Documente Academic
Documente Profesional
Documente Cultură
Dr Eduardo Gelbstein
2
Machine Translated by Google
3
Machine Translated by Google
Cuprins
Despre autor 8
Introducere 10
2.3 Ceea ce trebuie făcut pentru a consolida securitatea este bine cunoscut,
2.4 Certificari 22
www.sylvania.com
Nu reinventăm
roata, reinventăm
lumina.
Iluminatul fascinant oferă un spectru infinit de
posibilități: tehnologiile inovatoare și noile piețe
oferă atât oportunități, cât și provocări.
Un mediu în care expertiza dumneavoastră este la mare
căutare. Bucurați-vă de atmosfera de lucru favorabilă din
cadrul grupului nostru global și beneficiați de trasee
internaționale de carieră. Implementați idei durabile în
strânsă cooperare cu alți specialiști și contribuiți la
influențarea viitorului nostru. Vino și alătură-te nouă în
reinventarea luminii în fiecare zi.
4
Faceți clic pe anunț pentru a citi mai multe
Machine Translated by Google
PERSPECTIVE PROVOCATORII
Oportunități de stagiu
EADS reunește un producător de aeronave de top, cel mai mare furnizor de oportunități de învățare și dezvoltare și tot sprijinul de care aveți nevoie, veți aborda
elicoptere din lume, un lider global în programe spațiale și un lider mondial în provocări interesante cu produse de ultimă generație.
soluții și sisteme de securitate la nivel mondial pentru a forma cel mai mare grup
de apărare și aerospațial din Europa. Peste 140.000 de oameni lucrează la Salutăm peste 5.000 de stagiari în fiecare an din discipline, de la inginerie,
Airbus, Astrium, Cassidian și Eurocopter, în 90 de locații la nivel global, pentru a IT, achiziții și finanțe, la strategie, asistență pentru clienți, marketing și vânzări.
livra unele dintre cele mai interesante proiecte din industrie.
7 Măsurarea securității 57
360°
8.3 Planificarea supraviețuirii 69
gândire.
360°
gândire.
360°
gândire.
Descoperiți adevărul la
6 www.deloitte.ca/careers Faceți clic pe
anunț pentru a citi mai multe
9 Concluzii 71
10 Referințe 72
11 Anexă: Mulțumiri 74
12 Note de final 75
Îți plac mașinile? Ți-ar plăcea să faci parte dintr-un brand de succes? Trimite-ne CV-ul tău pe
Vă vom aprecia și vă vom recompensa atât entuziasmul, cât și talentul. www.employerforlife.com
Trimite-ne CV-ul tau. Vei fi surprins unde te poate duce.
Despre autor
Cu aproape 50 de ani de experiență în sectorul privat și public din mai multe țări, Ed a fost activ în securitatea
informațiilor prin publicații, conferințe internaționale, workshop-uri și, de asemenea, ca auditor.
După mulți ani în calitate de manager senior în Tehnologia Informației în British Rail preprivatizat, sa alăturat
Națiunilor Unite în calitate de director al Centrului Internațional de Calcul, o organizație de servicii care
furnizează servicii multor organizații internaționale. După pensionarea sa, a fost invitat să participe la audit
echipele Consiliului de Auditori Externi al Națiunilor Unite și cele ale Oficiului Național de Audit al Franței
În prezent, este Senior Fellow al Fundației Diplo, o entitate care oferă formare online diplomaților din
întreaga lume. El este, de asemenea, membru al facultății al Universității Webster, Geneva, Elveția și un
vorbitor invitat la Centrul de Politică de Securitate din Geneva. El rămâne un colaborator la conferințele de
securitate din Europa, Golful Arabic și Africa.
Publicațiile sale includ mai multe cărți și articole în reviste evaluate de colegi. Printre ei:
„Demonstrating Due Diligence in management of Information Security, Jurnalul ISACA, ianuarie 2013.
8
Machine Translated by Google
„Planificarea unui audit IT pentru o infrastructură de informații critice”, capitolul 11 al cărții „Securizarea
infrastructurilor critice și a sistemelor de control critic – abordări pentru protecția împotriva amenințărilor”
editată de Christopher Laing et.al. IGI Global, noiembrie 2012
„Lege și tehnologie – Război cibernetic, terorism cibernetic și imobilizare digitală”, co-autor și co-editat cu
profesorul Pauline Reich, IGI Global, noiembrie 2012
„Integritatea datelor, relația săracă a securității informațiilor”, Jurnalul ISACA, noiembrie 2011
„Biblioteca Societății Informaționale”, o colecție de 9 broșuri (3 dintre ele despre securitate), Fundația Diplo,
Geneva, 2003 (în sprijinul primului Summit Mondial al Societății Informaționale)
9
Machine Translated by Google
Introducere
Scopul acestei cărți
Această carte non-tehnică este destinată celor care doresc o înțelegere mai largă a securității informațiilor și a ceea ce
Aceste scurte capitole își propun să ofere o imagine de ansamblu concisă a motivului pentru care „problema” securității
informațiilor nu a fost rezolvată și ce implică utilizarea sistemelor și rețelelor informatice într-o lume conectată în care
peste 2 miliarde de oameni au acces la internet și peste 4 miliarde au telefoane mobile. Mulți dintre ei au, de asemenea,
suficiente cunoștințe despre modul în care funcționează aceste lucruri pentru a le putea perturba.
În scrierea acestei cărți, autorul a luat în considerare elementele lui 5W1H: Ce, De ce, Cine, Unde, Când și Cum. Un accent
pe „Ce” și „De ce” a fost considerat a fi potrivit. „Cine” se aplică cititorului, precum și furnizorilor de servicii, designerilor
Partea „Cum” a acestei discuții depășește intenția și scopul acestei cărți. Multe materiale sunt disponibile, iar unele sunt
menționate în Capitolul 9.
Una dintre numeroasele provocări ale gestionării securității informațiilor în lumea corporativă este cea de scară:
organizațiile mici (de exemplu și echipele IT de mai puțin de 5 până la 10 persoane) pot să nu aibă acces la abilitățile și
experiența necesare pentru a face multe dintre practicile recomandate. și, la celălalt capăt, organizațiile foarte mari, care
pot avea mai multe echipe IT în diferite locații, pot să nu aibă „toch uman” și să se bazeze pe proceduri și tehnologii
birocratice. Abordarea adecvată ar trebui să facă parte din guvernanța securității informațiilor, deoarece nu există un
Cititorii care nu sunt familiarizați cu o parte din terminologie – se pare că există cuvinte noi inventate tot timpul – sunt
10
Machine Translated by Google
•Terminologia „ciberspațiului” este ambiguă și poate duce la neînțelegeri și confuzii. Mulți termeni de bază au
definiții și ortografie contestate (de exemplu, război cibernetic și armă cibernetică). Același lucru este valabil
Există cunoștințe adecvate despre cum să le protejăm prin multe standarde, bune practici și linii
directoare. Cu toate acestea, trebuie făcut mai mult pentru a aplica aceste cunoștințe în practică (Capitolul
2).
• Cei care intenționează să perturbe sistemele informaționale și datele (nume sugerat: „hackeri”) pot fi oricine,
oriunde. Este prudent să presupunem că aceștia sunt talentați, cunoscători, motivați și dedicați, poate mai mult
decât cei responsabili pentru menținerea securității într-o organizație (Capitolul 2).
• Profesioniștii în securitate și conducerea superioară au percepții diferite asupra importanței acestui subiect. Acest
lucru are ca rezultat un dialog slab și o guvernare slabă. Ca urmare, multe organizații nu sunt bine
•Securitatea 100% a informațiilor este de nerealizat, deoarece ar necesita cele patru componente pe care se
bazează pentru a fi perfectă. Aceste componente sunt: guvernanță, oameni, procese și tehnologie (Capitolul
5).
Spre deosebire de un doctor în medicină sau de un pilot de aeronave, oricine poate fi un practician (Capitolul 6).
„securitate prin proiectare”, în mare parte absentă în produsele pe care se bazează spațiul cibernetic. În
industria siguranței, accidentele sunt investigate amănunțit pentru a le descoperi cauza principală, care este
• Înțelegerea și cuantificarea impactului evenimentelor de securitate asupra unei organizații (numită Analiza
impactului asupra afacerii) este esențial importantă pentru a ne asigura că măsurile preventive și de protecție
sunt aplicate acolo unde contează cel mai mult (Capitolul 8).
•Securitatea informațiilor se ocupă mai degrabă de incertitudine decât de risc, deoarece incidentele sunt vizate, nu
evenimente aleatorii. În plus, riscul (pentru care există mai multe definiții care se suprapun) este în viitor, iar
•Securitatea informațiilor nu este treaba altcuiva: fiecare are un rol. Mulți s-ar putea să nu fie conștienți
din aceasta.
11
Machine Translated by Google
Alexander Klimburg, Editor și coautor: Manualul Cadru Național de Securitate Cibernetică, NATO CCDCOE, 2013
Aceia dintre noi care am lucrat în laboratoare de cercetare apropiate de vârful inovației tehnice în anii 1960 și 70, privim
tehnologiile de astăzi cu uimire, dacă nu cu neîncredere. Mulți lideri din industrie nu au reușit să anticipeze modul în care
•În 1943, Thomas Watson, pe atunci președinte al IBM, a prezis că: „Cred că există o lume
•În 1977, Ken Olsen, pe atunci președinte al Digital Equipment Corporation a spus că: „Nu există
motiv pentru care orice persoană are un computer acasă”. Compania nu mai exista...
Aceste succese de transformare includ circuite integrate digitale („cipuri”) și DARPANet (precursorul Internetului) de la
mijlocul anilor 1960, computerele personale, rețelele de fibră optică și telefonia celulară din anii 1970. Apoi au apărut
interfețele grafice de utilizator (cum ar fi Apple Mac în 1984 și Windows în 1990), World Wide Web (1991) și Google (1998).
Primul model de iPhone (Apple) a fost lansat în 2007, iar primul model de iPad a urmat în 2010. Această inovație nu s-a oprit
Acei suficient de vizionari încât să creadă că aceste tehnologii vor transforma lumea care erau pregătiți să investească în ele
(un adevărat pariu) au devenit uimitor de bogați. Aceia dintre noi care suntem mai conservatori
gânditori și oarecum neaștepți la riscuri ne-am dori.
Pe de altă parte, au existat multe eșecuri – idei, produse și servicii care au arătat un potențial considerabil, dar nu au reușit.
Câți își amintesc de companii precum Wang (lider în procesarea de text și minicalculatoare la sfârșitul anilor 1970 sau
12
Machine Translated by Google
Acest val rapid de inovație, pe care unii îl numesc Technami, a adus cu el efecte secundare și consecințe nedorite.
Nesiguranța informațională este una dintre ele și a devenit un motiv de îngrijorare. Technami continuă: inovațiile
recente includ mașini care nu au nevoie de un șofer uman, aparate robotizate de chirurgie (încă controlate de un
om, dar acest lucru se poate schimba), dispozitive flexibile și portabile și noi abordări ale electronicelor militare.
Produsele de tehnologie informațională sunt furnizate „ca atare”, cu garanții limitate și, în cazul software-ului,
licențe care exclud vânzătorul de la răspunderea pentru consecințele funcționării defectuoase sau defecțiunilor.
Majoritatea acordurilor de licență pentru utilizatorul final (EULA) sunt lungi și greu de înțeles de către un
neprofesionist, care trebuie să accepte termenii și condițiile pentru a instala software-ul. Este posibil ca multe
dintre „aplicațiile” concepute pentru smartphone-uri și tablete să nu fi avut o asigurare adecvată a calității, iar unele
s-au dovedit că conțin software rău intenționat (malware).
Acest lucru este spre deosebire de situația industriei farmaceutice: o licență de vânzare a unui produs necesită
testare extinsă, urmând protocoale stricte. La vânzare, produsul include un prospect care descrie posibilele efecte
secundare și contraindicații. Acest proces nu asigură întotdeauna că produsele sunt suficient de sigure și mai multe
au trebuit să fie retrase de pe piață. Cu toate acestea, acest lucru este mai bun decât „l-ai cumpărat, acum succes”.
�e Programul
Programul Absolvent
Absolvent �e �e
Absolventului
M-am alăturat MITAS pentru că pentru Ingineri Geoștiință
ingineri și geoștiințe
Îmi doream responsabilități reale Maersk.com/Mitas
www.discovermitas.com �e
M-am alăturat MITAS pentru că pentru motor
Luna 16
Eram
am fost o
unconstructie M
supraveghetor
Am fost
fost un
în supraveghetor
am un
în contra
Marea Nordului super
consiliere si N el
Muncă adevărată el
ajutând maiștrii consiliere
Interna ional
srezolva
Oportunități internaționale �ree
�ree
wor wor
�tree stagii de muncă probleme
să rezolve el
probleme
ajutând
Muncă adevărată
f la
Interna ional
srezolvarea p
Oportunități internaționale �ree
wor stagii de muncă
�tree
Știm acum că în spațiul cibernetic se întâmplă lucruri nedorite. Lista care urmează nu este exhaustivă, deoarece ingeniozitatea
•Pierdere financiară: în 1995 o bancă britanică cu o istorie îndelungată a cedat, apoi în 2008 o bancă franceză a pierdut
peste 6 miliarde de euro. În 2011, o bancă elvețiană care operează la Londra a pierdut 2 miliarde de dolari. În
cele trei cazuri prin abuz sau abuz din interior. Acestea nu erau unice
situatii.
•Atacuri de tip Denial of Service – acestea supraîncărcă un sistem, de obicei un site web sau un serviciu de poștă
electronică, astfel încât acesta să nu funcționeze. Astfel de atacuri sunt destul de ușor de efectuat și de obicei au succes.
• Utilizarea de software rău intenționat pentru a prelua controlul asupra unui computer sau a unui sistem informatic pentru oricare dintre multe
motive posibile.
