Segurança: Treinamento em segurança

Não é o suficiente para ter o mais recente software de antivírus ou firewall. Para garantir uma infraestrutura segura, você deve também se concentrar em treinar seus funcionários.

John Vacca

Adaptado de "Computador e manual de segurança de informações" (Elsevier Science & Livros de tecnologia)

Assim como ter um ambiente robusto e seguro, é um processo dinâmico, criar uma equipe altamente qualificada de profissionais de segurança também é dinâmica. É importante ter em mente que, apesar de infra-estrutura técnica de uma organização não pode mudar isso com freqüência, novas vulnerabilidades são descobertas e novos ataques são lançados em uma base diária.

Muito poucas organizações têm uma infra-estrutura estagnada. Os funcionários são constantemente solicitando novo software. E mais tecnologias são adicionadas em um esforço para melhorar a eficiência. Cada nova adição provável adiciona as vulnerabilidades de segurança adicionais.

É importante para a equipe de ti estar preparado para identificar e responder a novas ameaças e vulnerabilidades. Os interessados em obter uma compreensão profunda de segurança devem começar com um programa de fornecedor neutro. Um fornecedor neutro programa centra-se em conceitos, ao invés de produtos específicos.

O Instituto SANS oferece dois programas introdutórios: Introdução à segurança da informação, uma classe de cinco dias, projetada para as pessoas apenas começando na área de segurança e os SANS Security Essentials Bootcamp, uma classe de seis dias, projetada para pessoas com alguma experiência de segurança. Cada classe também está disponível como um programa de auto-estudo, e cada um pode ser usado para se preparar para uma certificação específica.

Outra opção é começar com um programa que segue os requisitos de certificação CompTIA Security, tais como o Global conhecimento básico de segurança da informação. Uma vez que você tem um bom fundo fundamental em segurança, você deve se submeter então especi formação para aplicar os conceitos que aprendeu para aplicações específicas e dispositivos de segurança utilizados no ambiente de trabalho.

Um grande recurso para manter-se com as tendências atuais em segurança é tornar-se ativamente envolvido em uma organização de comércio relacionadas com a segurança. O conceito-chave aqui é activamente. Muitos profissionais se juntam a organizações para que eles podem adicionar um item para a seção "afiliações profissionais" do seu currículo.

"Activamente" significa ser reuniões de atendente regulares, servindo em um Comitê ou em uma posição executiva. Embora isto pareça como um compromisso de tempo assustador, o benefício é uma rede de profissionais de recursos disponíveis para fornecer uma visão geral, servem como uma placa de som ou prestar assistência, quando surge um problema. Participando dessas associações é uma forma econômica de chegar até a velocidade com questões e tendências atuais de segurança.

Estas organizações podem provar útil:

• ASIS International: Esta é a maior organização de segurança do mundo. Ele se concentra principalmente em segurança física, mas recentemente começou a abordar a segurança do computador também.
• ISACA: Anteriormente a auditoria de sistemas de informação e controle de associação.
• Associação de investigação de Crime de alta tecnologia (HTCIA)
• Information Systems Security Association (ISSA)
• InfraGard: Esta é uma organização conjunta de pública e privada patrocinada pelo Federal Bureau of Investigation (FBI)

Além das reuniões mensais, muitos capítulos locais dessas conferências patrocinador de organizações regionais que geralmente são razoáveis e atrair nacionalmente reconheceram especialistas.

Considere a certificação

Sem dúvida uma das melhores maneiras de determinar se um funcionário tem uma forte compreensão de conceitos de segurança da informação é se ela pode alcançar a certificação Certified informações Systems Security Professional (CISSP). Candidatos a essa certificação são testados na sua compreensão dos seguintes 10 domínios de conhecimento:

1. Controle de acesso
2. Segurança de aplicativo
3. Desastres e continuidade de negócios planejamento de recuperação
4. Criptografia
5. Segurança da informação e gestão de riscos
6. Investigações, conformidade e regulamentos legais
7. Segurança de operações
8. Segurança física (ambiental)
9. Design e arquitetura de segurança
10. Telecomunicações e segurança de rede

O que torna esta certificação é que o candidato deve ter um mínimo de cinco anos de experiência profissional na área de segurança de informações ou quatro anos de experiência e um diploma universitário. Para manter a certificação, um indivíduo certificado é necessário para atender a 120 horas de educação profissional durante o ciclo de três anos de certificação continuada. Isso garante que pessoas segurando a credencial CISSP ficar atualizadas com as tendências atuais em segurança. A Certificação CISSP é regulada pelo internacional informação sistemas segurança certificação Consortium, também conhecido como (ISC)2.

