Controllo di protezione Richiesta di informazioni di gestione di protezione, parte 1
Jesper M. Johansson
Contenuto
Possibile È Get RID della tecnologia di?
Che cos'è Really protezione
Problema di Defender
Conflitto principale
Mantenere le luci esterno
Quando È non informazioni di protezione
Responsabilità a livello di governo
Accettazione non appropriato di rischio
Un progetto
Disposizione dei
Per un determinato periodo di tempo a questo punto, sono state pensando la sfida più ampia di gestione di informazioni di protezione (InfoSec) in un'organizzazione. Sembra il precedente viene visualizzato, il allontanarlo stoccaggio viene visualizzato dalla tecnologia, o invece più realizzare tecnologia fondamentalmente non è la soluzione a nostro problemi. Tecnologia, in molti modi, è il problema. Infatti, gestione InfoSec è quasi esclusivamente sulla prevenzione i tipi di problemi che con la tecnologia si ottengono in.
HO pensato originariamente sarebbe interessante scrivere un libro su questo argomento, ma quindi deciso che una serie di essays sarebbe più appropriata. E qui in cui questi essays verrà live. Tramite l'anno successivo o scopo, utilizza la colonna del controllo di protezione a visitare in alcuni casi l'argomento della gestione della protezione informazioni. In questo aggiornamento primo della serie, osservare i principi fondamentali di gestione InfoSec.
Possibile È Get RID della tecnologia di?
Tecnologia, per valida e non valido, è inevitabili oggi. Tecnologia disponibili alle organizzazioni di ottenere ulteriori informazioni, più velocemente e in modo più efficiente. Consente inoltre criminali eseguire la stessa operazione. E come molti di noi nei campi della tecnologia desidera ritiene che la tecnologia esista per sake della tecnologia, non. Tecnologia esiste per memorizzare, elaborare e consentire la trasmissione di dati, i dati che possono essere attivati in informazioni. Dati e le informazioni che è derivare da essa sono nostro veramente preziose risorse.
Non dovrebbe, come i professionisti di protezione, Chiamiamo quindi quanto professionisti "protezione dei dati"? Si è non più accuratamente impegnato nella protezione dati? In molti modi, questo è true ma i dati sono semplicemente una materia. Certamente è valore autonomamente, ma è inserire contemporaneamente i dati e creazione di informazioni da esso che effettivamente fornisce valore. Quindi, è adatta a un livello di astrazione posizione leggermente superiore rispetto a dati. Utilizzerà il termine "informazioni" (eccetto quando effettivamente desidera parlare delle materie prime) poiché è ciò che abbiamo infine attivare i dati.
Molti professionisti di tecnologia di lavorano in livelli di astrazione sotto i dati, ovvero i bit di byte ed electron livelli. Ci piace tecnologia per sake della tecnologia. È molto spesso perché abbiamo causa nel campo della tecnologia in primo luogo. Tecnologia è maggiore familiarità per noi a, ad esempio, gli utenti. Tuttavia, come i professionisti di protezione Informazioni di questo è pericoloso perché è deve essere un ambito molto più ampio di tecnologia solo. Mentre i professionisti di protezione informazioni devono essere esperti in uno o più domini di tecnologia, è necessario esaminare l'intero ecosistema di tecnologia, persone, informazioni e processi, i quattro pilastri di protezione delle informazioni. È necessario, dalla necessità, lo stato attivo sulla tutte le quattro colonne. La verità è, tuttavia, che molti ignorano uno o più.
Molti anni fa, Microsoft embarked in una campagna di Trustworthy Computing, proclaiming che protezione sia gli utenti, processo e tecnologia. Molti sono skeptical, che comunica che Microsoft tentativo spostato lo stato attivo da tecnologie di protezione scarsa fattori che non può controllare. Che è stata un'analisi opporsi, tuttavia, considerare la protezione delle soluzioni Microsoft, soprattutto in Windows XP SP2 e sistemi operativi più recenti, è effettivamente molto utile. Windows Vista e Windows Server 2008 e particolarmente 7 di Windows e Windows Server 2008 R2 sono exemplary la maggior parte dei aspetti quando si presenta la necessità di protezione e head e shoulders sopra altre soluzioni concorrenti.
