Sicurezza: Formazione sulla sicurezza

Non è sufficiente avere l'ultima versione del software antivirus o firewall. Per garantire la protezione di un'infrastruttura, è necessario inoltre dedicarsi alla formazione del personale.

John Vacca

Adattato da "Manuale di sicurezza informazioni e Computer" (Elsevier Science & Libri di tecnologia)

Proprio come avere un ambiente sicuro e robusto, è un processo dinamico, creando uno staff altamente qualificato di professionisti della sicurezza è anche dinamico. È importante tenere a mente che anche se l'infrastruttura tecnica di un'organizzazione potrebbe non cambiare frequentemente, vengono scoperte nuove vulnerabilità e nuovi attacchi vengono lanciati su una base quotidiana.

Molto poche organizzazioni hanno un'infrastruttura stagnante. Dipendenti chiedono costantemente nuovo software. E ulteriori tecnologie vengono aggiunti nel tentativo di migliorare l'efficienza. Ogni nuova aggiunta probabile aggiunge le vulnerabilità di sicurezza supplementari.

È importante per il personale IT di essere pronto a identificare e rispondere alle nuove minacce e le vulnerabilità. Coloro che sono interessati ad acquisire una comprensione profonda di sicurezza dovrebbe iniziare con un programma vendor-neutral. Un programma indipendente dal fornitore si concentra sui concetti, piuttosto che prodotti specifici.

Il SANS Institute offre due programmi introduttivi: Introduzione alla sicurezza delle informazioni, una classe di cinque giorni progettata per le persone solo partendo nel campo della sicurezza e il SANS Security Essentials Bootcamp, una classe di sei giorni progettata per le persone con una certa esperienza di sicurezza. Ogni classe è disponibile anche come un programma di auto-apprendimento, e ciascuno può essere utilizzato per preparare una certificazione specifica.

Un'altra opzione è di iniziare con un programma che segue i requisiti di certificazione CompTIA Security, come la conoscenza Essentials di informazioni sicurezza globale. Una volta che avete un buon background fondamentale in sicurezza, dovrebbe quindi sottoporsi ad addestramento specifici del fornitore per applicare i concetti imparati a specifiche applicazioni e dispositivi di sicurezza utilizzati nell'ambiente di lavoro.

Una grande risorsa per tenere il passo con le tendenze attuali in sicurezza è diventare attivamente coinvolti in un'organizzazione di commercio relativi alla sicurezza. Il concetto chiave qui è coinvolto attivamente. Molti professionisti Iscriviti organizzazioni affinché si può aggiungere un elemento alla sezione "affiliazioni professionali" del loro curriculum.

Essendo "attivamente coinvolte" significa frequentare riunioni regolari, che serve un comitato o in una posizione esecutiva. Anche se questo sembra come un impegno di tempo scoraggiante, il beneficio è una rete professionale di risorse disponibili a fornire la comprensione, servono come una cassa di risonanza o fornire assistenza quando si presenta un problema. Partecipare a queste associazioni è un modo conveniente per ottenere fino a velocità con problemi e tendenze attuali di sicurezza.

Queste organizzazioni possono rivelarsi utili:

• ASIS International: Questa è la più grande organizzazione relative alla sicurezza nel mondo. Esso si concentra principalmente sulla sicurezza fisica, ma ha recentemente iniziato affrontando la sicurezza del computer.
• ISACA: Precedentemente l'Audit di sistemi di informazione e controllo associazione.
• Alta tecnologia Crime Investigation Association (HTCIA)
• Information Systems Security Association (ISSA)
• InfraGard: Questa è un'organizzazione congiunta di pubblici e privati promosso dal Federal Bureau of Investigation (FBI)

Oltre alle riunioni mensili, molti capitoli locali di queste conferenze regionali organizzazioni sponsor che sono solitamente a prezzi ragionevoli e attraggono nazionalmente riconosciuti esperti.

