Безопасность: общая ответственность (часть 2)

Опубликовано: 6 Апреля, 2023

  • Безопасность: общая ответственность (часть 3)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 6)

Введение

В этой серии статей, состоящей из нескольких частей, мы рассмотрим общую картину областей ответственности в сфере безопасности и то, как каждый компонент (внутренняя должность или внешнее лицо) вписывается в головоломку, а также обсудим важность определенных областей ответственности.. В первой статье серии мы подробно рассмотрели роль CSO или CISO на вершине структуры ИТ-безопасности. Теперь, во второй части, мы продолжим обсуждение, изучив роль(и) безопасности ИТ-администраторов, а затем поговорим об обязанностях внешних подрядчиков, консультантов и партнеров, которым вы предоставляете доступ к некоторым или все ваши ИТ-ресурсы.

Роль ИТ-администратора в процессах безопасности

Типичный ИТ-администратор недоукомплектован и перегружен работой, он просто поддерживает работу сети, устраняет технические неполадки и обрабатывает жалобы и запросы от конечных пользователей. Администраторы уже несут ответственность за множество вещей: содержание, настройку, техническое обслуживание и управление серверами, настольными компьютерами и мобильными устройствами, которые подключаются к сети. Последнее, о чем администратор хочет думать, — это безопасность.

Безопасность усложняет работу администратора. Меры безопасности повышают вероятность того, что у пользователей возникнут проблемы с доступом к необходимым им ресурсам, что приведет к еще большему количеству жалоб и просьб о помощи в техподдержке. Технологии безопасности часто снижают производительность, создавая проблемы как для ИТ-специалистов, так и для конечных пользователей. Безопасность доставляет неудобства и расстраивает всех, требуя запоминания и ввода длинных бессмысленных паролей, отказа в доступе, когда вы оставляете смарт-карту дома, и усложняет технологию, которая дает больше возможностей для программных ошибок и больше вероятности того, что что-то пойдет не так. пойти не так.

Администраторы могут столкнуться с внедрением политик безопасности, с которыми они не согласны, и/или развертыванием технологий безопасности, которые они не понимают или в которых не уверены, поскольку они не участвовали в формировании политики и принятии решений о покупке. Как вы могли догадаться, это не лучший рецепт для достижения эффективного решения безопасности.

Если ИТ-администраторам поручается выполнение практических задач, связанных с выполнением решений директора по информационной безопасности, таких как установка и настройка решений безопасности, а также устранение неполадок и их обслуживание, полезно вовлечь их в процесс с самого начала, чтобы они могли предоставить информацию с оперативной точки зрения. Администраторы хорошо знают сеть и могут знать причины, по которым конкретный механизм безопасности будет или не будет работать в их среде.

В дополнение к обычным ИТ-администраторам в крупных организациях, вероятно, есть специализированные администраторы, такие как администратор Exchange (или другого почтового сервера), веб-мастер (ы), администратор брандмауэра, администратор базы данных, администратор телекоммуникаций и т. д. Каждый из они будут нести ответственность в отношении безопасности своих конкретных продуктов или услуг.

В организациях также могут быть назначены системные администраторы безопасности. Если роль директора по информационной безопасности заключается в разработке и контроле политик безопасности, то роль администратора безопасности заключается в реализации этих политик. Это снимает часть (но не все) бремени безопасности с обычных ИТ-администраторов и специализированных администраторов.

Точно так же, как ваша технологическая стратегия безопасности должна быть многоуровневой, с различными механизмами, обеспечивающими защиту данных при их перемещении через Интернет, по периметру, при передаче по внутренней сети, на уровне локальной системы и в хранилище данных. уровень, ваша структура персонала службы безопасности также более эффективна, если она многоуровневая. Администратор безопасности служит прослойкой между директором по информационной безопасности и общими администраторами. В этом случае, поскольку администратор безопасности является непосредственным исполнителем, он/она должен вносить свой вклад в политики безопасности и решения на ранних этапах, а не постфактум.

Администратору безопасности поручен постоянный мониторинг сети и систем на предмет нарушений безопасности и уязвимостей. Тестирование на проникновение может выявить слабые места в реализации безопасности, чтобы их можно было устранить до того, как злоумышленники их обнаружат.

Важно, чтобы все администраторы — общие системные администраторы, специализированные администраторы и администраторы безопасности — работали вместе под руководством директора по информационной безопасности или директора по безопасности, чтобы сделать безопасность приоритетом. Различные организации по-разному распределяют и распределяют обязанности, связанные с безопасностью, но важно, чтобы все участники знали, кто за какие задачи отвечает.

Например, возлагается ли ответственность за тестирование и установку регулярно выпускаемых исправлений программного обеспечения на администратора безопасности или ИТ-администратора? Будут ли специализированные администраторы сами устанавливать исправления для своих конкретных серверов или один человек будет нести ответственность за все исправления для всех серверов и клиентов? А как насчет мобильных устройств, особенно устройств BYOD? Оставите ли вы пользователям возможность обновлять их ( хорошая идея), или, если нет, кто будет нести за это ответственность? Это вопросы, на которые необходимо ответить и сделать частью ваших письменных политик и процедур.