Prendere un altro, kinder, è che che mantra utenti, processi e relativo alle tecnologie è stato semplicemente indica che i professionisti InfoSec da considerare gli utenti e il processo, nonché.
Il triad persone processo tecnologia, tuttavia, Impossibile prendere in considerazione lo scopo di base di è sufficiente. Il processo è come gli utenti utilizzare tecnologia per trasformare i dati in informazioni in modo che possa effettuare decisioni.
Che cos'è Really protezione
Perché dico le informazioni e i dati derivato dalla, è quindi nostro risorse utili solo? Chiaramente, una società più altrettanto avanzata con più processi è più in grado di raggiungere relativi obiettivi quella senza. RITENGO che è possibile che come un determinato. Ma dal punto di vista della protezione, processo e la tecnologia problematiche. Tecnologia, per definizione, aggiunge complessità e della complessità breeds insecurity. Componenti di un sistema devono interagire e il numero delle interazioni in misura esponenziale è correlato al numero di componenti. Ogni le interazioni crea nuovi percorsi per la trasmissione dei dati, nuovi meccanismi per elaborare e nuove posizioni di archiviazione. Tutti i elementi rappresentano le aree possibili di debolezza, nonché punti deboli che riduce la possibilità di visualizzare la tecnologia e i problemi che possono rappresentare. Meno complessi una tecnologia, la più semplice è comprendere e protezione. Impossibilità di visualizzare facilmente e di comprendere l'ambito di tecnologie in uso in un'organizzazione in effetti è una delle cause principali dei problemi di protezione informazioni. Come professionisti InfoSec, si consiglia di riduzione della quantità di tecnologia utilizzata, non l'aumento.
I processi sono inoltre complessi, nebulous o, nella maggior parte dei casi, non riservate in e di se stessi. Un processo può fornire un vantaggio competitivo, ma un processo non può essere copiato interesse se. Si tratta informazioni documentare il processo che può essere copiato. Un processo è temporanea, esso viene rimosso. Solo attivando nei dati possibile uno copiarla. Questo è simile a musica. Musica esiste solo temporally come abbiamo ascoltare. Per consentire agli utenti di ascoltare musica in modo continuativo, Thomas Edison inventato phonograph una parte ingegnose della tecnologia consentito per registrare il processo di creazione musica come dati in modo che gli utenti possono riattivarli al nuovamente e.
A questo punto, più cento anni in seguito, gli utenti di morals elastic e virtue ambigua rubare la rappresentazione dei dati per l'avanzamento del processo di riproduzione di musica. Il settore di musica in un tentativo non riuscito in thwarting questa tendenza attiva alle tecnologie di protezione per offusca il processo di ricostruzione musica. Il risultato è principalmente per renderlo più difficile per i clienti legittimi per riprodurre i brani musicali. Questa tecnologia, nota come Rights Management DRM (Digital), è praticamente inutile nel combattere furto, sebbene sia molto esito positivo a combattere la soddisfazione dei clienti. Osservando questo rationally, si nota che il problema effettivamente sulla protezione delle informazioni, non i processi. In alcuni casi, come in musica, i dati essenzialmente non possono essere protetti, necessitating relativi proprietari per accettare questo fatto e passare semplicemente.
Questo comporta un numero di osservazioni interessanti. Ad esempio, si non offusca solo il processo? Non si semplificano il processo di creazione valore dei dati di un segreto? Non è possibile creare un algoritmo segreto è were? È possibile, ma in genere non farebbe valida. Shannon Claude inserire questo molto bluntly come "il enemy sa del sistema," un pronouncement comunemente noto come Maxim del Shannon.