Considerare la certificazione

Senza dubbio uno dei modi migliori per determinare se un dipendente ha una forte conoscenza dei concetti di sicurezza informazioni è se lei può ottenere la certificazione Certified informazioni Systems Security Professional (CISSP). Candidati per questa certificazione sono testati sulla loro comprensione i seguenti 10 domini di conoscenza:

1. Controllo di accesso
2. Sicurezza dell'applicazione
3. Business Continuity e Disaster Recovery Planning
4. crittografia
5. Informazioni di sicurezza e gestione del rischio
6. Le indagini, conformità e norme giuridiche
7. Le operazioni sicurezza
8. Sicurezza fisica (ambientale)
9. Design e architettura di sicurezza
10. Telecomunicazioni e sicurezza di rete

Ciò che rende questa certificazione così prezioso è che il candidato deve avere un minimo di cinque anni di esperienza professionale nel campo della sicurezza di informazioni o di quattro anni di esperienza e un diploma di laurea. Per effettuare la certificazione, un certificato individuale è necessaria per frequentare 120 ore di formazione professionale durante il ciclo di tre anni di certificazione continua. Questo assicura la gente tiene la credenziale CISSP sono rimanere aggiornati con le attuali tendenze in sicurezza. La certificazione CISSP è governata da informazioni sistemi sicurezza certificazione consorzio internazionale, noto anche come (ISC)2.

Pensare "fuori dagli schemi'

Per la maggior parte delle aziende, la minaccia per la loro attività intellettuale e l'infrastruttura tecnica deriva dai "cattivi" seduti fuori delle loro organizzazioni, cercando di rompere. Queste organizzazioni istituire difese perimetrali forte, essenzialmente "boxe" loro beni.

Tuttavia, dipendenti interni hanno accesso a informazioni proprietarie hanno bisogno di fare il loro lavoro. Essi spesso diffondere queste informazioni alle aree dove non è più sotto il controllo del datore di lavoro. Questi dati non sono generalmente fatto con qualsiasi intento doloso, ma semplicemente per i dipendenti di accedere ai dati così che possano eseguire le responsabilità di lavoro in modo più efficiente. Tuttavia, questo diventa un problema quando un dipendente lascia e l'organizzazione non prende passi per raccogliere o controllare le loro informazioni riservate in possesso dei loro ormai ex-dipendente.

Una delle minacce più trascurate per la proprietà intellettuale è l'innocuo e ormai onnipresente flash drive USB. Questi dispositivi, le dimensioni di un tubo di rossetto, sono il disco floppy di moderno-giorno in termini di archiviazione dati portatile. Ma sono un modo conveniente per trasferire dati tra computer.

La differenza tra questi dispositivi e un floppy disk è che l'unità flash USB può memorizzare una grande quantità di dati. Un flash drive USB da 16GB ha la stessa capacità di archiviazione come oltre 10.000 dischi floppy. È possibile acquistare un flash drive USB da 16GB per meno di $15. Tieni presente che col passare del tempo, la capacità di questi dispositivi aumenterà e diminuirà il prezzo, che li rende estremamente attraente.

Questi dispositivi non sono l'unica minaccia per i dati. Perché altri dispositivi possono essere collegati al computer tramite la porta USB, fotocamere digitali, lettori MP3, dischi rigidi esterni possono anche rimuovere dati da un computer e la rete a cui è collegato. La maggior parte delle persone avrebbe riconosciuto che i dischi rigidi esterni rappresentano una minaccia, ma essi riconoscerebbe fotocamere e lettori MP3 e altri dispositivi come una minaccia?

Telecamere e lettori musicali sono progettati per memorizzare immagini e musica, ma per un computer sono dispositivi di archiviazione di massa semplicemente supplementari. È difficile per le persone a capire che un iPod può trasportare documenti di word processing, database e fogli di calcolo, così come musica. Fortunatamente, Microsoft Windows rileva i dispositivi collegati ad un sistema nella chiave del registro di sistema HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor. Potrebbe rivelarsi interessante guardare in questa chiave sul vostro computer per vedere quali tipi di dispositivi sono stati collegati.

Windows Vista ha un'ulteriore chiave che tracce di dispositivi collegati: HKEY_Local_Machine\Software\Microsoft\Windows Devices\Devices.30 portatile. Analizzare il registro di sistema è un ottimo modo per indagare l'attività degli utenti di computer. Per molti, tuttavia, il registro di sistema è difficile da navigare e interpretare. Se siete interessati a capire di più sul Registro di sistema, è possibile scaricare e giocare con RegRipper di Harlan Carvey.

Un'altra minaccia per le informazioni che possono trasportare dati fuori dalle mura dell'organizzazione è la pletora di dispositivi palmari. Molti di questi dispositivi hanno la capacità di inviare e ricevere e-mail, nonché creare, memorizzare e trasmettere, elaborazione testi, foglio di calcolo e file PDF.

Anche se la maggior parte dei datori di lavoro non acquistare questi dispositivi per i loro dipendenti, sono più che felice di lasciare che i loro dipendenti sincronizzare i loro dispositivi possedute personalmente con i loro computer aziendale. Informazioni di contatto cliente, business plan e altri materiali possono essere facilmente copiati da un sistema.