• Furtul de informații de identificare personală – o încălcare a confidențialității care duce la uzurparea identității.
• Coruperea sau distrugerea datelor corporative sau a software-ului – folosind frecvent programe rău intenționate
software.
Există îngrijorări tot mai mari cu privire la amenințarea atacurilor cibernetice asupra infrastructurilor critice, cum ar fi utilitățile
(energie, apă, comunicații, transport, spitale etc.), precum și cu privire la aplicarea legii și situațiile de urgență.
Servicii.
Politicienii din întreaga lume au acceptat, de asemenea, că există amenințarea că entitățile care joacă un rol critic în securitatea
națională, precum instalațiile militare și operațiunile din teren, ar putea fi ținta unui atac cibernetic.
• Infectarea unui dispozitiv personal cu software rău intenționat (virus, vierme, cal troian, rootkit,
etc.).
• Pierderea controlului asupra unui dispozitiv personal care este utilizat fără consimțământul lor
•Uzurparea identității – directorii superiori din Interpol și NATO au avut – fără a lor
cunoștințe sau consimțământ – pagini de Facebook despre acestea create și exploatate pentru a dobândi
„prieteni”. Acestea au fost apoi solicitate să furnizeze informații. Persoanele vizate au fost
inconștient de acest lucru.
14
Machine Translated by Google
și alte rețele sociale pentru o tânără strălucitoare (Robyn Sage) cu acreditări impresionante.
Atât de impresionant încât mulți nu doar că au vrut să fie legați de ea, dar i-au oferit un loc de muncă
(nevăzut) sau au împărtășit documente sensibile pentru a-i cere părerea. În realitate, Robyn nu a existat –
identitatea ei a făcut parte din cercetarea modului în care încrederea este folosită și abuzată în rețelele sociale.
• Furtul de identitate – inclusiv date despre conturi bancare, carduri de credit etc., provocând persoane fizice
•Santaj – de exemplu prin criptarea datelor dintr-un computer și solicitarea plății pentru a furniza cheia de
decriptare.
locuri în care doar câteva persoane privilegiate au mijloacele tehnice și financiare pentru a se folosi de astfel de instrumente,
Statisticile publicate de Internet World Stats estimau că până la jumătatea anului 2012 erau peste 2,4 miliarde de utilizatori
de Internet (ați observat că doar traficanții de droguri și industria IT se referă la clienții lor ca „utilizatori”?). Alte surse oferă
cifre comparabile. Uniunea Internațională a Telecomunicațiilor, o organizație a Națiunilor Unite, a raportat că în octombrie
2012 erau peste 6 miliarde de abonați la telefonie mobilă. La acea vreme, populația lumii era de puțin peste 7 miliarde,
În mod clar, informația și tehnologiile care permit accesul la acestea au devenit elemente „must have”, nu numai pentru
indivizi, ci și pentru națiuni și întreprinderi de toate felurile. Entuziasmul pentru noile gadgeturi și servicii sfidează credința.
Lansarea unui nou produs poate determina oamenii să stea la coadă peste noapte pe stradă, așteptând deschiderea
magazinului.
Deși acest lucru poate să nu fie evident pentru publicul larg, tehnologiile nu sunt perfecte. În plus, nici modalitățile în care
utilizatorii își protejează sistemele și datele nu sunt perfecte și nici utilizatorii înșiși – erorile sunt făcute de toată lumea
Mulți nu sunt, de asemenea, conștienți de rolul lor în protejarea informațiilor lor personale și a informațiilor corporative ale
angajatorului lor. Restul acestei cărți se concentrează pe necesitatea unei bune securități a informațiilor și pe ce implică
aceasta.
15
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Vocabularul securității informațiilor continuă să crească. O parte substanțială constă în jargon tehnic, de exemplu, botnet,
rootkit, cheie publică etc. Acestea sunt destul de semnificative pentru cei inițiați și misterioase pentru restul. Mass-media a
adoptat cuvântul „cyber” și îl folosesc frecvent. Politicienii l-au adoptat și ei, deși există definiții multiple și destul de inconsecvente.
Când William Gibson a creat cuvântul „Cyberspace” în romanul său din 1984, Neuromancer, el a contribuit cu un cuvânt care ar
fi folosit foarte greșit și abuzat fără a pune întrebări. Mai târziu, în viața sa, Gibson a spus că a fost un „cuvânt la moda evocator
Nu există o definiție agreată pentru „spațiu cibernetic”. Cu siguranță include lumea datelor și a software-ului. Unii susțin că
include și infrastructuri de rețea și de calcul. Cei mai mulți sunt de acord că Internetul face parte din spațiul cibernetic și că
În mod similar, există un acord limitat cu privire la definițiile pentru „război cibernetic” și „terorism cibernetic” și nu există un
acord asupra modului de a le scrie: ca două cuvinte (război cibernetic), cu cratime ca mai sus sau ca un singur cuvânt (război
cibernetic). Lucruri de genul acesta sunt importante pentru legislatori, diplomați și avocați.
Există chiar un consens limitat cu privire la definiția securității cibernetice (indiferent de modul în care este scrisă). Pentru
această carte, conceptele „Securitatea informației” și „Securitatea tehnologiei informației” vor fi folosite pe tot parcursul și sunt
discutate în Capitolul 3.
Ambiguitatea și confuzia lingvistică nu se termină aici, deoarece alte cuvinte sunt, de asemenea, folosite în mod liber, fără
definiții larg acceptate și agreate. Un alt astfel de cuvânt este „hacker” care poate fi oricine, oriunde:
•Un hacker poate fi un programator de computere care combină curiozitatea, cunoștințele, creativitatea și inteligența
pentru a atinge un obiectiv dat. Acesta a fost sensul original al cuvântului „hacker”.
•Un hacker poate fi, de asemenea, cineva care ocolește sau interferează cu securitatea computerului și/sau
software și date.
•Hackerii variază de la tineri individuali cu anumite cunoștințe de calcul (Script Kiddies), folosind instrumente
disponibile online.
• Alții lucrează ca grupuri numite hacktiviști (un astfel de grup se numește ei înșiși
"Anonim";
• Apoi vin mercenari cibernetici, oameni profesioniști de securitate care lucrează cu criminali.
•Există cei din organizațiile militare și de aplicare a legii – la care mass-media se referă adesea
ei ca „armate cibernetice”.
Pentru a complica lucrurile, o persoană ar putea fi mai multe dintre cei de mai sus la un moment dat.
17
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Un raport publicat de Centrul de excelență pentru apărare cibernetică cooperativă1 (CCD-COE) NATO definește cinci domenii în
care insecuritatea informațională este o problemă și le discută separat, având în vedere că cerințele și acțiunile sunt diferite, dar cu
•Criminalitatea cibernetică
•Inteligenta si Contra-Inteligenta
•Guvernarea Internetului.
Această carte le va explora doar pe primele trei, având în vedere disponibilitatea limitată a informațiilor publice despre informații
și contrainformații și natura complexă a guvernării internetului, deoarece include elemente tehnice, juridice, socio-economice și
politice globale.
Jefuitorul de bănci Willie Sutton (1901–1980) ar fi spus că a jefuit bănci „pentru că acolo sunt banii”. Pe măsură ce banii s-au
dematerializat în unii și zerourile lumii digitale, nu ar trebui să fie surprinzător că criminalitatea i-a urmat în lumea digitală.
Singurul instrument internațional care abordează acest subiect este Convenția Consiliului Europei privind criminalitatea cibernetică
(2001). Este deschisă aderării tuturor țărilor, iar la începutul lui 2013, doar 39 de țări au ratificat sau au accesat Convenția și încă 10
Suma estimată, dar neconfirmată, a infracțiunilor cibernetice se ridică la sute de miliarde de dolari pe an. Este probabil ca unele
infracțiuni cibernetice să nu fie raportate de victime pentru a evita subminarea încrederii publicului și a acționarilor. Astfel de
infracțiuni au loc peste granițe, iar autorii pot, și fac, să pună bariere tehnice și juridice în calea detectării, arestării, extrădării și
judecării lor.
Criminalitatea informatică ia mai multe forme. Din perspectivă corporativă, principalele preocupări sunt furtul de proprietate
intelectuală și frauda. Același lucru este valabil și pentru alte forme de scurgere de date în care informațiile sensibile ajung la părți
care nu ar trebui să le dețină. Alte forme de criminalitate cibernetică corporativă includ sabotajul și/sau extorcarea.
Persoanele fizice sunt, de asemenea, ținta infracțiunilor cibernetice, cum ar fi furtul de identitate, în cazul în care o terță parte
poate colecta suficiente informații despre o persoană pentru a-și putea uzurpa identitatea (și deseori a le falimenta) prin obținerea
18
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
„Phishing”, vizează indivizi (în privat și la locul de muncă) prin utilizarea de comunicații electronice care se prefac a fi de la o
entitate de încredere, cum ar fi o bancă, fie către informații personale, cum ar fi parole sau detalii ale cărții de credit și/sau îi
determină să facă clic pe un link în mesaj. Această acțiune îi duce la o copie credibilă a site-ului web al entității de încredere,
care le solicită, de asemenea, să „confirme” detaliile personale și, de asemenea, să le infecteze computerul cu malware.
Există și alții care se prădesc pe credincioși care sunt pricepuți să extragă bani de la victimele lor prin înșelăciune. Acestea
variază de la pretinderea a fi o rudă a unei bănci sau a unui oficial guvernamental dintr-o țară îndepărtată care cere asistență
pentru a transfera o sumă uriașă de bani, cu condiția ca victima să facă o plată în avans pentru a facilita procesul...
Apoi mai este soldatul singuratic (sau potențiala mireasă îndepărtată) care are nevoie de bani pentru un bilet, o intervenție
chirurgicală sau alt motiv plauzibil - doar un mic avans care va fi rambursat în cel mai scurt timp. În ciuda publicității pe care
aceștia o primesc, victimele nu lipsesc. Nu este probabil ca criminalitatea cibernetică să se oprească în viitorul apropiat.
Există multe definiții pentru o infrastructură critică. De exemplu, Agenția Europeană pentru Securitatea Rețelelor și a
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
„Acele sisteme și rețele interconectate, a căror întrerupere sau distrugere ar avea un impact grav asupra sănătății, siguranței,
securității sau bunăstării economice a cetățenilor sau asupra funcționării efective a guvernului sau a economiei”.
•Operațiunile lor necesită sisteme și rețele informaționale, senzori și alte mecanisme de achiziție de date.
•Infrastructurile critice sunt frecvent necesare pentru a opera dispozitive fizice, cum ar fi distribuitoarele de
numerar (ATM), motoarele (pentru a comuta o cale ferată) și sistemele robotizate (în producție).
•Face parte dintr-un lanț de aprovizionare – nefuncționarea se propagă către/de la alte entități care pot fi, de
Această definiție se aplică utilităților (energie electrică, gaz, apă), transport (controlul traficului aerian, operațiuni aeroportuare,
căi ferate), toate producția continuă (rafinării de petrol, prelucrarea sticlei și hârtiei), bancar (rețele ATM și online), telecomunicații
(linie fixă). și telefonie mobilă, furnizori de servicii de internet) și multe altele. Toate acestea sunt „invizibile” atunci când sunt
operaționale. Când eșuează, acest lucru face aproape invariabil titlurile de știri.
Atacurile asupra infrastructurilor critice devin din ce în ce mai sofisticate: un eveniment semnificativ a fost utilizarea software-ului
Stuxnet pentru a perturba instalațiile de procesare a îmbogățirii uraniului din Iran, făcută publică pentru prima dată în iunie 2010.
Experții au descris Stuxnet ca fiind o „rachetă cibernetică de calitate militară”, iar experții în software care au analizat Stuxnet2 au
raportat că: „Cu siguranță nu am mai văzut așa ceva până acum”. Jurnalul Computer World a numit-o „una dintre cele mai
De atunci au existat alte atacuri de succes asupra infrastructurilor critice în multe țări. Un atac din august 2012 a avut ca țintă
Saudi Aramco, unde virusul Shamoon a infectat 30.000 de computere personale, le-a șters datele și le-a înlocuit cu imagini ale unui
Atacurile cibernetice și perspectiva unui război cibernetic (un eveniment pentru care nu există o definiție agreată până în prezent)
20
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Ca și în cele două secțiuni anterioare, țintele pot fi foarte specifice, iar atacatorii pot fi diferiți. Se vorbește neconfirmat
despre „armate cibernetice” active în mai multe țări. Când astfel de activități sunt discutate în public, ele sunt menționate
ca fiind limitate la „capacități defensive”. Cu toate acestea, în octombrie 2011, generalul R. Kehler, de la Comandamentul
Strategic Militar al SUA, a declarat că: „...trebuie să definească regulile de angajare pentru războiul informatic ofensiv”.
Există speculații mass-media că capabilitățile ofensive sunt deja existente sau sunt dezvoltate în mai multe
ări.
În timp ce din perspectiva securității informațiilor, cele trei domenii discutate aici au multe elemente în comun, una dintre
numeroasele provocări este dacă să extindă sau nu, printre altele, Legile luptei armate (Convențiile de la Geneva și de la
Haga) pentru a include armele cibernetice și definiți ce pot constitui ținte protejate în cazul unui conflict cibernetic.
Cu toate acestea, problema nu va dispărea chiar dacă astfel de legi vor fi actualizate și sunt semnate noi Tratate, deoarece
2.3 Ceea ce trebuie făcut pentru consolidarea securității este bine cunoscut, dar nu este făcut
suficient de bine
Acest subtitlu este o modificare a titlului unui raport publicat de către US General Accountability Office (GAO) în decembrie
2011. Gestionarea securității informațiilor necesită concentrarea pe multe activități disparate, în special:
(Capitolul 4)
• Creșterea gradului de conștientizare a problemelor de securitate a informațiilor în rândul forței de muncă și al serviciului
furnizori (Capitolul 4)
•Identificarea celor mai critice sisteme de informații și date, vulnerabilitățile acestora și măsura în care
(Capitolul 8)
21
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
2.4 Certificari
Securitatea informațiilor nu este o profesie reglementată și, prin urmare, nu există nicio cerință pentru nicio formă
de certificare. Acolo unde securitatea informațiilor este critică, poate fi justificată solicitarea unor astfel de certificări.