Pensar 'fora da caixa'

Para a maioria das empresas, a ameaça aos seus ativos intelectuais e infra-estrutura técnica vem dos "maus" sentado fora de suas organizações, tentando invadir. Estas organizações estabelecem defesas fortes, essencialmente "boxe" seus ativos.

No entanto, funcionários internos têm acesso a informações exclusivas, eles precisam fazer o trabalho deles. Eles muitas vezes divulgar esta informação para áreas onde não é mais sob o controle do empregador. Esses dados geralmente não são feitos com qualquer intenção maliciosa, mas simplesmente para que os funcionários tenham acesso aos dados, então eles podem realizar suas responsabilidades de trabalho mais eficiente. No entanto, isso se torna um problema quando um empregado sai e a organização leva sem degraus para coletar ou controlar suas informações proprietárias na posse de seu ex-funcionário agora.

Uma das ameaças mais negligenciadas a propriedade intelectual é inócua e agora onipresente unidade flash USB. Estes dispositivos, o tamanho de um tubo de batom, são o disquete de moderno-dia em termos de armazenamento de dados portáteis. Eles são uma maneira conveniente para transferir dados entre computadores.

A diferença entre esses dispositivos e um disquete é que as unidades flash USB podem armazenar uma grande quantidade de dados. Uma unidade flash USB de 16GB tem a mesma capacidade de armazenamento, como mais de 10.000 discos flexíveis. Você pode comprar uma unidade flash USB de 16GB por menos de US $15. Tenha em mente que com o passar do tempo, a capacidade destes dispositivos aumentará e o preço diminuirá, tornando-os extremamente atraente.

Estes dispositivos não são a única ameaça aos dados. Porque outros dispositivos podem ser conectados ao computador através da porta USB, câmeras digitais, MP3 players, e discos rígidos externos também podem remover dados de um computador e a rede à qual está ligado. A maioria das pessoas iria reconhecer que discos rígidos externos são uma ameaça, mas eles reconheceria câmeras e leitores de MP3 e outros dispositivos como uma ameaça?

Câmeras e tocadores de música são projetados para armazenar imagens e música, mas para um computador são dispositivos de armazenamento em massa simplesmente adicionais. É difícil para as pessoas entenderem que um iPod pode carregar documentos de processamento de texto, bancos de dados e planilhas, bem como a música. Felizmente, a Microsoft Windows controla os dispositivos conectados a um sistema na chave do registro HKEY_Local_Machine\System \ControlSet00x\Enum\USBStor. Isso pode ser interessante olhar nessa chave em seu próprio computador para ver quais tipos de dispositivos conectados.

Windows Vista tem uma chave adicional que faixas dispositivos conectados: HKEY_LOCAL_MACHINE Devices\Devices.30 portátil. Analisando-se o registro é uma ótima maneira de investigar as atividades dos usuários de computador. Para muitos, no entanto, o registro é difícil de navegar e interpretar. Se você estiver interessado em compreender mais sobre o registro, você pode querer baixar e jogar com RegRipper de Harlan Carvey.

Outra ameaça à informação que pode transportar dados fora dos muros da organização é a multiplicidade de dispositivos portáteis. Muitos destes dispositivos tem a capacidade de enviar e receber e-mail, bem como criar, armazenam e transmitem o processamento de texto, planilha e arquivos PDF.

Embora a maioria dos empregadores não compra estes dispositivos para seus empregados, eles são mais do que feliz deixar seus empregados sincronizar seus dispositivos pessoalmente possuídos com seus computadores corporativos. Informações de contato do cliente, planos de negócios e outros materiais podem ser facilmente copiadas de um sistema.

