, les données essentiellement ne peut pas être protégées, nécessitant ses propriétaires simplement accepter ce fait et passer.
Cela conduit à un nombre d'observations intéressantes. Par exemple, ne peut pas vous simplement masquer le processus ? Ne pouvez vous simplifier la procédure de création valeur à partir des données d'un secret ? Ne peut pas créer un algorithme de secret, comme il were ? Hé bien, vous pouvez, mais ne cela généralement aucuns bien. Claude Shannon placer ce très bluntly comme « l'ennemi connaît le système, « une déclaration communément appelée Maxim du Shannon.
Qu'est-ce que cela signifie ? L'algorithme proprement dit ne peut généralement demeurer secrète. Le processus va devenir connu et la compétitivité provient de la difficulté d'implémentation du processus. Sécurité des informations doit, une fois encore, concentrez-vous sur protéger les informations comme l'immobilisation précieux principaux. Sécurisation de processus est intéressant seulement insofar car il offre une protection pour les informations.
Dilemme la Defender
Il en résulte me « dilemme de defender ». Votre travail consiste à protéger toutes vos données, y compris dans laquelle il est exposé dans toutes les interactions entre vos composants, selon l'hypothèse que les pirates savent du système. Les pirates, d'autre part, devez trouver seul moyen de compromettre votre système. Il est inutile plusieurs copies de vos données. Une copie suffit, indépendamment de la façon dont ils obtenir. Tout comme une copie d'un fichier MP3 est suffisante pour fuel l'écosystème criminelle ensemble, donc est une copie unique de vos données suffisamment pour votre adversaries. En outre, vol à l'aide d'une approche ne peut pas être annulée. Il n'est aucun commutateur Annulation de cyberespace.
La defender, par conséquent, devez protéger tous les points possibles. Vous devez fournir une protection adéquate pour les données au reste et de vol, sur tous les périphériques, quel que soit qui possède les périphériques. Les plus de place sont stockés, traitées et transmis devient votre travail plus difficile. Complexité est l'ennemi de sécurité !
Notez l'utilisation du terme possible. Dans de nombreux cas, comme avec la technologie DRM, il est impossible offrir une protection pour des raisons techniques. Dans ce cas, les defenders doivent trouver un moyen direct avec un système "avec pertes" ou empêcher tout accès aux données. En général, données qui sont distribuées à adversaries pirates peuvent jamais être protégées. Données doivent être protégés, la seule façon de faire doit jamais distribuer.
Conflit majeur
En raison de nos aversion naturelle à complexité, la fonction InfoSec est souvent perçue comme un déplacement-bloc. Ceux d'entre nous dans le champ InfoSec souvent et largement correctement, afficher notre travaux que bloque l'accès aux éléments.
Le groupe InfoSec est où vous si vous souhaitez que votre projet pour être supprimé. L'histoire de sécurité malveillant tentera toujours vous empêcher de faire ce que vous souhaitez. Qui est souvent le cas et il est malheureuse, mais pas parce que l'histoire de sécurité malveillant ne devrait pas essaient de réduire la complexité et arrêter les idées incorrectes. Il est malheureuse car elle met en surbrillance un fondamentales déconnecter entre l'entreprise et le groupe de sécurité.
Conserver les éclairages désactivé
Si vous avez déjà étudié pour un examen de sécurité informations, vous avez appris undoubtedly sur le triad CIA, confidentialité, intégrité et disponible. Il permet de décrire les objectifs dans protéger les informations. Il doit fournir la confidentialité des informations par rapport à celles qui ne doivent pas ont accès, intégrité pour vous assurer que les informations sont exactes et disponibilité aux utilisateurs qui ont besoin l'accès aux informations. Par conséquent, certains groupes de sécurité envisager grande partie de leur travail à propos de s'assurer que les voyants restent sur, que disponibilité est garantie. D'autres utilisateurs supposent exactement opposées approche et envisagez leurs tâches à conserver les lumières hors, empêchant tout le monde, y compris ceux avec besoins légitimes d'accéder aux informations.