Certificarile organizaționale includ, de exemplu, conformitatea cu ISO 27001 „Sistem de management al securității
informațiilor” și Actul federal de management al securității informațiilor din SUA (FISMA). Unele pot fi opționale (ISO
27001), în timp ce altele pot fi obligatorii în domenii specifice de activitate, cum ar fi Standardul de securitate a
Certificarile profesionale sunt opționale pentru persoane fizice, dar angajatorii pot alege să le facă o cerință. Există
mai multe certificări, precum cele de la Asociația de Audit și Control al Sistemelor Informaționale (ISACA): CISA:
Certified Information Security Auditor, CISM: Certified Information Security Manager și CRISC: Certified in Risk and
Există și cele ale Consorțiului Internațional de Certificare a Securității Sistemelor Informaționale (ISC2 ), inclusiv
CISSP: Certified Information Systems Security Professional și CSSLP: Certified Secure Software Lifecycle Professional
„Începutul perfect al
unei cariere
internaționale de succes.”
CLICK AICI
pentru a descoperi de ce atât din punct de
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Cea de-a treia categorie este echivalentă cu un permis de conducere și necesită ca persoanele să finalizeze un program de
Astfel de certificări au fost dezvoltate și testate de-a lungul multor ani de mai multe organizații. Un exemplu este certificatul
Security in the Field pe care Națiunile Unite le cere celor care călătoresc într-o locație de teren să îl aibă. Această certificare
specială este valabilă timp de trei ani, după care cursul și testul trebuie reluate.
•Nu este nevoie să fii prezent fizic la locație pentru a efectua un atac:
•Există excepții – de exemplu, când ținta nu este conectată la o rețea globală, cum ar fi Internetul. Acesta a
fost cazul în Natanz, Iran, unde sistemele care controlau centrifugele de îmbogățire au fost izolate de
•Fără penalizare pentru eșec: fiecare interacțiune cu apărarea unei rețele sau a unui sistem de calculatoare
•Fără obstacole administrative de depășit: resursa cheie a atacatorilor este cunoștințele, iar cerințele lor pentru
instrumente și tehnologie sunt modeste. Procesul lor de achiziție este cu siguranță mai simplu decât achizițiile
23
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
• Utilizarea mai multor rețele (corporație, Internet, acasă, wireless comercial, telefon)
În acest mediu, multe elemente nu se află sub controlul corporativ și, prin urmare, nu este posibil să ne așteptăm
ca altcineva să fie în întregime responsabil pentru securitatea activelor informaționale. Toată lumea ar trebui să fie
Unele contracte de muncă includ clauze specifice securității informațiilor, cum ar fi nedezvăluirea informațiilor de
proprietate, sensibile sau clasificate în alt mod. Departamentele guvernamentale pot solicita semnarea a ceva
Criterii similare se pot aplica informațiilor despre clienți, de la nume, adresă și informații de contact până la statutul
clientului, de exemplu, ratingul de credit, soldurile bancare etc. Acestea pot fi supuse legislației naționale, cum ar fi
Dezvăluirea a mii de schimburi diplomatice de către un membru al armatei americane, afacerea „Wikileaks” din
2010, a fost o situație în care o persoană cu autoritatea de a accesa informații a folosit abuziv acest privilegiu pentru
a acționa ca avertizor din motive necunoscute, indiferent de consecin ele asupra organiza iei i asupra
individului.
Nimeni nu este perfect și acțiunile neintenționate pot afecta securitatea informațiilor. Lucrul pentru a respecta un
termen limită strâns, a fi distras, lipsa de concentrare din cauza multitasking-ului, întreruperile, senzația de rău etc.,
sunt toate cauzele erorii umane. Lipsa de familiarizare cu procedurile și/sau sistemele, precum și dependența de
24
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Lecții identificate în ultimii zece ani
Există controale pentru a reduce posibilitatea erorilor umane. Segregarea sarcinilor fiind poate cea mai frecvent aplicată –
până când tendința pentru „Lean Enterprise” a redus numărul de personal până la punctul în care din ce în ce mai multă
responsabilitate a fost pusă asupra indivizilor fără a recurge la o verificare independentă pentru acuratețea și caracterul
Ingineria socială precede „rețelele sociale” cu mulți ani și este cel mai bine descrisă ca „arta hackingului uman”. Înșelăciunea
și manipularea sunt încorporate în natura umană, iar bunii practicieni nu au nevoie de abilități tehnice pentru a sparge
barierele care protejează activele informaționale – ei pur și simplu cer informațiile sau elementele necesare pentru a le accesa.
Cercetările efectuate în Marea Britanie în ultimii ani au arătat că mulți oameni își vor dezvălui identificatorul de acces și parola
Acest capitol a explorat „lecțiile identificate” – aceasta nu este același lucru cu „lecțiile învățate”.
Cele două capitole anterioare au discutat despre „securitate” fără a o defini efectiv, presupunând că este un concept
atât de comun încât toată lumea înțelege ce înseamnă. Din păcate, acest lucru nu este complet adevărat din cauza
În anii 1990, standardele emergente de securitate a informațiilor3 defineau securitatea informațiilor ca fiind formată
din trei elemente:
• Păstrarea confidențialității: asigurarea faptului că informațiile pot fi accesate numai de către aceștia
autorizat să facă acest lucru
•Asigurarea disponibilității: asigurarea faptului că părțile autorizate pot accesa informații când
necesar.
Această definiție este reflectată în standardul internațional ISO 27000 și este utilizată pe scară largă. Practicienii în
securitate au propus componente suplimentare. În 2002, DB Parker a propus trei elemente suplimentare:
•Autenticitate: asigurarea faptului că părțile într-o tranzacție electronică sunt cine pretind că sunt
furnizate unui individ împreună cu cheia de criptare, dar destinatarul pierde cheia de criptare.
Datele rămân disponibile, autentice și confidențiale, păstrează integritatea originală și se află în posesia
Comerțul electronic a adăugat încă un element: Non-Repudierea: Mecanismul care asigură că o parte la o tranzacție
nu poate nega că a primit o tranzacție și nici cealaltă parte nu poate nega că a trimis-o.
26
Machine Translated by Google
Managementul securității informațiilor se bazează pe trei domenii distincte de responsabilitate. Acestea nu sunt
întotdeauna bine legate sau coordonate, deoarece managementul lor este plasat în structuri organizaționale
diferite care nici măcar nu vorbesc între ele. Acestea sunt prezentate în Figura 2.
Figura 2
+ • SCADA
Centru de servicii • Conformitate
Oameni înrudit
Multe (majoritatea?) • Responsabilități
• Conștientizarea
Multe activități ar
activităților ar putea fi externalizate putea fi externalizate
+
Sunt puține organizații care nu au o formă de securitate fizică și cineva responsabil pentru aceasta. Prezența
recepționerilor sau a gardienilor în uniformă pentru controlul accesului este familiară tuturor.
Dar, ei și colegii lor, mulți „în culise”, au responsabilități pentru securitatea informațiilor?
De fapt, o fac, împreună cu alte unități. Aceasta începe cu verificări ale antecedentelor înainte de implicare pentru
sau cu funcția de Resurse Umane. Acestea pot acoperi potențialii angajați și, de asemenea, consultanți, auditori
externi, furnizori și alți vizitatori. Severitatea acestor controale ar trebui să reflecte sensibilitatea mediului
individual.
27
Machine Translated by Google
Securitatea fizică monitorizează, de asemenea, controalele de acces și se asigură că zonele sensibile pot fi accesate
numai de cei autorizați în mod special să facă acest lucru. În plus, aceștia iau măsuri pentru a se asigura că echipamentele
și datele deținute de organizație nu sunt eliminate fără autorizare (mai ușor acum, având în vedere miniaturizarea
dispozitivelor) și că orice dispozitive pierdute sau furate sunt tratate în mod corespunzător, inclusiv blocarea și ștergerea
Aceasta este urmată de acreditare, care poate lua forma unei etichete „VISITOR” sau a unei insigne programate să
deschidă uși predefinite și/sau să fie folosită ca simbol pentru a accesa un sistem informatic.
Echipa de securitate fizică este, de asemenea, responsabilă de tratarea încălcărilor suspectate sau reale ale securității și
aceasta poate include investigații, confiscarea și menținerea unui lanț de probe acceptabil din punct de vedere legal și,
atunci când este necesar, colectarea tuturor acreditărilor și articolelor deținute de organizație înainte de a escorta o
persoană sancționată. afară din clădire. Astfel de acțiuni sunt notificate departamentului de resurse umane care apoi
face toate demersurile administrative și de angajare necesare de separare, în special asigurându-se că accesul persoanei
O activitate dispersată din punct de vedere organizațional, aceasta se ocupă de activele informaționale reale ale
organizației, indiferent de forma lor (hârtie sau electronică) și oriunde sunt păstrate (arhive, „cloud”, o companie de
Maastricht
Universitatea este
cel mai bun specialist
universitate în
Vizitează-ne și află de ce suntem cei mai buni! Olanda
(Elsevier)
Ziua porților deschise a masterului: 22 februarie 2014
www.mastersopenday.nl
O cerință de confidențialitate implică faptul că „proprietarul” sau „custodele” informațiilor este singura parte cu cunoștințele
Există multe moduri de clasificare a datelor și organizațiile au propriile criterii pentru a face acest lucru. Este în regulă, atâta
timp cât aceste criterii sunt aplicate în mod consecvent și sistematic. O modalitate „ușoară” (= leneș) este să spui: „Totul este
confidențial” și accesibil doar celor autorizați în mod special să acceseze un anumit articol.
Acest lucru poate suna tentant, dar cantitatea de date deținute de organizații este uriașă: proprietate intelectuală,
comercială, operațională, juridică, financiară, HR, achiziții și multe altele... Într-o organizație mare, alocarea drepturilor de
acces persoanelor și menținerea acestora pe măsură ce își schimbă locul de muncă este nerealistă.
La cealaltă extremă, sunt cei care spun „suntem mândri de transparența noastră și nu avem nimic de ascuns, așa că nu
clasifica nimic”. Acest lucru este naiv. Fiecare organizație, oricât de simplă sau mică are date pe care nu ar trebui să le facă
publice, de exemplu adresa și informațiile bancare ale unui angajat (din motive de confidențialitate), detalii despre
propunerile comerciale în timpul unui proces de licitație (sensibile din punct de vedere comercial), informații de proprietate
Există mai multe categorii posibile de clasificare între „Sunt secret” și „Public”, cum ar fi Restricționat la (un grup definit), Sub
embargo până la (o dată) etc. Fiecare categorie este clar definită și susținută de reguli clare. Echilibrul corect între restricții
și deschidere poate să nu fie evident, dar, fără el, organizația este fie legată în noduri, fie expusă.
Există o provocare managerială suplimentară: fiecare parte a organizației se bazează pe rețele și aplicații de computere
specifice. Managementul procesului de afaceri specific și instrumentele sale necesare pentru a le susține sunt responsabile
pentru a se asigura că drepturile persoanelor care accesează aceste sisteme sau „permisiuni” sunt în concordanță cu rolurile
și responsabilitățile lor.
De exemplu, un angajat al unei bănci care lucrează într-o sucursală provincială nu ar avea niciun motiv să acceseze datele
despre clienții din alte locații. Dacă accesul este activat, este necesar să se definească ceea ce persoana are voie să facă cu
Aceasta este o sarcină oneroasă care, atunci când nu este gestionată în mod corespunzător, poate duce la acumularea de
drepturi de acces a oamenilor (denumite de obicei „permisiuni”) pe măsură ce se deplasează prin organizație ca urmare a
În practică, este greu să creezi o listă detaliată și completă de permisiuni atunci când una nu există deja. Există instrumente
care ar trebui să faciliteze acest proces. Sistemele de întreprindere mai noi includ instrumente pentru definirea controalelor
de acces bazate pe roluri (RBAC). Aceste controale și orice excepții temporare de la acestea, necesită atenția conducerii și
validarea regulată.
29
Machine Translated by Google
Poate cea mai vizibilă și mai discutată componentă, aceasta aparține unui mediu tehnic care are propria cultură și
limba. Esențiale pentru a proteja informațiile împotriva accesului și modificărilor neautorizate, aceste activități pot
să nu locuiască în organizație, așa cum este cazul când operațiunile și serviciile de tehnologia informației sunt
furnizate de un furnizor extern. Astfel de furnizori sunt de obicei furnizori de externalizare, offshoring, servicii terțe ,
Este obișnuit să găsiți un Manager șef de securitate a informațiilor (3.4) în departamentul IT cu responsabilități și
Niciunul dintre subiectele din această secțiune nu poate avea „un răspuns corect” și există multe cărți în care sunt
discutate.
Următorul capitol examinează provocările manageriale pe care securitatea informațiilor le prezintă unei organizații.
redefiniți
viitorul tau
Societatea funcționează pe baza încrederii, un subiect complex cu implicații etice și sociale. Încrederea reprezintă
credința în onestitatea, corectitudinea și bunăvoința părților în cauză. Capitolul 2 a arătat că încrederea în spațiul
cibernetic a fost ruptă în mod deliberat de multe ori de-a lungul multor ani.