Che cosa significa? L'algoritmo stesso non è in genere rimanere segreta. Il processo più noto e il margine competitivo proviene dalla difficoltà di implementazione del processo. Protezione informazioni nuovamente necessario, concentrarsi sul informazioni come il cespite importanti principale. I processi di protezione è solo interessante insofar fornisce protezione per le informazioni.
Problema di Defender
Questo comporta me "problema del Defender". Il processo è proteggere tutti i dati, inclusi in cui viene esposto in tutte le interazioni tra i componenti, in base al presupposto che guys non valido sia il sistema. Guys non valido, invece, necessario trovare un solo modo di danneggiare sistemi. Non è necessario più copie dei dati. Sarà sufficiente una sola copia indipendentemente da come si ottengono. Solo come una copia di un file MP3 sufficiente a fuel l'intero ecosistema penalmente, così è una copia singola dei dati sufficienti per l'avversari. Furto utilizzando qualsiasi un approccio non può inoltre essere annullata. Non è nessuna opzione di annullamento nel cyberspace.
Defender, pertanto, necessario proteggere tutti i punti possibili. È necessario fornire protezione adeguato per i dati inattivi e in aereo in tutti i dispositivi, indipendentemente dal proprietario i dispositivi. Ulteriori informazioni di risorse sono memorizzate, elaborate e trasmettere, diventa il processo il più difficile. Complessità è enemy di protezione.
Si noti l'utilizzo del termine di possibili. In molti casi, ad esempio con la tecnologia DRM, è possibile fornire protezione per motivi tecnici. In questi casi, il defenders deve individuare un modo per live con un sistema "con perdita di dati" o impedire l'accesso ai dati. In generale, dati viene distribuiti a avversari would-be non possono essere protetti. Se dati devono essere protetti, l'unico modo per farlo consiste di non distribuirlo mai.
Conflitto principale
Causa del nostro aversion naturale complessità, la funzione InfoSec spesso verrà percepita come una strada a blocco. Quelli di Microsoft nel campo InfoSec spesso e gran parte correttamente, visualizza i nostri processi come impedire l'accesso a elementi.
Il gruppo InfoSec è se si desidera che il progetto di essere interrotta. Il guys protezione dannoso sempre tenterà di impedire l'desiderata. Spesso è true ed è unfortunata, ma non perché il guys protezione dannoso non provare a ridurre la complessità e interrompere idee non valide. È unfortunate perché evidenzia un fondamentali disconnessione tra l'azienda e il gruppo di protezione.
Mantenere le luci esterno
Se sono mai studied per un esame di protezione di informazioni, indubbiamente illustrate la triad si, riservatezza, integrità e disponibilità. Consente di descrivere gli obiettivi di protezione informazioni. È necessario fornire la riservatezza delle informazioni con quelli che non deve hanno accesso a è, l'integrità per garantire che le informazioni siano accurate e disponibilità coloro che devono accedere alle informazioni. Di conseguenza, alcuni gruppi di protezione considerare gran parte le processo sulla verifica che le luci rimangono negli, tale disponibilità è garantita. Altri assumere esatta opposto approccio e valutare i processi da mantenere le luci disattivato, impedendo a chiunque, compresi quelli con esigenze legittime, l'accesso alle informazioni.
Potrebbe affermare che, se si dispone di una relazione con il business appropriata, il gruppo di protezione possibile ignorare la parte di disponibilità il triad. L'azienda dispone di altri utenti più esperti di disponibilità e servizio contratti. Se la protezione è semplicemente partner con tali e verifica che viene raggiunto un adeguato compromesso tra la riservatezza e integrità e disponibilità, la funzione di protezione può considerare la disponibilità di secondaria importanza. In alcuni misura sulla verifica le luci sono disattivati e rimangono disattivato; ma durante l'esecuzione esigenze aziendali in considerazione diventa quindi protezione. L'azienda, da sinistra a propri dispositivi, garantisce che le luci rimangano in. Protezione solo è aiutare l'azienda assicurarsi che solo le luci corrette rimangono negli altri rimanere disattivato. La protezione, in un certo senso, è quindi un nero ragionevole elenco funzione.