J'AI serait dire que, si vous disposez d'un partenariat approprié avec l'entreprise, le groupe de sécurité pouvez ignorer la partie la triad disponibilité. L'entreprise possède des autres personnes qui sont plus expert en contrats de niveau disponibilité et le service. Si la sécurité partenaires simplement les et s'assure qu'un compromis adéquate entre l'intégrité/la confidentialité et la disponibilité est atteint, la fonction de sécurité peut considérez disponibilité afin d'importance secondaire. Sécurité devient ensuite dans une certaine mesure sur garantir les lumières sont désactivés et restent hors ; mais pendant la prise de besoins en compte. L'entreprise, de gauche à ses propres périphériques garantit que les voyants restent sur. Sécurité doit simplement l'entreprise s'assurer qu'uniquement les lumières corrects restent dans et d'autres utilisateurs restent hors. Sécurité, dans un sens est ensuite un blanc raisonnable répertoriant la fonction.
Ceci est une des choses que je trouve plus fascinant lorsque vous travaillez avec autres personnes de sécurité. Nous remonter dans une réunion avec la direction commerciale. La direction vous « nous besoin vous permet de vous aider à sécurisée notre produit. » L'histoire de sécurité dire « bon, savoir comment le produit. » Les gens Entreprise dire « c'est un gadget », auquel cas la sécurité histoire immédiatement commencer les indiquant comment sécuriser Accessoires.
Qu'est-ce que manquant ici ? Avez bien sûr, l'histoire de sécurité essayé savoir quel est le produit. Mais quelle est l'objectif d'entreprise ? Ce que l'entreprise tente obtenir avec ce gadget ? La valeur est-il pour l'entreprise ? Comment stratégique est-il ? L'importance est-il ? Combien risque est l'entreprise prêt à accepter pour qu'il fait ? Les gens Entreprise même voulez-vous créer ?
Le groupe de sécurité sait donc rarement l'entreprise. Les gens sécurité Supposons encore comprendre afin ils puissent vous indiquer l'activité comment faire des choses. Il n'est pas notre travail en tant que professionnels InfoSec pour indiquer le reste de l'organisation comment exécuter une entreprise. Il est seulement notre travail pour informer l'entreprise as to le jeu approprié de lumières pour activer et celles qui doit restez, conformément aux écart de l'entreprise pour risque et ses besoins. Nous prend en charge et informer l'activité sur la façon atteindre ses objectifs avec un niveau acceptable de risque, mais les objectifs appartiennent toujours à l'entreprise, pas par le groupe InfoSec.
Lorsque vous oubliez d'informations sur la sécurité
J'AI sont enfin arrivés à risque. InfoSec est vraiment la gestion des risques d'informations. Nous gérer le risque à nos ressources informatiques. Ou, au moins nous sont supposés. Mais dans de nombreux cas, nous avons simplement ne sont pas autorisés à. Sécurité est une vente dur réellement car l'avantage est donc obscur. Quoi, après tout, est l'avantage de sécurité ? Quel est-il constituant réussite ? S'agit-il simplement « nous n'a pas obtenir usurpés cette année? » Vous pouvez apporter jamais cette instruction et être garantie est correcte, vous pouvez ont été usurpé, mais n'a pas pu remarquer. En fait, Échec investir suffisamment argent et l'heure de InfoSec est un très bon moyen de s'assurer que vous ne remarquez lorsque vous usurpé.
Il existe plusieurs conséquences potentielles de néglige InfoSec et, dans certains cas, un manque appalling de conséquences. Dans certaines zones neglect peut entraîner vous permet de perdre votre travail ou entraîner criminelles frais. Échec de protéger la confidentialité des enfants, par exemple, est criminelle dans États-Unis sous les enfants en ligne confidentialité Protection Act (COPPA) et autres pays, comme Canada et en Australie, sous lois nationales.
Pour une entreprise qui est basé sur approbation du client, et où clients trouvent évident qu'il existe un risque, sécurité est un coût de commerciale. Dans un monde où personnes sont déjà nerveux et coûts de basculement sont négligeable, une violation d'unique peut activer une entreprise. Une violation de principale et très publique unique dans le monde de la banque en ligne, par exemple, probablement serait suffisamment pour définir la ligne bancaires en années.