Pierderea încrederii a dus la elaborarea de standarde, bune practici, linii directoare, politici de securitate a
informațiilor, legislație și alte măsuri considerate necesare pentru protecția activelor informaționale.
proverb italian
Atingerea unui nivel satisfăcător de securitate a informațiilor necesită multe lucruri de făcut, iar aceste lucruri
necesită leadership și management pentru a fi realizate suficient de bine. Pentru a ilustra acest lucru, luați în
considerare analogia unei orchestre și a dirijorului ei:
Dirijorul oferă conducere prin clarificarea muzicienilor, fiecăruia dintre profesioniști și „managerului” unui
instrument muzical, ce se așteaptă de la interpretarea lor ca parte a unui grup. Dirijorul nu trebuie să fie capabil
să cânte la fiecare instrument din orchestră, dar trebuie să aibă credibilitate și să câștige respectul jucătorilor.
Un dirijor strălucit poate obține performanțe bune de la o orchestră mediocră. Atunci când un dirijor nu foarte
competent ajunge în fața unei orchestre de primă clasă, membrii acesteia vor cânta de obicei bine ignorând
dirijorul. Când dirijorul și orchestra sunt ambele mediocri, rezultatul va fi, în cel mai bun caz,
mediocru.
31
Machine Translated by Google
Figura 3
Figura 3: Guvernarea securității informațiilor ca un joc de masă (jucat cu bani reali)
32
Machine Translated by Google
În ochii directorilor și ai conducerii superioare, securitatea informațiilor este o funcție de susținere a afacerii, fără
îndoială importantă, dar și un element de cost pentru afacere. Prin urmare, o strategie de securitate a informațiilor
descrie cum să migrați dintr-o situație „ca atare” la o destinație țintă. Făcând acest lucru, managementul superior decide
Întrucât cheltuielile cu securitatea informațiilor vizează riscuri și rezultate greu de cuantificat, o strategie bună urmărește
să reducă riscul ca ceva cu adevărat rău să se întâmple, ceea ce devine astfel un beneficiu ipotetic.
Compararea proiectelor intangibile de evitare a costurilor (cum ar fi securitatea) cu investiții mai convenționale orientate
• O evaluare a amplorii și calității controalelor existente (așa cum sunt furnizate de Auditul Intern);
Strategia de securitate a informațiilor trebuie să aibă descrieri suficient de detaliate ale obiectivelor organizației, priorităților
Acestea constituie un set de documente care descriu cerințe și reguli specifice care trebuie respectate. Pentru claritate și
concizie, fiecare politică ar trebui să acopere un singur domeniu. De exemplu, o politică de „parolă” ar acoperi regulile și
Un portofoliu corporativ ar conține mai multe politici, de exemplu cu privire la: Utilizarea adecvată a resurselor de informații,
Utilizarea rețelelor Wi-Fi publice necriptate, Instalarea de software pe dispozitive utilizate pentru accesarea datelor
corporative etc. Institutul SANS are liste cuprinzătoare, precum și șabloane de politici ( vezi capitolul 9). Există și alte surse
pentru astfel de șabloane și, de asemenea, consultanți care oferă acest serviciu.
Pentru ca astfel de politici să aibă succes, ele ar trebui să fie revizuite și aprobate de cei care ar putea avea de a face cu
probleme de neconformitate, de obicei funcția de Resurse Umane și consilierul juridic. Consultarea cu reprezentanții forței
Emiterea și diseminarea politicilor este o provocare: Cea mai simplă modalitate constă în a postarea politicilor într-un
Intranet corporativ și a se baza pe angajați pentru a le găsi și a le lua notă. Este nerezonabil să ne așteptăm ca o astfel de
abordare să fie eficientă. Proverbul care spune că „poți să duci un cal la apă, dar nu îl poți face să bea” spune totul.
La cealaltă extremă, există modalități de a se asigura că fiecare angajat primește o copie a poliței, confirmă primirea și
semnează un document care declară intenția de a se conforma. Acest document este depus în fișa de resurse umane a
Abordarea selectată ar trebui să reflecte importanța securității informațiilor pentru organizația specifică
si e cultura.
34
Machine Translated by Google
Cel mai simplu mod de a vă asigura că sarcinile cheie nu vor fi îndeplinite este lipsa de claritate cu privire la cine este
responsabil pentru ce. În organizațiile mari, unde dimensiunea și complexitatea necesită proceduri formale,
responsabilitățile sunt, de asemenea, încorporate în fișele postului pentru a evita sindromul „nu în fișa postului meu”
care există în special atunci când avem de-a face cu angajații dezafectați.
În plus, există roluri care trebuie atribuite persoanelor din afara funcției IT (externe sau interne) pentru a defini nevoile
contului de acces, privilegiile de sistem și date, aproba excepții etc., așa cum este descris mai jos.
Posibil cea mai critică sarcină de guvernare, necesită decizii în concordanță cu cele evaluate:
•Securitatea informațiilor face parte din costul de a face afaceri sau o investiție corporativă? Cum
Calitatea acestor decizii va determina dacă strategia de securitate a informațiilor reușește sau nu.
Figura 4 ilustrează pașii de bază implicați în gestionarea securității informațiilor într-un mod eficient:
da
Nu Nu Nu
Figura 4
35
Machine Translated by Google
Execuție – revenind la modelul orchestrei simfonice, o performanță bună necesită ca fiecare jucător să dea tot ce e mai
bun pentru aceasta. În securitatea informațiilor, acest lucru necesită o înțelegere clară a rolurilor și responsabilităților,
cunoașterea proceselor de afaceri relevante și a rolului sistemelor și datelor de informare în sprijinirea acestora,
Cele trei întrebări din figură se aplică la tot ceea ce întreprindem. Succesul presupune ca la toți trei să li se răspundă
„DA”, iar când răspunsul sincer este „NU”, nu va exista nicio îmbunătățire fără acțiune.
Această secțiune își propune să ofere cititorului indicații despre ceea ce sunt „lucrurile potrivite”, „modul corect” și
„destul de bine”. Fiecare organizație poate avea seturi diferite de răspunsuri la aceste întrebări, ceea ce este de așteptat,
• Adoptarea și implementarea standardelor, liniilor directoare și bunelor practici. Nu există o „cea mai bună”
• Având definiții clare ale obiectivelor, țintelor, resurselor de responsabilitate, metrici etc.
Dacă răspunsul la această întrebare este NU, organizația este expusă. În cel mai bun caz, oamenii vor trebui să
ghicească ce se așteaptă de la ei și/sau să nu aibă abilitățile sau resursele necesare pentru a-și face munca.
În loc să-și dezvolte și să scrie politicile de securitate (nu este o sarcină banală), există cei care optează pentru o
modalitate mai ușoară de a face acest lucru: cumpărați șabloane standard pentru astfel de documente, faceți o căutare
rapidă și înlocuiți, imprimați documentele și puneți-le într-un dosar. cabinet. Acest lucru creează credința că „s-a făcut”.
Același lucru este valabil și pentru angajarea consultanților pentru a face acest lucru fără participarea și angajamentul
forței de muncă. Consultanții pot adăuga valoare prin experiența lor, dar, la sfârșitul misiunii, vor pleca pentru a merge
la alt client. După ce au plecat, nimeni din organizație nu se va simți proprietarul acestei lucrări. În cele din urmă,
36
Machine Translated by Google
Există și alte activități care trebuie făcute în „modul corect”, în conformitate cu standardele și bunele practici
alese. Aceste alegeri sunt influențate de culturile naționale și organizaționale, de cerințele guvernamentale și
de reglementare și de practicile preferate ale furnizorilor de servicii, externalizatorilor și practicienilor
organizaționali.
Dacă răspunsul la această întrebare este NU, ar fi bine să explorezi de ce nu. Pot fi imaginate multe motive:
lipsă de timp, lipsă de finanțare, lipsă de cunoștințe, aroganță tehnică („știm mai bine”), lipsă de claritate cu
privire la deciziile cui sunt acestea etc.
Este posibil ca răspunsurile la cele două întrebări anterioare să fi fost DA și acesta este un lucru bun. Cu toate
acestea, a face lucrurile suficient de bine necesită cunoștințe, dăruire, disciplină și implicarea angajaților.
Când lipsesc oricare dintre acestea, sarcinile vor fi executate într-un mod nesatisfăcător și vor fi susținute de
scuze: „Ne pare rău, nu am avut timp să fac backupul datelor pentru acest sistem critic și datele s-au pierdut
acum” sau „Ne pare rău, Nu am făcut testul acestei modificări pentru că eram sigur că va fi OK” (ghici ce: nu a fost).
Dacă răspunsul la această întrebare este NU, organizația are o problemă de management care poate necesita
injecții de motivație, pregătire și recrutare și, eventual, acțiuni mai drastice.
Au fost produse multe seturi de standarde și bune practici pentru securitatea informațiilor. Acestea sunt munca unor organisme
profesionale, grupuri de lucru de practicieni dedicați. Pe măsură ce tehnologiile se schimbă rapid, niciunul dintre aceste
documente nu poate fi considerat „definitiv”. Unele dintre elementele din lista care urmează
•Seria de documente NIST SP800, publicată de Divizia de Securitate Calculatoare a Institutului Național pentru
Știință și Tehnologie din SUA. Constând din peste o sută de documente, acestea sunt, de asemenea, actualizate
în mod regulat.
Alte orientări relevante și bune practici acoperă segmente mai specifice ale practicii securității informațiilor. Printre ei:
descrieri. Acestea urmăresc să îmbunătățească consistența cu care sunt implementate și executate procesele. ITIL
este utilizat pe scară largă în întreaga lume și a condus la dezvoltarea standardului internațional ISO 20000
•Obiectivele de Control pentru Tehnologia Informației (COBIT), emise de Institutul de Guvernare a Tehnologiei
Informației (ITGI) și Asociația de Audit și Control al Sistemelor Informaționale (ISACA). Domeniul său actual de
monitorizarea. COBIT 5, lansat în 2012, include publicații separate dedicate securității informațiilor.
• Corpul de cunoștințe privind managementul datelor (DMBOK) care se ocupă de toate aspectele gestionării
resurse de date.
Această listă este doar „vârful aisbergului”. Care, dacă este cazul, ar trebui adoptată este definită de strategia de securitate a
organizației, cultura și limba acesteia (toate cele de mai sus sunt disponibile în engleză, iar unele au fost traduse în alte limbi).
Adoptarea și implementarea oricăror sau a tuturor celor de mai sus necesită un efort considerabil de învățare și formare, urmat
de angajamentul de a schimba practicile zilnice și de a depune eforturi pentru îmbunătățirea continuă. Schimbarea este aproape
38
Machine Translated by Google
Pur Pur
operațional strategic
Puternic
Cunoștințe de
Limitat afacerea Adânc Slab
Figura 5
Puterea creierului Până în 2020, vântul ar putea asigura o zecime din necesarul de
energie electrică a planetei noastre. Deja astăzi, know-how-ul
inovator al SKF este esențial pentru funcționarea unei mari
proporții a turbinelor eoliene din lume.
Săgețile din figura 5 pot fi poziționate oriunde de-a lungul liniei dintre punctele care descriu rolul unui ofițer șef de securitate a
informațiilor. Conducerea superioară (inclusiv Chief Information Officer) trebuie să definească ce alegeri sunt cele mai potrivite
Un rol strategic necesită interacțiunea cu mai mulți manageri, inclusiv Chief Information Officer, Chief Security Officer, Chief Risk
Officer, Audit Intern, Consilier Juridic General și mai multe unități de afaceri – precum și cu conducerea executivă și consiliul de
administrație. Acest lucru necesită ca CISO să aibă o bună cunoaștere a afacerii și abilități soft: comunicare, relații interpersonale,
Furnizarea de servicii este o muncă tehnică care necesită cunoștințe despre produse și proceduri. Acești indivizi sunt adesea
invizibili pentru organizație, iar nevoia de abilități soft este mai puțin critică.
Managementul operațional cere CISO să gestioneze activitățile și performanța mai multor specialiști tehnici și să aibă o bună
protecția proprietății intelectuale, scurgerile de date și probleme de integritate, conformitatea cu reglementările, confidențialitatea,
Ori de câte ori cineva spune: „Nu știam”, aceasta creează o vulnerabilitate și, prin urmare, un risc pentru organizație.
Persoanele din echipa ta ar trebui să fie familiarizate cu necesitatea menținerii securității și, de asemenea, cu politicile organizației
Aceasta face parte din responsabilitățile fiecărui manager și include identificarea și abordarea cazurilor de:
•Nerespectarea politicilor;
•Toate formele de sabotaj, pierderi de echipamente sau date, furt de proprietate intelectuală și altele
Funcția de Resurse Umane, Consilierul Juridic și Securitatea Corporativă ar trebui consultate cu privire la aceste chestiuni, iar
sfatul lor cu privire la investigații este esențial înainte de a lua orice acțiune.
40
Machine Translated by Google
Infecțiile spitalicești erau rampante în secolul al XIX-lea și chiar la începutul secolului al XX-lea . Igiena bună și antibioticele au
transformat acest lucru, cu excepția faptului că acum igiena trebuie consolidată din nou din cauza consecințelor nedorite, cum ar
• Protejarea echipamentelor și a datelor împotriva pierderii sau furtului și raportarea promptă oricând
se întâmplă;
•Aplicând parole bine concepute care nu pot fi ghicit și, mai bine, folosirea a doi factori
• Instalarea și menținerea la zi a instrumentelor pentru a preveni accesul neautorizat (de exemplu, firewall) și pentru
•Aveți grijă corespunzătoare de a nu dezvălui informații sensibile prin intermediul rețelelor sociale (de ex
• Utilizarea criptării pentru a proteja datele sensibile dacă aceasta este aliniată cu securitatea organizației
politici
• Realizarea de copii ale informațiilor (backup) și păstrarea lor într-o manieră sigură (criptate, dulapuri securizate etc.)
Următorul capitol discută sursele interne de insecuritate prin explorarea a patru domenii de vulnerabilități.