Alcune aziende che sentono di che avere questa minaccia sotto controllo perché forniscono loro collaboratori con dispositivi di proprietà aziendale e possono raccogliere questi dispositivi quando dipendenti lasciano la loro occupazione. L'unico problema con questo atteggiamento è che dipendenti possono facilmente copiare i dati da dispositivi ai loro computer di casa prima che i dispositivi vengono restituiti.

A causa della minaccia di periferiche di archiviazione di dati portatili e dispositivi palmari, è importante per un'organizzazione di stabilire le politiche che delinea l'uso accettabile di questi dispositivi. Si consiglia inoltre di implementare una soluzione aziendale di controllo come, quando o se è possibile copiare dati a loro.

Sviluppare una cultura della sicurezza

Uno dei più grandi beni sicurezza è un business proprio dipendenti, ma solo se essi hai opportunamente addestrati a rispettare le politiche di sicurezza e per identificare potenziali problemi di sicurezza. Molti dipendenti non capiscono il significato delle varie politiche di sicurezza e implementazioni. Considerare queste politiche nient'altro che un fastidio. Guadagnando il supporto e la fedeltà dei dipendenti richiede tempo, ma è tempo ben speso.

Iniziare spiegando attentamente le ragioni di eventuali processi di sicurezza. Uno dei motivi potrebbe essere garantire la produttività dei dipendenti, ma concentrarsi principalmente sulle questioni di sicurezza. Scaricando e installando il software non approvato può installare software dannosi che può infettare i sistemi dell'utente, causando il computer a funzionare lentamente o non a tutti.

Mentre la maggior parte dei dipendenti capiscono che l'apertura sconosciuto o imprevisti allegati di posta elettronica possono portare a un'infezione da malware, la maggior parte non sono consapevoli delle funzionalità avanzate di recente codice dannoso. "Advanced minaccia persistente", o la capacità di un sistema di rimanere infetti nonostante l'uso diligente di programmi antivirus, è diventato un grave problema. Dipendenti devono ora capire che "drive-by" installazioni malware può causare indiscriminato Web surfing.

Forse il modo più diretto per ottenere supporto impiegato è a collaboratori di far sapere che i soldi necessari per rispondere agli attacchi e risolvere i problemi, iniziate da risultati agli utenti in denaro disponibile per promozioni e rilanci. Lasciando i dipendenti sanno di avere qualche "pelle in gioco" è un modo per coinvolgerli negli sforzi di sicurezza.

Se c'è un bilancio accantonato per rispondere al soggiorno di aiuto problemi e collaboratori di sicurezza ben all'interno del bilancio, la differenza tra i soldi spesi e il bilancio effettivo potrebbe essere diviso tra i dipendenti come bonus. Non solo dipendenti sarebbe più probabile a parlare che se hanno notato rallentamenti del sistema o di rete, probabilmente sarebbero più propensi a confrontarsi con estranei vagare attraverso l'impianto.

Un altro meccanismo che può guadagnare alleati di sicurezza è quello di fornire consulenza per quanto riguarda i meccanismi di protezione adeguata per la protezione dei computer di casa. Anche se alcuni potrebbero non vedere questo come direttamente beneficiando dell'azienda, tenere presente che molti dipendenti hanno dati aziendali sui loro computer di casa. Questo Consiglio può venire da presentazioni in diretta o una newsletter.

L'obiettivo di queste attività è quello di incoraggiare i collaboratori ad avvicinarsi volontariamente la gestione o la squadra di sicurezza. Quando questo accade regolarmente, si hanno ampliato le funzionalità della tua squadra di sicurezza e creato un'organizzazione molto più sicura.

John Vacca è consulente di tecnologia di informazione, scrittore professionista, redattore, revisore e internazionalmente noto autore migliore-vendente di Pomeroy, Ohio.È autore di oltre 50 titoli nelle aree di archiviazione avanzate, sicurezza informatica e tecnologia aerospaziale.Vacca era anche uno specialista di gestione configurazione, uno specialista di computer e il funzionario di sicurezza del computer (CSO) per il programma della stazione spaziale della NASA (libertà) e il programma della stazione spaziale internazionale dal 1988 fino al suo ritiro dalla NASA nel 1995.

Per ulteriori informazioni su questo e altri titoli di Elsevier, check out Elsevier Science & Libri di tecnologia.

Contenuti correlati

• Il Cloud Computing: Operazioni di cloud e sicurezza
• Utilità in primo piano: Microsoft Security Essentials
• Gestione della sicurezza: La nuova tendenza di Hacking spaventosa