Questo è uno degli aspetti che trovo più interessante quando si lavora con altri utenti di protezione. Viene illustrata una riunione con i dirigenti aziendali. I dirigenti pronunciare "è necessario per protetto il prodotto." Il guys protezione dire "Bene, indicazioni sul prodotto." In che punto la protezione guys iniziare immediatamente informarli come proteggere widget il congratulo business pronunciare " è un widget".
Che cos'è mancante qui? Certo, guys il protezione tentato di informazioni è il prodotto. Ma qual è l'obiettivo aziendale? Ciò che l'azienda cerca di ottenere con questo widget? Come utile è all'azienda? Come strategico è? L'importanza è? La quantità dei rischi è l'azienda disposti a accettare per ottenere viene eseguita? Gli utenti aziendali anche desidera? generarlo
Il gruppo di protezione in modo raramente sa l'azienda. Ancora la congratulo protezione vesti comprendere in modo da conoscere l'azienda come eseguire diverse attività. Non è il processo come professionisti InfoSec per indicare il resto dell'organizzazione come eseguire un'azienda. È semplicemente il processo per informare l'azienda as to l'insieme corretto di luci per attivare e quali devono restare disattivato, in conformità con tolleranza all'azienda di rischio e la necessità. Abbiamo supportano e notifica l'azienda su come ottenere i relativi obiettivi con un livello di rischio accettabile, ma gli obiettivi ancora appartengono a aziendali, non dal gruppo InfoSec.
Quando È non informazioni di protezione
Infine è arrivati a rischio. InfoSec effettivamente è la gestione dei rischi informazioni. È gestire il rischio a nostro cespiti informazioni. In alternativa, almeno si sono dovrebbe. Ma in molti casi, è sufficiente non sono consentiti per. Protezione è Vendere rigido effettivamente perché il upside risulta poco chiaro in modo. Che cosa, dopo tutto, è il vantaggio di protezione? Che cos'è che costituiscono l'esito positivo È semplicemente "è non ottenere illecitamente quest'anno?" È mai possibile apportare tale istruzione e si essere garantita sia corretto, è possibile che sono state illecitamente ma non riuscita a. In realtà, problemi di investimento sufficiente denaro e l'ora InfoSec è realmente consigliabile per garantire che non si quando sono illecitamente.
Esistono molti potenziali conseguenze di neglecting InfoSec e, in alcuni casi, un appalling mancanza di conseguenze. In alcune aree abbandonare può causare perdita del processo o generare addebiti penalmente. Non proteggere la privacy dei figli, ad esempio, è penalmente negli Stati Uniti nei figli in linea sulla Privacy Protection Act (COPPA) e in altri paesi quali Canada e Australia in statuti nazionale.
Per le aziende che è basato su attendibilità cliente e in cui i clienti risultare evidente che non vi è un rischio, protezione è un costo di intrattengono rapporti commerciali. In un mondo in cui gli utenti sono già nervous e i costi di commutazione trascurabile violazione singola può doom un'azienda. Violazione principale e molto pubblica singola nel mondo di transazioni bancarie online, ad esempio, probabilmente sarà sufficiente impostare transazioni in linea bancarie nuovamente gli anni.
Tuttavia, non sembra contenere in altri settori. Richiedere la società TJX o un Heartland, il processore di carta di credito, ad esempio. Anche dopo appalling livelli di abbandonare per la protezione condotto al furto di carte di credito di quasi ogni americano che dispone di uno di tali schede, la società si trovano ancora nello business. La violazione TJX è stata effettuata pubblica in 2007 anticipata. Stesso anno, direttore generale della società, Cammarata di Bernard apprezzato un Salario di $911,539 più circa 1.6 milioni in magazzino e altri compensazione. Il presidente della società, Luisa Meyrowitz, ottenuto un posh 7.5 milioni durante overseeing dell'organizzazione che attivato il furto di carte di credito più grande nella cronologia e quindi non riuscita a quando non è, una figura pales rispetto al costo sostenuto per i cliente e le società di carte di credito. Il costo esatto della violazione Heartland è poco chiaro esempio di questo articolo. Tuttavia, È non necessario dubbio che la gestione executive non verrà handsomely rewarded relative alla modalità valiant che è gestito con un crisis è stato completamente avoidable era semplicemente implementato le misure di protezione informazioni più semplice. Abbandonare e rationalization sono ancora virtues in molto Troppe società. Chiaramente, abbiamo lungo consente di passare quando si tratta responsabilità per InfoSec.