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
•Tehnologii
Vulnerabilitatea se referă la incapacitatea de a rezista unui mediu ostil. Lucrurile care sunt create de om nu sunt
niciodată 100% invulnerabile. În plus, tehnologiile informaționale sunt supuse eșecului și învechirii.
Orice poate merge prost o va face în cel mai rău moment posibil.
Orice lucru care nu ar putea merge prost așteaptă doar ocazia.
Guvernarea securității informațiilor (ISG) este adesea mai puțin de succes din mai multe motive:
•Executivii și managerii seniori au multe subiecte diverse de tratat și se confruntă cu cerințe grele în
timpul lor. ISG le sporește volumul de muncă și acoperă un subiect cu care este posibil să nu
•Incapacitatea de a aprecia informațiile și datele organizației. Acest lucru inhibă discuția informată
•Fiecare organizație are o cultură unică, care include „politica”. Acest lucru poate cauza probleme
42
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Nu ar trebui să fie surprinzător faptul că oamenii de la toate nivelurile organizației sunt cel mai slab element al securității
informațiilor. La urma urmei, oamenii joacă un rol în activitățile de securitate a informațiilor – printre ei:
•Utilizatori finali
•Alte.
Gestionarea și întreținerea securității informațiilor nu sunt sarcini intuitive. Cu toate acestea, spre deosebire de conducerea
unei mașini, acestea pot fi efectuate fără a fi nevoie să furnizeze o certificare sau un permis.
Unele măsuri de consolidare a securității informațiilor pot fi automatizate și aplicate. Un exemplu este solicitarea unui
utilizator final să-și schimbe parola în fiecare lună. Acest lucru este bine, dar neștiind cum să creeze o parolă adecvată, cineva
poate selecta „123456” sau o dată de naștere. Mai rău, atunci când mai multe parole trebuie să fie create și menținute, este
Plasarea politicilor, ghidurilor și practicilor recomandate undeva într-un intranet corporativ este mai puțin costisitoare decât
oferirea de sesiuni de conștientizare, tutoriale și alte forme de instruire. Cu toate acestea, presiunile de reducere a
Chiar și cu cea mai bună pregătire, oamenii sunt falibili și nu poate fi exclus un incident de securitate cauzat de o eroare
umană. Erorile pot apărea prin presiunea de a respecta un termen limită, stres, oboseală, nerespectarea regulilor și politicilor
etc.
43
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Persoanele fizice pot fi, de asemenea, victimele înșelăciunii și pot acționa împotriva intereselor organizației, de exemplu
prin dezvăluirea de informații confidențiale. Servicii precum mesajele text, blogurile și rețelele sociale au făcut acest lucru
ușor de realizat. Ingineria socială sub formă de înșelăciune nu este neobișnuită. Cineva poate pretinde că sună de la
biroul de asistență pentru a cere unei persoane să-și confirme parola. Ei fac.
O preocupare bine stabilită: o persoană (angajat, consultant, antreprenor, îngrijitor, agent de securitate etc.) motivată să
acționeze împotriva organizației. Frauda, furtul de proprietate intelectuală, corupția datelor, sabotajul și extorcarea de
O vulnerabilitate greu de tratat: indivizi cărora nu le pasă de securitatea informațiilor, linii directoare sau politici.
Nemotivați sau nemulțumiți pentru nemulțumirile reale sau percepute, acești indivizi ar trebui considerați „toxici”,
Când contractele lor de muncă și cultura organizației le face dificil sau imposibil să sancționeze comportamentul, ei pot
deveni exagerați de încrezători – cândva, o astfel de persoană îi spunea șefului: „Nu vreau și tu poți” nu mă face”. Ce a
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Există multe definiții a ceea ce este un „proces”. Pentru această carte, un proces este: un set de sarcini conexe,
efectuate de oameni și/sau instrumente care transformă intrările în ieșiri. Procesele trebuie efectuate sistematic
pentru a obține coerență, pentru a elimina erorile și pentru a sprijini îmbunătățirile. Modelul de maturitate a capacității
(CMM) este utilizat pentru a defini nivelul la care a fost formalizat un proces. Această maturitate este definită în cinci niveluri:
2. Repetabil: procesul este documentat până la un punct în care este posibil să se repete aceiași pași de
3. Definit: procesul este definit în detaliu în termeni de instrucțiuni sau proceduri de lucru) și implementat
în mod consecvent;
5. Optimizat: procesul este gestionat pentru a include optimizarea sau îmbunătățirea continuă.
În timp ce principiile managementului proceselor sunt destul de simple de înțeles, nivelurile de maturitate mai înalte
sunt greu de atins, deoarece acest lucru necesită un efort susținut pe o perioadă lungă de timp. Operarea la nivelul 1
Provocarea reducerii vulnerabilităților proceselor începe prin identificarea acelor procese care sunt critice pentru
securitatea informațiilor și, după ce a făcut acest lucru, prin adoptarea standardelor, liniilor directoare și bunelor
Conducerea nu ar trebui să fie preocupată în mod special de care dintre cadrele disponibile, dacă există, a fost
adoptat, cu excepția cazului în care există probleme frecvente de performanță și/sau recomandările de audit
45
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Buna practică stabilește Acorduri formale de servicii cu furnizorii interni de servicii care specifică obiectivele de performanță și modul
în care va fi măsurată performanța. Atunci când furnizorii de servicii sunt externi organizației, astfel de acorduri sunt definite în
contracte obligatorii din punct de vedere juridic. Acestea specifică, de asemenea, obiectivele de performanță, modul în care
performanța va fi măsurată și raportată și prevăd clauze de penalizare atunci când performanța nu atinge nivelurile convenite.
Dezvoltarea software-ului poate să fi început ca un meșteșug și să fi devenit mai formalizată și mai structurată de-a lungul anilor.
Modelul ciclului de viață al dezvoltării software (SDLC) este bine stabilit (există și alte modele, de exemplu programarea agilă). În
Planificare: începe cu identificarea nevoii și realizarea cazului de afaceri, apoi specificarea cerințelor, deciderea dacă să cumpere sau
să construiască, solicitarea ofertelor, evaluarea acestora etc., până la luarea unei decizii.
Implementarea: dezvoltarea sau adaptarea software-ului pentru a satisface nevoile definite, documentarea și testarea până la punctul
Implementare: software-ul este aprobat pentru instalare în mediul de producție al unui furnizor de servicii și este supus întreținerii
Realizate de obicei de furnizori sau companii specializate, există mai multe linii directoare și bune practici care descriu numeroasele
procese în detaliu cu obiectivele de a asigura Asigurarea Calității și menținerea viitoare. Un astfel de set de linii directoare este
Există, totuși, un „totuși”: mulți utilizatori finali sunt alfabetizați de calculator până la proiectarea și implementarea software-ului
sofisticat, de la foi de calcul complexe la pagini web, fără a se gândi la activități precum proiectarea de software. Ca urmare, bunele
practici pot să nu fie urmate și produsul rezultat poate să nu fie documentat sau testat în mod adecvat. În ciuda acestui fapt, ele sunt
Există o expresie veche despre date și computere: Garbage In Garbage Out (GIGO). Acest lucru este la fel de adevărat astăzi precum a
Procesul de Identity and Access Management (IAM) este fundamental pentru securitatea informațiilor. Acesta definește persoanele
specifice care au nevoie de un cont pentru a accesa anumite sisteme. Un birou de asistență sau un grup similar va crea astfel de
conturi, dar responsabilitatea pentru solicitarea și aprobarea creării, modificării sau rezilierii acestora rămâne în sarcina proprietarilor
46
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
După ce a creat un cont pentru o persoană, următorul pas este să definiți ce date poate accesa această persoană și ce
operațiuni pot fi efectuate asupra acesteia. De exemplu, un angajat al conturi de plată nu ar trebui să aibă acces la
înregistrările resurselor umane. În mod similar, un angajat de salarizare nu ar trebui să aibă autoritatea de a modifica
Conturile și permisiunile trebuie gestionate printr-un ciclu de viață care să reflecte mutații în carieră, promovări, acțiuni
disciplinare etc., din ziua în care sunt create și până când persoana părăsește organizația.
Vulnerabilitățile sunt create atunci când aceste activități sunt lăsate „pentru o altă zi” din cauza altor priorități sau a
Procesele legate de date se împart în trei categorii: calitatea datelor, clasificarea datelor și permisiunile de sistem.
Data Management Body of Knowledge (DMBOK), o carte de aproximativ 500 de pagini, oferă un set detaliat de linii
directoare pentru gestionarea datelor. Calitatea datelor, deși esențială, are un impact limitat asupra securității.
Clasificarea datelor este strâns legată de confidențialitate. Clasificarea cere proprietarilor de date să aloce date unei
categorii dintr-un set care se aplică întregii organizații. Etichetele tipice pentru astfel de categorii includ Secret,
Confidențial, Restricționat, Sub embargo până la și Public. Neclasificarea datelor este o invitație pentru ca aceasta să
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Popularitatea dispozitivelor mici și puternice (calculatoare ușoare, notebook-uri, tablete și smartphone-uri) și adoptarea lor
rapidă de către populație în general, împreună cu tendința de a utiliza astfel de dispozitive personale în mediul de lucru –
„Aduceți-vă propriul dispozitiv” extinde nevoia pentru ca procesele de securitate să fie deținute de utilizatorii finali ori de câte
În timp ce elementele de bază, cum ar fi menținerea actualizată a software-ului, utilizarea software-ului antivirus, realizarea de
copii de rezervă ale datelor etc., menționate pe scurt în 4.5, ar trebui să fie bine cunoscute, în practică, acestea pot să nu fie
cazul. Mulți oameni nu par să fie îngrijorați de riscurile de a nu face acest lucru. În plus, rețelele sociale și descărcări gratuite/
cost redus de software, în special aplicații pentru smartphone-uri și tablete, toate au introdus noi riscuri.
Tehnologiile sunt predispuse la eșec. Acest lucru poate fi treptat, ca atunci când coroziunea slăbește un pod, sau brusc: luminile
se sting. Defecțiunile pot fi limitate prin verificări și întreținere, iar unele pot fi reparate.
Nu întotdeauna, deoarece daunele pot fi prea mari pentru a fi reparate (de exemplu, centralele nucleare de la Fukushima) și
devin ireversibile.
Eșecurile în tehnologiile informaționale sunt rareori graduale. Defecțiunile hardware sunt adesea reparabile, dar nu întotdeauna:
un incendiu (sau inundații) într-o sală de calculatoare poate necesita înlocuirea tuturor echipamentelor. Eșecurile software din
cauza erorilor de proiectare (bug-uri) pot fi remediate cu condiția să fie disponibilă timp și expertiză.
Eșecurile din cauza unui atac cibernetic au consecințe imprevizibile: un atac cibernetic asupra sistemelor administrative ale
Saudi Aramco în octombrie 2012 a infectat 30.000 de computere și a șters toate datele acestora.
Curățarea și testarea fiecăruia dintre aceste 30.000 de computere și recuperarea datelor lor (sau cel puțin o parte a acestora)
5.4.1 Lipsa securității prin proiectare – lecții de învățat din industria siguranței
Securitatea informațiilor a fost întotdeauna o sursă de îngrijorare. În primele zile ale computerului, s-a concentrat pe controlul
Când computerele personale au apărut în anii 1970, acestea erau în primul rând pentru entuziaști, adesea oameni IT, și nu au
fost implementate în organizații decât la mijlocul anilor 1980. Designul de bază al unor astfel de computere nu includea
caracteristici de securitate. Software-ul rău intenționat a apărut câțiva ani mai târziu – cuvântul „virus” a fost folosit pentru
prima dată în 1984 – și la început a fost în esență o pacoste. Calculatoarele personale nu erau încă conectate la rețea, iar
infecțiile s-au răspândit prin schimbul de dischete. Proiectele actuale necesită încă de la utilizator să obțină produse suplimentare
48
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
Lucrările pentru ceea ce numim acum Internet au început la mijlocul anilor 1960 ca o rețea rezistentă restrânsă.
Impactul software-ului rău intenționat pe Internet a fost descoperit în 1988, când un program scris de un student
(Viermele Morris) s-a răspândit rapid prin Internet și a făcut ca acesta să se oprească. Designerul acestui vierme este
Telefoanele mobile au apărut în 1973 ca un dispozitiv portabil pentru a efectua apeluri vocale. S-au dezvoltat în
„smartphone-uri” și „tablete”, dispozitive puternice care, la fel ca computerele personale, nu încorporează securitatea
ca parte intrinsecă a designului lor – în afară de faptul că necesită utilizarea (opțională) a unui număr de identificare
Industria siguranței, întâlnită în industriile extractive, construcții, transporturi, producție, îngrijire a sănătății și altele,
învață din experiență. Părerile lor sunt că există practici proaste și duc la aproape rateuri, de exemplu ciocanul care
cade din vârful schelei, dar nu rănește pe nimeni. Aproape incidente sunt rareori raportate. „Norocul” fiind ceea ce
este, nu funcționează întotdeauna în favoarea organizației și incidente minore apar în mod regulat. Acestea sunt
Din când în când, va avea loc un incident major. Industria siguranței efectuează cu promptitudine investigații pentru a
identifica cauza principală și pentru a lua măsuri pentru a o înlătura. Astfel de modificări sunt testate pe larg înainte de
a deveni operaționale. Un exemplu în 2013 a implicat o întreagă flotă de avioane noi (Boeing 787) care au fost blocate
timp de câteva luni până când o modificare a designului a fost testată spre satisfacția autorităților de certificare. În
Conceptul de consecințe neintenționate datează de la sfârșitul anilor 1700. Acestea includ beneficii, efecte secundare
negative sau efecte perverse contrare a ceea ce a fost intenționat. Inovația în tehnologiile informaționale le-a adus pe
toate trei, dintre care niciuna nu ar fi putut fi avută în vedere a priori. În lumea IT:
Beneficiile neașteptate includ capacitatea de a interconecta lumea și de a oferi acces ușor la informații și servicii și de a
permite noi forme de divertisment și afaceri.