Ceci, cependant, ne semble pas pour contenir dans autres secteurs. Prendre le TJX sociétés ou le Heartland, le processeur de carte de crédit, par exemple. Même après que appalling niveaux de neglect pour la sécurité a conduit au vol de la carte de crédit de presque tous américain qui possède une des ces cartes, les sociétés sont encore en entreprise. La violation TJX a eu lieu publique dans 2007 au plus tôt. Cette même année, directeur général de la société, Bernard Cammarata, apprécié un salaire de $911,539 plus environ 1.6 millions dans boursiers et autre compensation. Un posh 7,5 millions de coûts le président de la société, Meyrowitz Carol, lors de la supervision de l'organisation activé le plus grand vol de carte de crédit dans l'historique et Échec de Notez lorsqu'il est devenu, un chiffre pales par rapport aux coûts induits par ses clients et les sociétés de carte de crédit. Le coût exact de la violation Heartland est obscur au moment de la rédaction de cet article. Cependant, je n'avoir aucun doute que sa gestion direction va handsomely rewarded d'affichage valiant qu'il traitement une crise a été entièrement avoidable avait il simplement implémenté les mesures de sécurité informations plus simples. Neglect et rationalization sont toujours virtues dans beaucoup trop de sociétés. Clairement, nous auront un moyen long lorsqu'il s'agit responsabilité pour InfoSec.
Responsabilité au niveau gouvernement
Sur le sujet de responsabilité, je recommande de lire l'état à partir du Centre de stratégique & international études (CSIS) intitulé » Sécurisation cyberespace pour le Presidency 44th." Le rapport, qui a été publié en décembre 2008, a été écrit par États-Unis R. James représentants Langevin et Michael t. McCaul, ainsi que Microsoft VICE-PRÉSIDENT de Trustworthy Computing, Scott Charney et grand Lieutenant Harry Raduege, USAF (ret). L'objectif était de disposer d'une stratégie pour l'administration Obama entrante autour cybersecurity. Plus intéressante, cependant, est l'évaluation critique de comment cybersecurity a été neglected sous l'administration précédente ; l'état indique que « cybersecurity est maintenant un problème de sécurité nationale principales pour les États-Unis. »
Curieusement, l'état prône une position long et non par l'industrie logicielle, auprès de Microsoft à le forefront de L'OPPOSITION : l'utilisation de règles d'approvisionnement à favoriser une orientation souhaitée des produits de technologie d'informations, logiciels spécifiquement. Le rapport de ne pas mince mots lorsque détaillant l'importance que c'est. Il pointe en particulier les que cybersecurity est un « bataille nous sont perdre. » En outre, elle indique « cybersecurity faible dilutes notre investissement dans innovation lors subsidizing les efforts de recherche et développement des concurrents étrangères ». Il ne s'agit aucun étirer pour prendre cette même instruction et appliquez-le à InfoSec efforts presque n'importe quelle organisation.
La figure 1 réellement avez-vous signer vos cartes de crédit?
Acceptation inappropriée de risque
La plupart des défaillances proviennent d'une acceptation inappropriée de risque. Humaines aux ont tendance à sous-estimer les risques et overestimate les avantages. Nous particulièrement sous-estimer risques dans les zones que nous trouvons difficiles à comprendre, tels que cyberespace. Nous pouvez très facilement visualiser risques physiques. La plupart des gens verrouiller les voitures, même si L'inconvénient potentiel d'un vol voiture est une deductible d'assurance de 500 EUR et en cours gêné de quelques jours. Nous verrouillez les portes à notre maisons, même dans les endroits où burglaries sont très rares. Toutefois, nous levez relevés bancaires dans le garbage littéralement tendant criminels toutes les informations qu'ils dont avez besoin pour dérober tout ce dont nous propriétaire. Nous vous connecter à la sauvegarde de notre carte de crédit et les stocker avec notre registres de banque. Mettre en place ces ingrédients et un criminel a tout ce dont il a besoin pour vider votre compte chèque. Il est pour cette raison très qui ressemblent de mes cartes de crédit à la carte qui montre la figure 1 .
Une des aspects plus importants de gestion InfoSec consiste à avoir une perception précise de risque. C'est dans lequel le groupe InfoSec entre dans. C'est à ce groupe principal celui-ci afin de l'entreprise comprendre les risques qu'accepter, s'assurer de l'entreprise comprend les risques et les valeurs correctement. Nous ont toujours été beaucoup trop simpliste sur la façon dont nous valeur risque. Dans mon article de mai 2008 de la colonne sécurité espion, intitulé » Principes de sécurité quantum« J'AI présenté une version révisée de l'équation ALE (annuel perte espérance) permet de risque asses (voir La figure 2 ).