Responsabilità a livello di governo
Nell'argomento di responsabilità, consiglia di leggere il report dall'area per strategici & internazionale di Studio (CSIS) denominata" Protezione Cyberspace Presidency 44th." Il report è stato pubblicato in dicembre 2008, è stato scritto per Stati Uniti I rappresentanti James b Langevin e Michael t. McCaul assieme (vicepres.) Microsoft di Trustworthy Computing, Scott Charney e generale Lieutenant Harry Raduege, USAF (ret.). L'obiettivo era quello di disporre di una strategia per l'amministrazione Obama in ingresso intorno cybersecurity. Più interessante, tuttavia, è la valutazione critica di come è stato neglected cybersecurity in Amministrazione precedente, il report indica che "cybersecurity è ora un problema di protezione nazionale principale per gli Stati Uniti".
Aspetto interessante è che il report sostiene una posizione lungo anziché per il settore del software, con Microsoft a forefront del opposition: l'utilizzo di regole di approvvigionamento per unità una direzione desiderata in prodotti di tecnologia di informazioni, in particolare il software. Il report non mince parole quando cui sono indicate come importante ciò è. Punta in particolare da tale cybersecurity è un "combattimento è sono perdere." Inoltre, è di "debole cybersecurity dilutes l'investimento in innovazione durante subsidizing sforzi ricerca e sviluppo dei concorrenti esterni". Non è nessuna estensione per eseguire tale istruzione stessa e applicarlo a sforzi InfoSec quasi qualsiasi organizzazione.
Nella figura 1 è effettivamente necessario firmare le carte di credito?
Accettazione non appropriato di rischio
Molti degli errori derivano da un'accettazione non appropriato di rischio. Beings umane tendono a underestimate rischi e i vantaggi di una sovrastima. È particolarmente underestimate rischi in aree che è trovare difficile comprensione, ad esempio cyberspace. È molto semplice può visualizzare rischi fisici. La maggior parte delle persone bloccare le automobili, anche se lo svantaggio potenziale di furto di un auto è un deductible assicurazione di € 500 e da inconvenienced per alcuni giorni. È possibile bloccare le porte per i case, anche in posizioni in cui sono molto rari burglaries. Tuttavia, è generare estratti conto della banca il Garbage Collector che letteralmente consegna criminali tutte le informazioni che necessarie per rubare tutto ciò che è proprietario. Abbiamo accesso esegue il nostro carte di credito e li memorizzano a fianco nostro checkbooks. Mettere insieme questi ingredienti e dispone di un criminale tutto ciò che è necessario svuotare il conto. È per questo motivo molto mia carte di credito l'aspetto della scheda illustrata nella Figura 1 .
Uno degli aspetti più importanti della gestione InfoSec consiste nel richiedere un preciso percezione del rischio. Si tratta in cui il gruppo InfoSec disponibile in. È compito questo gruppo advisory principali per l'azienda conoscere i rischi che accettazione, verifica l'azienda riconosce i rischi e i loro valori correttamente. È in genere sono state troppo semplice su come è valore rischio. Nella puntata di maggio 2008 della colonna del controllo di protezione, denominata" Principi di protezione quantum" Introdotto una versione aggiornata dell'equazione annuale perdite Expectancy ALE utilizzata per rischio asses (vedere la Nella figura 2 ).