Efectele secundare negative includ apariția și răspândirea software-ului rău intenționat, o măsură a pierderii
Efectele perverse numără printre ele toate formele de criminalitate cibernetică, atacurile de succes asupra
infrastructurilor critice, furtul de proprietate intelectuală și, eventual, noi forme de război.
Trei domenii suplimentare de domenii de vulnerabilitate care merită atenția managementului sunt SCADA, cloud
49
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Cele patru domenii ale vulnerabilităților
SCADA este acronimul pentru Systems Control And Data Acquisition: dispozitive și rețele de interfață cu lumea fizică
variind de la controale relativ simple ale condițiilor de aer și ascensoare, TV cu circuit închis și senzori în supraveghere,
bancomate etc. până la sisteme complexe distribuite în controlul procese de fabricație, utilități și transport. Acestea sunt
rareori responsabilitatea unei funcții IT și sunt concepute pentru simplitate și fiabilitate, nu pentru securitate.
Cloud computing este descrierea scurtă a resurselor de calcul furnizate prin Internet.
În acest mediu, hardware-ul și software-ul computerului sunt gestionate de o terță parte și sunt partajate între mai mulți
clienți. Acest lucru oferă simplitate și costuri mai mici prin faptul că nu trebuie să aveți o infrastructură corporativă.
Dacă conexiunea la Internet este pierdută din orice motiv – de la atacuri de refuz al serviciului până la deteriorarea fizică
a liniilor de rețea – toate serviciile furnizate prin Cloud vor fi indisponibile până când întreruperea este remediată.
Lumea mobilă este supusă unor noi provocări, de la software rău intenționat care vizează dispozitive portabile, furtul de
date, pierderea sau furtul dispozitivelor și, din ce în ce mai mult, alte probleme care apar la un moment dat, cum ar fi
capacitatea de a geolocaliza o persoană prin intermediul dispozitivelor lor, creând riscuri care nu sunt încă pe deplin înțelese.
Următorul capitol discută alți factori care contribuie la insecuritatea informațiilor, toți care ar trebui să preocupe
managementul.
www.sylvania.com
Nu reinventăm
roata, reinventăm
lumina.
Iluminatul fascinant oferă un spectru infinit de
posibilități: tehnologiile inovatoare și noile piețe
oferă atât oportunități, cât și provocări.
Un mediu în care expertiza dumneavoastră este la mare
căutare. Bucurați-vă de atmosfera de lucru favorabilă din
cadrul grupului nostru global și beneficiați de trasee
internaționale de carieră. Implementați idei durabile în
strânsă cooperare cu alți specialiști și contribuiți la
influențarea viitorului nostru. Vino și alătură-te nouă în
reinventarea luminii în fiecare zi.
Menținerea securității informațiilor suficient de bune într-o organizație este un complex. Mulți cred că cineva face
asta și că nu au nicio responsabilitate pentru asta. Acest capitol explorează subiecte care nu sunt acoperite de
standarde, linii directoare sau bune practici și, totuși, pot fi găsite (dacă sunt recunoscute) peste tot.
Atunci când rămân nerecunoscuți și/sau nimeni nu răspunde pentru ei, ele adaugă la insecuritatea informațională a
organizației.
Detașare executivă: O bună guvernare necesită angajament și sprijin din partea vârfului. Fără el, oamenii nu au de
ales decât să ghicească ce se așteaptă de la ei și să facă tot posibilul pentru a duce lucrurile la bun sfârșit.
La cele mai înalte niveluri ale oricărei organizații, cunoștințele detaliate sunt inevitabil diluate și solicitările de timp
sunt multe. Atragerea atenției lor necesită bune abilități de comunicare, un caz de afaceri clar și capacitatea de a
Cultura organizațională și politică: un fapt al vieții. Pentru a juca jocul necesită cunoașterea cine are influență în
organizație și cum să creezi un dialog semnificativ cu aceștia. Nerespectarea acestui lucru va neutraliza cele mai bune
Mentalitate siloz: Lipsa de cooperare între funcții nu este neobișnuită în organizațiile politizate.
Când acest lucru este înrădăcinat, doar conducerea transformațională poate schimba status quo-ul. Acest lucru este
mai greu de realizat în organizațiile mari decât în cele mai mici. Din perspectiva securității informațiilor, aceasta
51
Machine Translated by Google
Digital Natives4 : Articolele publicate în 2001 au introdus termenii „nativ digital” și „imigrant digital”.
Nativii digitali sunt generația care a avut ocazia să interacționeze cu tehnologiile digitale de la o vârstă fragedă, să le
înțeleagă conceptele și să aibă o abordare intuitivă a acestora. Nativii digitali conduc revoluția utilizatorului final discutată
mai jos.
Imigranții digitali păstrează multe elemente ale abordării lor dinainte de era digitală și folosesc lumea digitală cu
Eliminarea și reciclarea: O altă problemă de guvernanță se referă la păstrarea și eliminarea datelor pentru a se asigura
că dispozitivele care conțin date corporative nu sunt aruncate. Este prudent să implicați un consilier juridic înainte de a
lua măsuri și apoi să luați măsurile adecvate pentru a șterge toate datele de pe astfel de dispozitive.
Finanțarea securității informațiilor face parte din guvernanță. Detașarea executivă și politica organizațională pot face
Sunt cei care susțin că protejarea informațiilor organizației necesită investiții. Acest lucru duce la întrebarea „care este
rentabilitatea investițiilor în securitate?” Alții susțin că finanțarea securității face parte din costul de a face afaceri și că
astfel de cheltuieli ar trebui să fie aliniate cu valoarea activelor care trebuie protejate, în același mod ca și primele de
Finanțarea securității informațiilor acoperă activități în diferite părți ale organizației, cum ar fi:
•Achiziții tehnice pentru furnizorul de servicii IT (dacă este intern) și pentru articole asortate în cadrul
organizației (de exemplu, produse antivirus, jetoane pentru autentificarea utilizatorilor finali, upgrade și
Separarea acelor activități dedicate în mod special securității de alte activități IT operaționale nu este ușoară. Cu toate
acestea, dovezile publicate indică faptul că cheltuielile IT sunt de obicei de ordinul a 3 până la 5% din cheltuielile totale
52
Machine Translated by Google
Un raport Gartner Group5 pentru anul 2012 arată că cheltuielile medii per angajat pe an în SUA a fost de 13.600
USD. Pentru un an de lucru de 220 de zile, cheltuielile zilnice cu IT per angajat este de 62 USD, din care
aproximativ 3 USD sunt pentru securitatea informațiilor. Acesta este comparabil cu prețul unei cești de cafea.
Presiunea necruțătoare de reducere a cheltuielilor necesită frecvent justificarea financiară a lucrurilor care nu
sunt ușor cuantificate, cum ar fi rentabilitatea investiției (ROI) asupra datelor sau a protejării reputației.
Partea de cheltuieli a unei analize a rentabilității investiției pentru securitatea informațiilor este simplă.
Practicienii cu experiență știu că unele elemente pot fi lăsate în afara calculului, de exemplu, costul achiziției,
taxele de întreținere și costurile de instalare. Partea Beneficii este ca o operă de ficțiune în care este relativ ușor
să vină cu numere „bune”.
Riscul este în viitor și nu sunt disponibile date care să susțină predicții fiabile. Aceasta înseamnă că orice
numere sunt prezentate ca beneficii nu pot fi validate, darămite garantate. Aceste numere sunt condiționate
de mai multe ipoteze (implicite), cum ar fi: că produsul propus funcționează așa cum a promis de către furnizor,
că a fost instalat și configurat corect și că cei care îl folosesc știu ce fac. Acestea nu sunt întotdeauna cazul.
PERSPECTIVE PROVOCATORII
Oportunități de stagiu
EADS reunește un producător de aeronave de top, cel mai mare furnizor de oportunități de învățare și dezvoltare și tot sprijinul de care aveți nevoie, veți aborda
elicoptere din lume, un lider global în programe spațiale și un lider mondial în provocări interesante cu produse de ultimă generație.
soluții și sisteme de securitate la nivel mondial pentru a forma cel mai mare grup
de apărare și aerospațial din Europa. Peste 140.000 de oameni lucrează la Salutăm peste 5.000 de stagiari în fiecare an din discipline, de la inginerie,
Airbus, Astrium, Cassidian și Eurocopter, în 90 de locații la nivel global, pentru a IT, achiziții și finanțe, la strategie, asistență pentru clienți, marketing și vânzări.
livra unele dintre cele mai interesante proiecte din industrie.
Există, de asemenea, riscul implicit ca urmărirea economiilor de costuri să poată duce la anorexie bugetară (sau economisirea banilor
indiferent de cost (SMRC)) care poate ajunge să fie contraproductivă. Acțiunile tipice SMRC includ:
• Selectarea celui mai mic ofertant, indiferent – aceasta nu este întotdeauna o strategie de succes
• Segregarea sarcinilor limitată sau nu este – o ușă deschisă către modificări incorecte sau netestate
Când toate acestea sunt utilizate în mod consecvent, este foarte probabil ca personalul cu experiență să caute un loc de muncă în altă
Nativii digitali s-au apucat de inovațiile recente cu mare entuziasm, până la punctul de a sta peste noapte la coadă în afara unui magazin
pentru a cumpăra cel mai recent obiect al dorinței. Acest lucru este în regulă în domeniul lor privat, deoarece persoanele sunt libere să
Aceste dispozitive își găsesc drumul în mediul corporativ, deoarece indivizii se simt împuterniciți să conteste standardele corporative și
Acest lucru a dus la mișcarea Bring Your Own Device (BYOD), iar organizațiile se luptă să înțeleagă și să gestioneze implicațiile de
securitate ale acestui lucru. Pe măsură ce BYOD continuă să se extindă, se pare că acolo unde deja a fost stabilit, a devenit ireversibil.
Aceasta înseamnă că oamenii pot accesa (și, de asemenea, pot descărca și stoca) date corporative sensibile cu un dispozitiv din afara
arhitecturii de securitate a organizației. În plus, un astfel de dispozitiv poate conține aplicații (Aplicații) necunoscute organizației. Aceste
aplicații gratuite sau cu cost redus, concepute de persoane necunoscute și fără certificare de securitate, pot include programe malware.
Pentru a spori durerea, aceste date corporative pot fi accesate de oriunde, de exemplu, o cafenea care oferă „Wi-Fi gratuit”, care fiind
La cealaltă extremă, măsurile stricte de securitate încurajează nativii digitali să ocolească restricțiile organizației prin copierea
Alte noi riscuri generate de nativii digitali includ utilizarea rețelelor sociale pentru a partaja informații sensibile cu colegii lor. Nativii
digitali arată un nivel mult mai mare de încredere în oamenii pe care îi întâlnesc online decât imigranții digitali. Îți amintești povestea
54
Machine Translated by Google
Se poate aștepta ca dispozitivele să fie mai rapide, mai mici și mai ușoare, să aibă o durată de viață mai lungă a bateriei și să fie
bazate pe ecran tactil. Ciclul lor de viață de la cumpărare până la percepția de uzură va continua să fie scurt.
Din ce în ce mai mult, electrocasnicele vor conține noi tehnologii și vor fi conectate la Internet. Mulți sunt deja – în ascensoare, sisteme
Oamenii creativi vor pune la dispoziție noi servicii online – așa-numitul Web 2.0 a fost o surpriză pentru majoritatea oamenilor, iar
serviciile cum ar fi blogurile, partajarea audio și video, jocurile cu mai mulți jucători, rețelele sociale, licitațiile online și atât de multe
Ca animale sociale, oamenii doresc și trebuie să interacționeze între ei într-un mod care să permită o anumită măsură de control. În
spațiul cibernetic, este important să putem avea încredere în identitatea persoanelor pentru a preveni frauda și pentru a consolida
securitatea națională.
Organizațiile trebuie să se asigure că persoanele cu care au de-a face sunt cine spun că sunt și că sunt autorizate să facă ceea ce fac.
Indivizii doresc să aibă încredere și trebuie să aibă încredere în organizațiile cu care interacționează pentru a-și proteja informațiile
personale.
Pe lângă parole (ceva pe care îl cunoașteți), multe organizații folosesc acum tehnici suplimentare pentru autentificarea persoanelor,
cum ar fi carduri sau jetoane (ceva pe care le aveți) utilizate ca al doilea factor de identificare. La vârf sunt dispozitive care scanează o
De când malware-ul Stuxnet a devenit cunoscut public în 2010, au existat îngrijorări că ar fi o dovadă că atacuri direcționate ar putea
55
Machine Translated by Google
Două articole publicate în The Economist, cel mai recent la sfârșitul lunii martie 2013, intitulate „The Digital Arms Trade” și un
articol anterior din aprilie 2008, intitulat „Computer Security: Pain in the aaS” au discutat Crimeware As A Service, evidențiază
Acestea sunt raportate că se vând pentru sume care, în comparație cu echipamentul militar, sunt mici.
După cum sa menționat mai devreme, securitatea informațiilor este o profesie nereglementată. Mai multe organisme oferă
certificarea conformității fie cu un standard, fie cu un set de bune practici, în timp ce altele eliberează certificate care atestă
Este probabil ca, pe măsură ce managementul superior apreciază importanța securității informațiilor, va exista o tendință de
Tehnologiile inovatoare deschid oportunități și aduc cu ele efecte secundare necunoscute și consecințe neprevăzute. A trăi
cu incertitudine și risc este inevitabil, iar provocarea managerială este una de a înțelege capacitatea sa de a gestiona
Pentru a proteja organizația, ofițerii șefi pentru securitatea informațiilor tind să fie precauți și sunt adesea numiți „Dr. Nu".