Роль внешних консультантов, подрядчиков и партнеров

Было бы ошибкой думать, что безопасность сети, систем и данных вашей организации — прерогатива только тех, кто непосредственно работает в компании. Любой, кто имеет доступ к вашей внутренней сети или к системам и устройствам, которые к ней подключаются, обязан соблюдать передовые методы безопасности, чтобы не подвергать риску ваши активы.

К сожалению, вы не всегда можете ожидать, что сторонние консультанты, подрядчики, партнеры и другие лица, которым вы предоставляете доступ, самостоятельно реализуют высочайшие уровни безопасности в своих подключаемых системах. Вот почему ваши политики безопасности должны четко указывать требования, и вы должны использовать механизмы проверки работоспособности для систем удаленного доступа, чтобы убедиться, что в них установлены последние обновления и пакеты обновлений, установлены, обновлены и включены антивирусы, настроены брандмауэры, и так далее.

Крупные предприятия имеют больше возможностей для обеспечения соблюдения строгих политик безопасности для посторонних, имеющих доступ к ИТ-инфраструктуре, а некоторые даже предоставляют собственное оборудование консультантам и подрядчикам, чтобы они могли управлять этими системами так же, как и сотрудники.. Это снижает риск того, что консультанты и подрядчики со своими ноутбуками и другими мобильными устройствами занесут вредоносное ПО, полученное из другой сети.

Небольшие компании и некоммерческие организации с ограниченным бюджетом не только не могут позволить себе такие меры, но и, вероятно, будут иметь дело с более мелкими и менее дорогими консалтинговыми фирмами, у которых может не быть собственной практики обеспечения безопасности структуры.

В любом случае доступ посторонних к вашей сети и системам всегда представляет дополнительный риск для компании; это просто разница в степени. Посторонние не будут хорошо знакомы с вашей сетью, и это незнание может привести к тому, что они непреднамеренно совершат ошибки, которые приведут к непреднамеренному нарушению безопасности или утечке данных.

При привлечении посторонних в вашу сеть — будь то на один день или для долгосрочного задания или партнерских отношений — важно установить основные правила и настроить технологическое обеспечение соблюдения этих правил. Откровенный разговор о безопасности , как нанять консалтинговую фирму или заключить контракт с третьей стороной на выполнение аутсорсинговой работы, уместно, и в контракте должны быть указаны конкретные вопросы безопасности. Будьте осторожны, если они попытаются проигнорировать это с широкими заверениями, что «у вас нет причин беспокоиться о безопасности», и не хотят обсуждать, какие именно меры безопасности они используют. Используйте третьих лиц, которые имеют известную репутацию в области обеспечения безопасности, и поговорите с рекомендациями перед наймом.

Подрядчики, консультанты и партнеры часто хотят получить удаленный доступ к вашей сети, и вы должны обязательно использовать строгую аутентификацию для удаленного входа в систему. Рекомендуется требовать дополнительную проверку подлинности, если посторонний входит в систему с нового устройства или из нового места, а также использовать многофакторную проверку подлинности, чтобы снизить риск того, что хакер обнаружит пароли от небрежного подрядчика или консультанта.

Когда подрядчики и консультанты работают в локальной среде, вы должны заботиться о физической безопасности в дополнение к ИТ-безопасности. Это вызывает беспокойство, потому что обычно у вас меньше возможностей проверять отдельных третьих лиц, чем при найме собственных сотрудников. Обычно вы заключаете контракт с компанией, и эта компания несет ответственность за проверку биографических данных и контроль за добросовестностью своих сотрудников. Ваш договор должен возлагать на подрядную фирму юридическую ответственность и предусматривать штрафы за любое нарушение, совершенное ее сотрудниками. Вы даже можете попросить, чтобы проверить биографические данные сотрудников подрядной фирмы. Если они ничего не сделали, это должно быть красным флажком в процессе найма. Вы также можете включить в договор соглашение о неразглашении (NDA), если подрядчик или консультант будет иметь доступ к данным, составляющим коммерческую тайну, или другой частной информации.

Поскольку они работают во многих разных компаниях, неэтичные подрядчики и консультанты имеют идеальные возможности для участия в корпоративном шпионаже. Важно обеспечить, чтобы третьи стороны всегда сопровождались доверенным сотрудником компании, когда они входят в зоны, где хранятся конфиденциальные данные или где расположены важные компоненты инфраструктуры, такие как центр обработки данных или серверная. Они должны быть обязаны регистрироваться и выходить, когда входят в помещение, и им должен быть предоставлен физический доступ только к зонам, необходимым для выполнения их работы.

Резюме

Во второй части этой серии статей, посвященной безопасности как общей ответственности, мы рассмотрели роли ИТ-администраторов — общих системных администраторов, специализированных администраторов и администраторов безопасности, а затем рассмотрели обязанности по обеспечению безопасности сторонних подрядчиков, консультантов и партнеров, имеющих доступ к ваша ИТ-инфраструктура и активы как часть отношений. В следующий раз, в части 3, мы начнем с рассмотрения ответственности конечных пользователей за безопасность.

  • Безопасность: общая ответственность (часть 3)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 6)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023