Nella figura 2 l'equazione annuale perdite Expectancy ALE modificato
Tuttavia, non solo sull'valuing rischio. Da un consulente attendibile consente di spostarsi oltre a quelle. In una parte futura di questa serie InfoSec gestione, verrà illustrato rischio in decisamente maggiore dettaglio.
Un progetto
A questo punto, si vengono visualizzati più vicina a scopo true del InfoSec. È possibile affermare che esistono quattro aspetti centrale tutti contiene una radice nel principio di override che dovrebbe guidare InfoSec:
mantenere rischio a un livello accettabile Il processo di professionisti InfoSec, prima e tutto consiste nel tenere rischio a livello accettabile. Sono incluse le operazioni sono illustrate di seguito, assicurandosi che le luci rimangono, disattivare le luci a destra e in genere ensuring tali informazioni sono disponibile per coloro che serve e non per coloro che non. Il problema di principale di mantenere rischio a livello accettabile è stabilire cosa si intende per "consentito". Si scopre che accettabile è influenzato da molti fattori, che verrà discusso in un secondo articolo.
attivare il business Prima e di tutto, il gruppo InfoSec è un membro dell'azienda. Il processo è necessario abilitare l'azienda, non per interromperlo. I professionisti di InfoSec che consente di visualizzare sul loro ruolo come per impedire l'azienda stessa raramente verifichino molto successo a lungo termine. Sono inoltre non saranno molto occupati gran parte l'azienda verrà semplicemente evitarle e continuare senza input da InfoSec, spesso rendere ancora più inappropriati rischio gestione compromessi. Ancora una volta, siamo qui per proteggere il business e Guida è ottenere relativi obiettivi durante la gestione dei rischi.
rischio di notifica InfoSec ha un ruolo operativo Gestione periferiche di rete, software di protezione e processi (ad esempio risposta di gestione e incidente patch). Il lato operativo è, dove InfoSec è spesso più visibili. La Web part che possono avere impatto più ampia, è tuttavia la capacità advisory. Come un consulente InfoSec deve fungere una risorsa di consulenza interna concessione una prospettiva di protezione per i progetti molto e larghezza. Può trattarsi di un ruolo molto fulfilling per i professionisti di InfoSec che utilizzare la creazione diretta di valore per la società.
definire criteri di gestione dei rischi e i processi Infine, InfoSec gestisce la condizione di rischio informazioni globale tramite i criteri e processi. Che significa che il gruppo InfoSec deve valutare il rischio per l'azienda, definire i criteri e definire i processi. La valutazione dei rischi è costituito principalmente da un'analisi della modalità dell'organizzazione è la gestione dei rischi e cosa dovrebbe essere la condizione preferito. Basato su tale filosofia, InfoSec stabilisce un set di criteri di protezione per codify condizione dei rischi dell'organizzazione e principi di gestione. Questi criteri sono quindi implementati in una serie di processi per facilitare l'organizzazione con conformità.
Disposizione dei
In questo articolo sono esaminati un progetto di base per la gestione di InfoSec. La chiave qui è capire che InfoSec parte principale all'azienda e deve essere un consulente attendibili al resto dell'azienda. Invece di essere in conflitto con l'azienda, il gruppo InfoSec necessario stabilire una relazione con altre parti dell'azienda per l'azienda intera ottenere relativi obiettivi con un livello di rischio accettabile. Solo allora InfoSec possibile efficace.
Ma è solo l'inizio di conversazione. Controllare le rate successive della colonna di protezione controllo quando questa serie è possibile continuare a Gestione della protezione informazioni.
Jesper Johansson è architetto software di protezione principale per una società di aziende Fortune 200 nota, lavorando obiettivi di protezione di base dei rischi e strategia di protezione. È inoltre un redattore di TechNet Magazine. Suo lavoro è costituito da garantire la protezione in alcuni dei sistemi più grandi e più distribuiti nel mondo. Contiene un Ph.d in Management Information Systems, ha oltre 20 anni esperienza nella protezione di ed è un MVP di protezione dell'organizzazione. Il suo ultimo libro è Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).