Acest lucru funcționează bine în organizațiile care atestă riscul, unde a fi întârziat în tehnologie este considerat un
comportament prudent, dar poate fi frustrant pentru forța de muncă atunci când tehnologiile lor personale sunt mai avansate
La celălalt capăt al spectrului, cei cu un apetit mai mare pentru risc și cei care adoptă timpuriu tehnologii inovatoare pot oferi
oportunități de a dezvolta servicii și soluții de afaceri înaintea altora și pot beneficia în consecință. Managementul ar trebui
să recunoască încă de la început că a fi înaintea celorlalți implică învățarea din experiență despre efectele secundare și
consecințele nedorite.
56
Machine Translated by Google
7 Măsurarea securității
În acest capitol luăm în considerare posibilitățile de a pune numere unui subiect greu de măsurat:
păcate, acest lucru nu este posibil și reprezintă o provocare deoarece nu există o modalitate simplă de a exprima în
360°
Același lucru este valabil și pentru multe alte lucruri, cum ar fi durerea și dragostea... Poate din acest motiv, biroul lui
Albert Einstein din Princeton avea o pancartă care spunea: „Nu tot ce contează poate fi numărat. Nu tot ce poate fi
gândire.
numărat contează”.
360°
gândire.
360°
gândire.
Descoperiți adevărul
57la www.deloitte.ca/careers pe
Faceți clic
anunț pentru a citi mai multe
Ai putea spune chiar cât de bună este securitatea informațiilor tale în acest moment? Cât de bun ar trebui să fie? Sau ce
zici de a putea afirma că: „nivelul nostru de securitate din ultima lună a fost mai bun decât la această perioadă anul trecut”?
Acest lucru poate fi posibil doar cu condiția ca conceptele de „mai bine” sau „mai rău” să fie clar definite, înțelese și
convenite.
Dar asta nu înseamnă că situația este fără speranță. Acest capitol propune o abordare realistă: utilizarea indicatorilor de
Transformat, inexact și greșit atribuit. Originalul lui Lord Kelvin era substanțial diferit.
În 1893, William Thompson (Lord Kelvin) spunea: „Dacă poți măsura ceea ce vorbești și îl poți exprima printr-un număr,
știi ceva despre subiectul tău; dar dacă nu o poți măsura, cunoștințele tale sunt slabe și nesatisfăcătoare.” Lordul Kelvin a
avut un argument și simplificarea (supra) este înșelătoare, deoarece gestionarea situațiilor complexe implică inevitabil
Există cantități uriașe de informații legate de securitate care ar putea fi colectate. Zonele de vulnerabilități din capitolul 5
și zonele de îngrijorare din capitolul 6 se pot măsura. Același lucru este valabil și pentru chestiunile operaționale, cum ar
Există multe surse care listează posibile metrici de securitate a informațiilor (de exemplu, NIST SP800-53 revizuirea 2 și
COBIT 5 pentru securitatea informațiilor). Colectarea, analiza și raportarea tuturor acestor informații sunt sarcini care
necesită resurse, dar acest lucru nu garantează că toate aceste metrici vor fi utile unei anumite organizații. A ști ce să
măsori, cum să faci asta și cum să comunici rezultatele poate ajuta la îmbunătățirea eficienței, eficacității securității și a
Există multe motive bune pentru a face efortul de a avea un set de metrici de securitate. Poate cel mai important este că,
în absența unor metrici, organizația se bazează pe FUD – Frica, incertitudinea și îndoiala și, așa cum a spus Lordul Kelvin,
cunoștințele dumneavoastră sunt slabe și nesatisfăcătoare. Mai precis, există patru domenii în care astfel de valori sunt
cerințele stabilite de legislație. Acest lucru poate avea consecințe juridice, financiare și reputaționale. Metricurile pot pune
incidentul de securitate în context și pot furniza informații faptice pentru a demonstra că a fost exercitată diligența
corespunzătoare.
58
Machine Translated by Google
Management financiar: Investițiile trebuie făcute în mod regulat în diferite aspecte ale securității informațiilor, iar valorile ar
Eficacitatea organizațională: Măsurile pot fi utilizate și pentru a demonstra părților interesate ale organizației eficacitatea
Operațional: De interes principal pentru responsabilul șef cu securitatea informațiilor și, de asemenea, pentru proprietarii de
procese, sisteme și date. AVERTISMENT: există multe astfel de metrici, dar de valoare limitată pentru managerii de afaceri.
Valorile de securitate sunt deosebit de utile atunci când oferă avertizare timpurie despre potențiale hotspot-uri de securitate.
Astfel de valori se numesc „indicatori de conducere”. O măsurătoare de securitate cu siguranță nu este utilă atunci când
Pentru a evita răspunsul „deci ce”, metrica ar trebui să fie capabilă să ilustreze care sunt riscurile, impactul lor potențial și
unde pot apărea evidențiază în detaliu procesele și resursele de afaceri amenințate. Acest lucru permite cuno tin e
manageriale asupra valorii oricăror îmbunătă iri aduse prin atenuarea problemelor înainte ca acestea să apară.
Managerii nu ar trebui să întrebe: „ce ai de gând să faci în privința asta?” practicianul în securitate ar trebui să anticipeze o
astfel de întrebare în raportul lor. În lumea perfectă, managerul ar trebui să întrebe în schimb „Pot să fac ceva?”
Orientare pe afaceri: alegerea valorilor ar trebui să fie astfel încât acestea să se concentreze pe sprijinirea afacerii și să fie
semnificative pentru managerii de afaceri. În mod specific, metricile ar trebui să explice modul în care incidentele de
securitate a informațiilor afectează obiectivele organizației, cuantificând evitarea costurilor sau reducerea riscului programului
general de securitate.
Cuantificabil: cifrele cresc obiectivitatea și validitatea datelor și permit analize și comparații ulterioare.
Obținute: datele de valori nu ar trebui să necesite instrumente complexe sau proceduri complicate pentru a le obține. Acestea
ar trebui să fie colectate cu ușurință prin interviuri sau din datele colectate prin intermediul proceselor de afaceri și IT.
Repetabil: Măsurătorile ar trebui să poată fi repetate într-un mod standard la intervale specificate pentru a identifica
tendințele sau pentru a identifica schimbările care sunt rezultatul acțiunilor de atenuare
59
Machine Translated by Google
Tendințe: Măsurătorile repetate evidențiază schimbarea și permit factorilor de decizie să evalueze eficacitatea
Informațiile istorice, în special rapoartele de audit, pot fi utile. Rapoartele recente care includ recomandări privind
• Ele reflectă nevoile afacerii mai degrabă decât puritatea tehnică. În mod ideal, recomandările sunt
• Acestea sunt atinse prin cadre formale stabilite, cum ar fi Obiectivele de Control pentru Tehnologia
Informației (COBIT), Ghidul General de Audit Tehnologic (GTAG) al Institutului Auditorilor Interni și/sau
Alte informații istorice valoroase sunt rapoartele privind investigațiile efectuate după incidente grave de securitate.
Acestea ar trebui să explice cum a avut loc incidentul și care vulnerabilități au fost exploatate.
Toți indicatorii care sprijină comparația și analiza tendințelor sunt valoroși prin definiție. Un exemplu de valoare utilă
ar arăta astfel:
Îți plac mașinile? Ți-ar plăcea să faci parte dintr-un brand de succes? Trimite-ne CV-ul tău pe
Vă vom aprecia și vă vom recompensa atât entuziasmul, cât și talentul. www.employerforlife.com
Trimite-ne CV-ul tau. Vei fi surprins unde te poate duce.
Conștientizarea securității: % dintre angajații care au finalizat în mod satisfăcător un program. Definiția unei astfel de metrici ar
•Frecventa de masurare
Portofoliul de metrici ar trebui să fie suficient de mare pentru a fi valoros, dar nu atât de mare încât să devină un proiect masiv în
Subiectele care merită susținute de valori utile ar trebui să includă cele care sprijină raportarea schimbărilor și tendințelor în:
Având în vedere că există cărți dedicate metricilor de securitate, această discuție nu va merge mai departe. Realitatea este că este
posibil să se colecteze cantități uriașe de date despre securitatea informațiilor, dintre care majoritatea nu vor îndeplini caracteristicile
enumerate mai sus.
Oamenii ocupați cu locuri de muncă funcționale preferă în mod normal rapoartele ad-hoc emise pe baza necesității de a cunoaște.
Acest lucru transferă responsabilitatea de a decide cine ar trebui să știe „ce și când” celor care colectează și analizează datele. Mai
ușor de zis decât de făcut.
Tablourile de bord cu autoservire îngropate într-un Intranet par a fi o idee bună, dar, în practică, nu mulți au timpul sau înclinația să
O abordare sensibilă ar cere celor responsabili pentru diferitele aspecte ale securității informațiilor să fie buni comunicatori și să
decidă ce poate fi acoperit de conversațiile informale din lift sau cantină și ce necesită un raport oficial adresat persoanelor cu
61
Machine Translated by Google
Managementul superior ar trebui să fie actualizat în mod regulat cu privire la trei subiecte:
•Resurse, în special sub formă de indicatori cheie de risc (de exemplu, „o informație cheie
persoana de securitate și-a înmânat anunțul și nu există niciun candidat evident care să-și preia rolul”)
Următorul capitol oferă o introducere a două instrumente care oferă mijloacele de identificare a zonelor în care securitatea
are cel mai mare rol de jucat: impactul asupra afacerii și managementul riscului.
�e Programul
Programul Absolvent
Absolvent �e �e
Absolventului
M-am alăturat MITAS pentru că pentru ingineri
Ingineri și geoștiințe
Geoștiință
Îmi doream responsabilități reale Maersk.com/Mitas
www.discovermitas.com �e
M-am alăturat MITAS pentru că pentru motor
Luna 16
Eram
am fost o
unconstructie M
supraveghetor
Am fost
fost un
în supraveghetor
am un
în contra
Marea Nordului super
consiliere si N el
Muncă adevărată el
ajutând maiștrii consiliere
Interna ional
srezolva
Oportunități internaționale �ree
�ree
wor wor
�tree stagii de muncă
probleme
să rezolve el
probleme
ajutând
Muncă adevărată
f la
Interna ional
srezolvarea p
Oportunități internaționale �ree
wor stagii de muncă
�tree
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
sine
Sursa necunoscută
O BIA, în forma sa cea mai simplă, identifică CE sisteme și servicii de informații sunt vitale pentru supraviețuirea unei
organizații atunci când are loc un eveniment perturbator. De asemenea, ar trebui să identifice cât timp ar dura pentru
În plus, un BIA ar trebui să identifice, de asemenea, CARE persoane interne și externe ale căror cunoștințe și expertiză
sunt esențiale atunci când lucrurile merg prost. Rezultatele unui BIA sunt prezentate în Figura 66 .
Astfel de analize necesită angajamentul și implicarea activă a managerilor familiarizați cu afacerea, cu procesele
acesteia și cu criticitatea acestora. Efectuarea unui BIA este o sarcină managerială care necesită luarea în considerare
63
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
Afaceri
Impact
Analiză
Răspuns la incident
Cuantificabil
Deținut de afaceri
Unități:
- Recuperare în caz de dezastru
- Continuitatea afacerii
- Management de criza
• Operaționale – factori precum impactul asupra clienților, avantajele concurenților, efectul asupra Figura 6
• Financiar – de la creșterea cheltuielilor pentru a aborda întreruperea până la pierderea de venituri care
livrarea produsului;
• Reputațională – poate cea mai greu de evaluat, dar totuși semnificativă în perioada mai lungă
termen;
Procesul BIA trebuie revizuit în mod regulat pentru a reflecta schimbările în procesele de afaceri, sistemele și serviciile
Odată ce un incident a fost identificat (nu întotdeauna imediat) și raportat furnizorului de servicii IT, răspunsul la incident
Pasul 1: Izolarea – adică limitarea impactului, de exemplu, prin carantina instalațiilor afectate. Acest lucru necesită ca cei
responsabili de izolare să aibă o bună înțelegere a riscurilor implicate în luarea (sau neîntreprinderea) acțiunilor
Pasul 2: Colectarea și conservarea dovezilor – Când aveți de-a face cu Pasul 1, orice dovezi găsite nu trebuie deranjate
sau contaminate. Acesta poate fi folosit ulterior pentru a identifica cauza și poate fi necesar dacă se intenționează o
acțiune în justiție. Conservarea probelor trebuie să fie în conformitate cu standardele legale naționale.
64
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
Pasul 3: Comunicarea incidentului celor care trebuie să știe. Nerespectarea acestui lucru poate întârzia rezolvarea
incidentului și poate împiedica orice investigație ulterioară. Incidentele grave de securitate ridică probleme de
Acest lucru poate să nu fie suficient și poate fi necesar să se invoce alte măsuri, cum ar fi recuperarea în caz de
dezastru, continuitatea afacerii și managementul crizelor. Acestea sunt discutate pe scurt în 8.3.
Unii practicieni susțin că managementul riscului ar trebui să fie pe primul loc. Cu toate acestea, această carte bazată
pe experiență consideră că nu poți merge nicăieri fără să știi mai întâi de unde pleci. BIA este mecanismul care oferă
aceste cunoștințe.
Există multe cărți despre managementul riscului și riscul informațional. Această scurtă secțiune evidențiază cele mai
importante concepte și factori de luat în considerare atunci când se evaluează riscul informațional ca parte a
Jocurile de noroc cunoscute sub numele de afaceri arată cu o dezamăgire austeră față de afacerea cunoscută sub numele de jocuri de noroc.
