@pgagge公司
反应很好…
如果公司信息资产(与物理服务器、网络和诸如此类的枯燥乏味的东西相反)归IT所有,其唯一责任是保护和决定谁有权访问,公司陷入了大麻烦。
不一定。雇佣合适的团队或抱怨结果。IT部门负责实施谁应该具有访问权限。他们得到了一份用户列表和他们的需求。有时,他们会决定谁有权访问什么。
几乎所有现代公司的盈利能力和生存都依赖于海量信息的可用性和完整性。它可能需要很多技术来处理,但这并不能让It部门专家了解信息的价值。(有些人尝试这样做。他们可能会从传统的IT角色演变而来。)
IT不需要成为信息价值方面的专家。他们只需要知道它必须得到保护。他们将从各个部门获得任务和指示或信息,以量化所需的安全级别。
USB记忆棒、云存储服务、电子邮件三种选择:所有这些都是威胁载体,但如果正确使用,也会提高生产力。
“正确使用时”:
是谁决定的?用户、IT还是常识?
我说,IT制定规则和政策,并试图实施这些政策和控制。如果用户有常识,他/她就会遵守。IT还必须假设用户不可信。如果用户在公司网络上插入U盘,导致网络瘫痪,这将是It的瓶颈
几个小时。谁会站在那个男人面前向他解释情况?
用户还是IT主管?
首席执行官对首席信息官:发生了什么?我听说证件被泄露了,媒体正在追捕我们。
首席信息官:嗯。嗯。这家伙在停车场发现了一个U盘…
那会飞吗?
应对外部威胁的最后一道防线总是终端用户公认的多变的常识。这不是“授权”责任:责任启动在业务方面,与拥有信息资产的人打交道。
在我见过的大多数公司环境中,用户什么都不拥有。一切都属于公司,他们告诉你这一点。这还包括放弃你的隐私权。他们告诉你,他们将监控所有沟通渠道。信息的所有权是无可争辩的,他们的律师清楚地表明了这一点。公司法人实体拥有该信息,IT是致力于保护该信息的实体。要求用户“遵守”。我基本上是在说,而不仅仅是“问”,“强制”。
“IT应该能够阻止和缓解一系列已知威胁,但无法在不妨碍业务开展的情况下有效阻止所有威胁。只有IT和最终用户合作才能获得合理的安全性(而不是神话般的完美安全性)。”
协作意味着用户遵守IT政策,意味着提醒IT注意他们意识到的威胁。协作并不意味着用户被委托保护他/她不“拥有”的资产。我们可以谈谈现实生活中的例子。我相信你一定听说过一些人丢失了他们的未加密笔记本电脑,这些笔记本电脑中含有大量的信息,这些信息给他们的雇主带来了大笔金钱、负面新闻稿和尴尬,以及其他令人心痛的事情。
因此,Salesman先生拥有一个包含数万名客户、他们的用户名、ID、社交安全号码、年龄等信息的数据库。IT部门已使用所有“已知”的机制和控制措施在其服务器上保护了该数据库。Salesman先生想要提高效率,他一直在路上(在路上),不喜欢VPN的想法,连接速度慢;你所说的inconvienice和生产力。所以他在笔记本电脑上本地复制了这个数据库——他的常识允许他这样做。而且不加密它——忽略了it的政策,即移动设备上的所有公司信息都必须加密。
这家伙把笔记本电脑忘在火车、出租车或其他什么地方了——他不记得了。IT发现了,或者更糟的是(有时是这样)有人公开了这些信息。你可以从那里猜出剩下的(或阅读相关内容)
这里有两个问题:
1-这里谁有错?
2-未来如何减少(我不说预防)此类事件?
所以用户是surley负责的。Salesman先生违反了公司的政策,需要被“智慧化”(与源自索多玛和蛾摩拉的另一个词押韵)。他的责任到此为止。另一方面,IT不仅要负责,而且要负责。他们应该有适当的控制措施来防止这种情况发生,这些控制措施不是“火箭科学”。
关于“与神话般的完美安全相反”…
背景短小,克莱夫·罗宾逊的风格让我印象深刻🙂
所以我之前说过,(在我看来)安全性是:
“通过资产所有者的完全意识和完全有把握的控制,保护资产的无痛能力”
我还说,“绝对安全”并不存在——这从定义上是清楚的。因此,这是我在分析安全事件或制定安全解决方案时使用的定义。它不是一成不变的,是开放的改进和批评……你也可以完全无视它。所以在电气工程中,他们使用了一些模型。这些都是理想的,在现实生活中并不存在(或在罕见的情况下存在)。这些模型用于简化复杂电路的设计和分析。例如,有“理想电流源”和“理想电压源”。你也可以用“完美”来代替理想。我试图为安全部门做同样的事情。什么参数可以允许理想或完美的“安全”模型存在?正是在这个博客上,我找到了两个“理想”的模型:城堡和监狱。城堡和监狱可以像电压和电流一样相互关联(通过砖块电阻或欧姆定律:)。有人说这纯粹是理论上的,但我发现这种方法是系统和有条理的。我又开始偏离C-v-P,所以我最好到此为止。
]]>