Algumas empresas sentem que têm esta ameaça sob controle, porque eles fornecem a seus empregados com dispositivos de propriedade da empresa e podem recolher estes dispositivos quando funcionários deixar seu emprego. O único problema com esta atitude é que empregados podem facilmente copiar dados de dispositivos para seus computadores de casa antes que os dispositivos são retornados.

Por causa da ameaça de dispositivos de armazenamento de dados portáteis e dispositivos portáteis, é importante para uma organização estabelecer condições aceitável o uso destes dispositivos de estrutura de tópicos. Também é aconselhável implementar uma solução de nível empresarial para controle como, quando ou se você pode copiar dados para eles.

Desenvolver uma cultura de segurança

Um dos maiores ativos de segurança é um negócio próprio empregados, mas apenas se eles foram devidamente treinados para cumprir as políticas de segurança e identificar potenciais problemas de segurança. Muitos empregados não compreendem o significado de várias políticas de segurança e implementações. Eles consideram estas políticas nada mais que uma inconveniência. Ganhar o apoio e a lealdade dos empregados leva tempo, mas é tempo bem gasto.

Comece com atenção, explicando as razões por trás de quaisquer processos de segurança. Uma das razões pode ser para garantir a produtividade dos funcionários, mas concentre-se principalmente sobre as questões de segurança. Baixando e instalando software não aprovado podem instalar software malicioso que pode infectar os sistemas do usuário, causando computadores funcionar lentamente ou não em todos.

Enquanto a maioria dos funcionários entendem que a abertura inesperada ou desconhecido anexos de email podem levar a uma infecção de malware, a maioria desconhece os recursos avançados do recente código malicioso. "Advanced ameaça persistente", ou a capacidade de um sistema que permanecem infectados apesar do uso diligente de programas antivírus, tornou-se um grande problema. Agora, os funcionários precisam entender que indiscriminado navegar na Web pode resultar em instalações de malware "drive-by".

Talvez a maneira mais direta para obter suporte de funcionários é empregados avise o dinheiro necessário para responder aos ataques e corrigir problemas iniciados por usuários resultados em dinheiro disponível para aumentos e promoções. Avisar os funcionários que têm uma pele"no jogo" é uma maneira de envolvê-los nos esforços de segurança.

Se há um orçamento reservado para responder ao segurança problemas e funcionários ajuda estadia bem dentro do orçamento, a diferença entre o dinheiro gasto e o orçamento real poderia ser dividida entre os funcionários como um bônus. Não só seria mais prováveis falar que se eles notaram a lentidão do sistema ou rede, eles provavelmente seria mais prováveis enfrentar estranhos vagando através do mecanismo de empregados.

Outro mecanismo que pode ganhar aliados segurança é fornecer conselhos sobre os mecanismos de segurança adequadas para proteger computadores de casa. Apesar de alguns não podem ver isso como beneficiando diretamente a empresa, tenha em mente que muitos empregados têm dados corporativos em seus computadores de casa. Este Conselho pode vir de apresentações ao vivo ou um boletim informativo.

O objetivo dessas atividades é incentivar os funcionários a abordagem de gerenciamento ou a equipe de segurança voluntariamente. Quando isso acontece em uma base regular, você terá expandido as capacidades da sua equipe de segurança e criaram uma organização muito mais segura.

John Vacca é um consultor de tecnologia da informação, profissional escritor, editor, revisor e internacionalmente conhecido autor best-selling baseado em Pomeroy, Ohio.Ele é autor de mais de 50 títulos nas áreas de armazenamento avançado, segurança informática e tecnologia aeroespacial.Vacca era também uma especialista em gestão de configuração, uma especialista de computador e o oficial da segurança do computador (CSO) para programa de estação espacial da NASA (liberdade) e o programa da estação espacial internacional a partir de 1988 até sua aposentadoria da NASA em 1995.

Para mais informações sobre este e outros títulos da Elsevier, confira Elsevier Science & Livros de tecnologia.

Conteúdo relacionado

• Computação em nuvem: Nuvem de operações e segurança
• Utilitário em destaque: Microsoft Security Essentials
• Gerenciamento de segurança: A nova tendência de Hacking assustador