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
Ambiguitatea lingvistică discutată mai devreme îi determină pe mulți să folosească cuvintele „risc” și „incertitudine” în
Riscul are mai multe definiții dependente de context (în finanțe, asigurări, medicină, sisteme informatice etc.). O definiție
generică este aceea că este: „o probabilitate sau amenințare de daune, vătămare, răspundere, pierdere sau orice alt
eveniment negativ cauzat de vulnerabilități externe sau interne și care poate fi evitată printr-o acțiune preventivă”.
Standardele de securitate a informațiilor recunosc că riscurile de securitate a informațiilor sunt greu (dacă nu imposibil)
de cuantificat. Prin urmare, definițiile lor nu se referă la „probabilitate”. Standardul internațional ISO 27005:2008 definește
riscul ca „Potențialul ca o anumită amenințare să exploateze vulnerabilitățile unui activ și, prin urmare, să provoace
prejudicii organizației”.
Termeni precum „potențial” și „probabilitate” invită să se facă judecăți subiective și, prin urmare, orice evaluare a riscului
Este bine de reținut că evaluările de risc în alte domenii – expunerile la valută străină, modificările prețului acțiunilor și
alte domenii economice, de asemenea, nu sunt robuste și se bazează pe aceleași cuvinte, „potențial” sau „probabilitate”.
Acest lucru nu este nimic nou, după cum se crede că Aristotel (384–322 î.Hr.) a spus: „este posibil să se întâmple ceva puțin
probabil”. Acest lucru rămâne adevărat și astăzi și este denumit „necunoscute cunoscute” și „necunoscute necunoscute”.
Acțiunea preventivă necesită capacitatea de a prezice viitorul cu un anumit grad de acuratețe, având în vedere că
amenințările pot apărea din forțele naturale (de exemplu, cutremurul de la Fukushima și tsunami), acțiuni umane
accidentale, cum ar fi accidente de circulație, incendii domestice, dezvăluiri de informații confidențiale în rețelele sociale și
Acțiunile deliberate nu sunt evenimente aleatorii și acest lucru le face imprevizibile. Incertitudinea poate fi redusă, printre
care informațiile (în sens militar), obținute din surse evaluate ca fiind suficient de demne de încredere. Cu toate acestea,
au existat exemple de inteligență considerată a fi bună la momentul respectiv, care, în cele din urmă, s-au dovedit a fi
proaste.
Un altul este planificarea scenariilor (sau jocurile de război) în care un grup de participanți cunoscători și experimentați
explorează situații „ce-ar fi dacă” folosind creativitatea (și unii ar spune paranoia) pentru a descrie modul în care acțiunile
deliberate s-ar putea dezvolta și încearcă să aibă o serie de răspunsuri la 5W1H. Această abordare poate funcționa destul
66
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
În ambele cazuri, există mai mulți factori care trebuie evaluați cu informații incomplete, cum ar fi intenția amenințării
(natura, accidentală sau intenționată), capacitatea acesteia, în special dacă este uman și deliberat, de exemplu, hacker
amator versus profesionist din armata cibernetică și tot ce este între ele, precum și oportunitatea, cum ar fi accesul de la
distanță versus insider autorizat.
Scopul managementului riscului este de a proteja o organizație de amenințările care îi pot perturba activitățile.
Figura 77 prezintă principalele elemente ale managementului riscului și domeniile de informații necesare pentru a le
desfășura.
Capacitate
Risc Amenințare
Forțele naturii
Oportunitate
Ignora Accident uman
Evita Om deliberat
Intenție
Accept
Atenuează Probabilitate/probabilitate
Transfer Vulnerabilitatea activelor
Există mai multe cadre pentru evaluarea managementului riscului informațional. Autorul este cel mai familiarizat cu
ISACA IT Risk Framework și cu OCTAVE (Operational Critical Threat, Asset, and Vulnerability Figura 7
O inițiativă de management al riscului informațional ar trebui să adauge valoare organizației. Pentru a face acest lucru, rezultatele
unor astfel de inițiative ar trebui să includă:
• Un registru de risc care include descrieri ale strategiei care trebuie aplicată fiecăruia: ignora, evita, accepta,
67
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
informație
Risc
management
Prognoza incidentelor
Riscul greu de cuantificat
Deținut de afaceri
Unități:
- Registrul de risc
- Planuri de atenuare
- Revenirea securității
Calcule de investiții
Se bazează pe presupuneri
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
Chiar și optimiștii cu experiență acceptă că un incident de securitate a informațiilor este inevitabil, deoarece securitatea
100% este irealizabilă – și, după cum sa discutat în Capitolul 7, valorile de securitate sunt insuficiente. Pregătirea este
Există mai multe niveluri de pregătire începând cu sistemele informaționale și furnizorii de servicii.
•Acolo unde impactul unui incident este evaluat a fi mare, acest lucru poate necesita înființarea unei echipe
• Sprijin pentru o echipă de investigații și cunoștințe despre cum să colectați și să păstrați probe
• Planuri de recuperare în caz de dezastru. Acestea sunt menite să ofere infrastructură și operațiuni
capabilități într-o altă locație. Aceste planuri presupun că astfel de operațiuni nu pot continua în locația
inițială din cauza forțelor naturii (de exemplu, cutremure, condiții meteorologice) sau acțiuni deliberate
Trebuie remarcat faptul că planurile de recuperare în caz de dezastru se concentrează pe infrastructura fizică și vor fi de
folos limitat dacă software-ul sau datele au fost corupte printr-o formă de atac cibernetic.
Următorul nivel de planificare pentru continuarea operațiunilor este cel al Planificării Continuității Afacerii și abordează
posibila indisponibilitate a birourilor, accesul la clădiri sau întreruperile semnificative ale utilităților. Planificarea
Managementul crizelor este a treia componentă majoră a răspunsului la evenimentele de securitate a informațiilor.
Diferă de cele două de mai sus în măsura în care implică părți din afara organizației, adică părți interesate, mass-media
69
Machine Translated by Google
Securitatea informațiilor pentru managerii non-tehnici Alte subiecte privind securitatea informațiilor
stabilit care abordează natura transfrontalieră a criminalității cibernetice. Există și Directiva Uniunii Europene 95/46/CE
privind protecția datelor, din care un proiect destinat să o înlocuiască a fost făcut public la începutul anului 2012.
Acestea completează portofoliile naționale de legislație. Întrucât inovația tehnică este mai rapidă decât stabilirea legislației,
rămân multe zone gri. Acestea variază de la o țară la alta. Consilierul juridic corporativ este cel mai bine calificat pentru a
identifica legislația aplicabilă și pentru a informa cei responsabili cu implementarea și operarea sistemelor și serviciilor
„Începutul perfect al
unei cariere
internaționale de succes.”
CLICK AICI
pentru a descoperi de ce atât din punct de
9 Concluzii
Concluzia, in care nu se incheie nimic.
S-ar părea că Securitatea Informației este una dintre problemele care nu are nicio soluție, iar practicienii săi
continuă să-și exprime îngrijorarea cu privire la aproximativ aceleași subiecte pe care le-au discutat de mulți ani, și
anume:
•Viteza inovației tehnice care obligă pe toată lumea, de la practicieni la utilizatori, să fie în modul de
•Abilitățile unor persoane asortate (hackeri) care intenționează fraudă, spionaj, furt de intelectual
• Căutarea constantă a resurselor pe măsură ce noile tehnologii își găsesc drum în fiecare domeniu al
Se va schimba acest lucru în viitorul apropiat – poate, dar ar fi un lucru bun dacă s-ar face și ar face acest lucru în
bine.
Este bine să ne amintim povestea din mitologia greacă a cutiei Pandorei. Pandora i s-a spus în mod expres de către
Zeus să nu o deschidă, dar a făcut-o. Făcând acest lucru, tot răul din lume a fost eliberat înainte ca ea să-l poată
închide din nou și singurul lucru care a rămas în cutie a fost speranța.
Acțiunile mici – descărcarea unui software pe un dispozitiv personal – pot părea simple și inocente, dar se pot
dovedi a avea consecințe grave. Acest lucru nu este ajutat de revistele populare pentru pasionații de IT, care sunt
pline de „sfaturi” despre descărcări, gadgeturi și modificări ale configurației dispozitivelor (cum ar fi frânarea
închisorii sau modificarea unui registru), care pot fi OK pentru o persoană, dar dezastruoase. la o întreprindere.
Noroc!
71
Machine Translated by Google
10 Referințe
Există multe publicații despre securitatea informațiilor. Începând cu aproximativ 25 de ani în urmă, include cărți, cercetări
academice, lucrări ale conferințelor, standarde și bune practici, literatură de la furnizor și multe reviste și site-uri web. Există,
Lista de mai jos nu încearcă să fie cuprinzătoare și se concentrează pe publicațiile despre care autorul consideră că ar putea
Ghid pentru securitatea informațiilor pentru consiliile de administrație și conducerea executivă, ediția a 2-a , 2006 Asociația
Îndrumările privind securitatea cibernetică sunt disponibile, dar trebuie făcute mai multe pentru a promova utilizarea sa,
GAO 12-92, decembrie 2011 NB: Oficiul pentru responsabilitatea guvernului SUA are peste 350 de documente privind
Institutul Național pentru Știință și Tehnologie (SUA), Centrul de resurse pentru securitatea calculatoarelor,
http://csrc.nist.gov/publications/PubsSPs.html
Seria Publicații Speciale SP 800 este o colecție de peste o sută de documente despre bune practici
Institutul SANS: Politica de securitate a informațiilor – un ghid de dezvoltare pentru organizațiile mari și mici
SANS Institute: Security Policy Roadmap – proces pentru crearea politicilor de securitate
http://www.sans.org/security-resources/policies/
Manualul cadru național de securitate cibernetică, 2013, Centrul de excelență pentru apărare cibernetică cooperativă
NATO, http://www.ccdcoe.org/publications/books/NationalCyberSecurityFrameworkManual.pdf
Evaluarea amenințărilor, activelor și vulnerabilităților critice din punct de vedere operațional (OCTAVE), un set de
instrumente și tehnici pentru evaluarea și planificarea securității informațiilor bazate pe riscuri www.cert.org/octave
Există, de asemenea, sute, dacă nu mii de site-uri web care acoperă securitatea informațiilor. Cel de la
72
Machine Translated by Google
Business Model for Information Security (BMIS), 2010, ISACA poate fi achiziționat de la ISACA
Obiectivele de Control pentru Tehnologia Informației (COBIT) pentru Securitatea Informației și aferente
Ghidul practicienilor, versiunea 5, 2012, ISACA
Seria de standarde ISO 27000 privind diverse aspecte ale managementului securității informațiilor. www.iso.org
Ghid general de audit al tehnologiei (GTAG) 15: Guvernanța securității informațiilor, IIA GTAG 15, 2011, Institutul Auditorilor
Interni (http://www.theiia.org)
Managing the Human Factor in Information Security, de David Lacey, 2009, Wiley
Pentru a menține această carte la o lungime rezonabilă, mai multe subiecte au fost excluse cu totul, inclusiv
•Orientări și bune practici pentru „igiena digitală” personală – cum să reduceți securitatea
riscuri ale spațiului cibernetic (software rău intenționat, fraudă, pierderea confidențialității, furtul de identitate, dezvăluiri și
multe altele)
• Un ghid al terminologiei – mai multe enciclopedii online oferă informații demne de încredere
•Discuții despre modul în care software-ul rău intenționat (virus, vierme, rootkit etc.) și instrumentele de atac
(botnet, dispozitive zombie, injecție SQL etc.) – enciclopediile sunt, din nou, o sursă bună
73
Machine Translated by Google
11 Anexă: Mulțumiri
Autorul este îndatorat multor oameni și organizații pentru răbdarea, sprijinul și disponibilitatea de a colabora la multe
Organizatii:
IGI Global, editori de cărți academice, inclusiv Drept și tehnologie și Securizarea infrastructurilor critice, pentru
Jurnalul ISACA și echipa sa editorială, pentru îndrumarea editorială și permisiunea de a cita selectiv din articolele
publicate.
Centrul de Politică de Securitate de la Geneva pentru că mi-a permis să mă alătur la atelierele și discuțiile lor care au
dus la publicarea NATO CCD COE „Cadru pentru Strategiile Naționale de Securitate Informațională” publicat în martie
2013.
Institutul de Formare MIS pentru Europa, Orientul Mijlociu și Africa, pentru oportunitatea de a vorbi la conferințele lor,
Webster University Geneva, pentru că mi-a oferit acces la Gartner Research și pentru că am procesat acest text prin intermediul serviciului
Ithenticate pentru a mă asigura că toate materialele protejate prin drepturi de autor au fost recunoscute în mod adecvat.
Grafică:
The Hemera 1 Million Box of Art – clip artă fără drepturi de autor folosită în Figura 4
Jurnalul ISACA, așa cum se menționează în notele de final.
Mulți indivizi au oferit comentarii sincere valoroase cu privire la proiectul acestei cărți, iar contribuția lor este
recunoscătoare. Autorul își cere scuze pentru eventualele erori din această carte. Sunt neintenționate și în întregime
ale mele. Cititorii dornici să ofere comentarii și corecții ar permite îmbunătățirea oricăror posibile ediții noi.
74
Machine Translated by Google
12 Note de final
1. National Cybersecurity Framework Manual, Editat de Alexander Klimburg, NATO CCDCOE, 2013 2. The Future of Cyberwar,
ianuarie 2011.
4. „Digital Natives, Digital Immigrants”, de Mark Prensky, de la „On the Horizon”, Universitatea NBC
Press, 2001.
5. „IT Metrics: Staffing and Expenditure Report”, Gartner Research Note G00248502, februarie 2013.
6. Sursa: Jurnalul ISACA, Volumul 4, © 2013, ISACA, Toate drepturile rezervate. Folosit cu permisiunea.
7. Sursa: Jurnalul ISACA, Volumul 4, © 2013, ISACA, Toate drepturile rezervate. Folosit cu permisiunea.
8. Ca nota de subsol 7.