La figure 2, l'équation ALE (annuel perte espérance) révisé
Toutefois, ce n'est simplement sur évaluer les risques pas. Est un gestionnaire de confiance est au-delà. Dans une pièce futur de ce kit de gestion InfoSec, j'aborderai risque en détail plus loin.
Un Géomètre
À ce stade, nous obtenez plus proche de l'objectif de cette propriété a la valeur true de InfoSec. J'AI dire qu'il existe quatre aspects central tous racine dans le principe de remplacement qui doit guider InfoSec :
Conserver le risque lié à un niveau acceptable Le travail des professionnels InfoSec, est tout d'abord et avant tout, de conserver risque à un niveau acceptable. Cela inclut les éléments que j'ai abordés ici, assurant les lumières restent activée, si vous désactivez les lumières droite, et généralement garantir cette information est disponible pour ceux qui vous avez besoin et pas à ceux qui ne le font pas. Le problème principal en gardant risque à un niveau acceptable est établir que sert par « autorisées ». Il s'avère qu'acceptable est influencé par plusieurs facteurs, j'aborderai dans un article d'une version ultérieure.
Activer l'entreprise Tout d'abord et avant tout, le groupe InfoSec est membre de l'entreprise. Votre travail est de permettre l'entreprise, ne pas pour l'arrêter. Experts InfoSec afficher leur rôle comme étant pour empêcher l'entreprise elle-même rarement rencontrer beaucoup réussite à long terme. Elles aussi ne peut très occupées en tant que partie de l'entreprise est simplement les éviter et continuer sans entrée de InfoSec, souvent faire encore plus inappropriés risque Gestion des compromis. Une fois encore, nous sont là pour la protection de l'entreprise et aider il atteindre ses objectifs, lors de la gestion des risques.
informer le risque InfoSec possède un rôle opérationnel, gestion des périphériques réseau, le logiciel de sécurité et les processus (tels que le correctif Gestion et incident réponse). Cette face opérationnelle est où InfoSec est souvent plus visibles. La partie qui peut avoir l'impact plus large, cependant, est la capacité de celui-ci. Comme un gestionnaire InfoSec doit agir comme une ressource de conseil interne, prêt une perspective de sécurité à des projets beaucoup et large. Il peut s'agir d'un rôle très réapprovisionnement pour experts InfoSec profiter de la création directe de valeur pour la société.
établir des stratégies de gestion des risques et des processus Enfin, InfoSec gère la méthode de risque d'informations globale via les stratégies et processus. Que signifie que le groupe InfoSec doit évaluer les risques pour l'entreprise, établir des stratégies et définir des processus. L'évaluation des risques se compose en grande partie d'une analyse du comment l'organisation gestion des risques et que sa méthode par défaut doit être. Selon cette philosophie, InfoSec établit un ensemble de stratégies de sécurité codify méthode risque de l'organisation et les principes de leur gestion. Ces stratégies sont implémentées ensuite dans un ensemble de processus pour aider l'organisation de la conformité.
Conclusion
Dans cet article, J'AI ont étudié un plan de base pour la gestion InfoSec. La clé ici consiste à comprendre que InfoSec fait partie noyau de l'entreprise et doit être un gestionnaire approuvé dans le reste de l'entreprise. Plutôt que d'être en conflit avec l'entreprise, le groupe InfoSec doit établir une relation sur d'autres parties de l'entreprise afin de l'entreprise toute atteindre ses objectifs avec un niveau acceptable de risque. Alors seulement peuvent InfoSec être efficaces.
Mais c'est simplement le début de la conversation. Regardez de versements futurs de la colonne sécurité espion lorsque je continuer cette série sur Gestion des sécurité Information.
Jesper Johansson est architecte de sécurité principal pour une société entreprises classées dans Fortune 200 connue, travaillant sur la sécurité en fonction de risques vision et stratégie de sécurité. Il participe également à TechNet Magazine. Son travail se compose de garantir la sécurité dans des systèmes plus grands, plus distribués dans le monde. Il contient un Dr. dans Gestion des informations systèmes, a plus de 20 ans expérience de sécurité, est un MVP dans la sécurité d'entreprise. Son dernier ouvrage est le Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).