Human Issues om Datasikkerhet


  Share  
|

Implementering datasikkerhet kontroller er kompleks, og i en stor organisasjon saksbehandlingsfeil kontroller ofte blir vage eller uhåndterlige. Uavhengig av styrken på tekniske kontroller, hvis nontechnical hensyn påvirke deres implementering og bruk, kan effekten på sikkerhet bli alvorlig. Videre, hvis konfigurert eller brukt på feil måte, selv den beste sikkerheten kontrollen er ubrukelig i beste og farlig i verste fall. Dermed designerne, Implementers og vedlikeholder sikkerhet kontroller er avgjørende for riktig drift av disse kontrollene.

Organisatoriske problemer

Security gir ingen direkte økonomiske belønninger til brukeren. Den begrenser tap, men det krever også at utgiftene av ressurser som kunne brukes andre steder. Med mindre tap oppstår, organisasjoner ofte tror de herjer innsats knyttet til sikkerhet. Etter et tap, verdien av disse kontrollene plutselig blir verdsatt. Videre kontrollerer sikkerheten ofte legge kompleksitet til ellers enkle operasjoner. For eksempel, hvis avslutter en aksje handel tar to minutter uten sikkerhetskontroller og tre minutter med sikkerhetskontroller, og legger disse kontrollene resulterer i en 50% tap av produktivitet.

Tap oppstår når sikkerheten Beskyttelse er på plass, men slike tap er forventet å være mindre enn de ville vært uten sikkerhetsmekanismer. Det viktigste spørsmålet er hvorvidt et slikt tap, kombinert med den resulterende tap i produktivitet, vil være større enn et økonomisk tap eller tap av tillit bør en av de nonsecured transaksjoner lide et sikkerhetsbrudd.

Compounding dette problemet er spørsmålet om hvem som er ansvarlig for sikkerheten til selskapets datamaskiner. Makt til å gjennomføre nødvendige kontroller må ligge med dem som er ansvarlige, konsekvensen av å ikke gjøre det er at folk som kan mest tydelig se behovet for sikkerhetstiltak, og som er ansvarlig for å gjennomføre dem, vil ikke kunne gjøre det. Dette er rett og slett god forretningsskikk; ansvar uten strøm skaper problemer i enhver organisasjon, som gjør makt uten ansvar.

Når klare kjeder av ansvar og makt er etablert, kan behovet for sikkerhet konkurrere på like fot med andre behov i organisasjonen. Det vanligste problemet en garanti manager står overfor er mangel på folk opplært innen datasikkerhet. Et annet vanlig problem er at kunnskapsrike folk er overlesset med arbeid. På mange organisasjoner, er "Security Administrator" også involvert i systemadministrasjon, utvikling, eller en annen sekundær funksjon. Faktisk er sikkerheten aspektet av jobben ofte sekundære. Problemet er at indikasjoner på sikkerhet problemer ofte ikke er åpenbare og krever tid og dyktighet å få øye på. Forberedelse til et angrep gjør håndtere det mindre kaotisk, men slike forberedelser tar nok tid og krever nok oppmerksomhet så behandle det som et sekundært aspekt av en jobb betyr at det ikke vil bli utført godt, med den forventede konsekvenser.

Mangel på ressurser er et annet vanlig problem. Sikre et system krever ressurser så vel som mennesker. Det krever tid å utforme en konfigurasjon som gir et tilstrekkelig nivå av sikkerhet, å implementere konfigurasjonen, og for å administrere systemet. Det krever penger for å kjøpe produkter som er nødvendige for å bygge et tilstrekkelig sikkerhet system eller betale noen andre til å utforme og iverksette sikkerhetstiltak. Det krever datamaskin ressurser for å implementere og gjennomføre sikkerhetsmekanismene og prosedyrer. Det krever trening for å sikre at ansatte forstår hvordan du bruker sikkerhetsverktøy, hvordan du skal tolke resultatene, og hvordan å implementere nontechnical aspekter av sikkerhetspolitikken.

Folk Problemer

Hjertet i ethvert sikkerhetssystem er mennesker. Dette gjelder særlig innen datasikkerhet, som omhandler hovedsakelig med teknologiske kontroller som kan vanligvis blir forbigått av menneskelige inngrep. For eksempel, godkjenner et datasystem en bruker ved å spørre brukeren for en hemmelig kode; hvis riktig hemmelige koden leveres antar datamaskinen som brukeren er autorisert til å bruke systemet. Hvis en autorisert bruker forteller en annen person sin hemmelige koden, kan uautorisert bruker masquerade som den autoriserte brukeren med betydelig mindre sannsynlighet for gjenkjenning.

Folk som har noe motiv for å angripe en organisasjon og er ikke autorisert til å bruke organisasjonens systemer kalles utenforstående og kan utgjøre en alvorlig trussel. Ekspertene er enige, men at en langt farligere trussel kommer fra misfornøyde ansatte og andre innsidere som er autorisert til å bruke datamaskiner. Innsidere vanligvis kjenner organiseringen av selskapets systemer og hvilke prosedyrer operatørene og brukerne følger og ofte vet nok passord å omkjøringsvei mange sikkerhetskontroller som kunne detektere et angrep lansert av en outsider. Insider misbruk av autoriserte privilegier er et svært vanskelig problem å løse.

Ufaglærte personell utgjør også en trussel mot systemsikkerheten. Som et eksempel, gjorde en operatør ikke klar over at innholdet av backup bånd måtte verifiseres før tapene ble lagret. Når angripere slettet flere kritiske systemfiler, oppdaget hun at ingen av sikkerhetskopien båndene kunne leses.

Systemadministratorer som misread utgang av sikkerhetsmekanismer, eller ikke analysere det utgang, bidrar til at sannsynligheten for vellykkede angrep mot deres systemer. Likeledes kan administratorer som misconfigure sikkerhets-funksjoner som er relatert til et system svekke området sikkerhet. Brukerne kan også svekke sikkerhet ved å misbruke sikkerhetsmekanismer (for eksempel velger passord som er lette å gjette).

Mangel på opplæring behøver ikke være i teknisk arena. Mange vellykkede innbrudd ha oppstått fra kunsten social engineering. Hvis operatørene vil endre passord basert på telefon-henvendelser, trenger alle en angriper å gjøre er å bestemme navnet på noen som bruker datamaskinen. En vanlig taktikk er å hente noe ganske langt over operatør (for eksempel en Vice President i selskapet), og å late nødnumre (for eksempel ringer om natten og sa at en rapport til president i selskapet skyldes neste morgen) slik at operatøren vil være tilbakeholdne med å avslå forespørselen. Når passordet er endret til en som angriperen vet, kan han ganske enkelt logge inn som en vanlig bruker. Social engineering angrep er bemerkelsesverdig vellykket og ofte ødeleggende.

Problemet med oppsettet er forverret av kompleksiteten i mange sikkerhetsrelaterte konfigurasjonsfiler. For eksempel kan en typografiske feil arbeidsudyktig nøkkel beskyttelse funksjoner. Enda verre, ikke programvaren ikke alltid fungerer som annonsert.

En mye brukt systemet hadde et sikkerhetsproblem som oppstod når en administrator gjort for lenge en liste som heter system med tilgang til bestemte filer. Fordi listen var for lang, systemet bare antatt at administratoren ment å tillate disse filene for å få tilgang uten restriksjoner på hvem som kunne få tilgang themexactly det motsatte av hva som var ment.

en artikkel presentert av Meden Reece

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions