Обратите внимание: прекратите игнорировать политику сетевой безопасности

Опубликовано: 2 Апреля, 2023
Обратите внимание: прекратите игнорировать политику сетевой безопасности

Десять лет назад все, о чем вы слышали повсюду, было: «Есть ли в вашей организации письменная политика сетевой безопасности?» Были написаны книги и разработаны курсы для помощи менеджерам и владельцам бизнеса в планировании, разработке и эффективном использовании политик сетевой безопасности.

Затем мир изменился, поскольку Интернет стал более опасным местом, а облачные вычисления стали центром ИТ-деятельности для многих компаний. Политика сетевой безопасности вышла из моды как ключевой элемент глубокой стратегии защиты. Фокус информационной безопасности сместился на более интересные вещи, такие как хакатоны и упражнения по тестированию на проникновение. Политики сетевой безопасности не были заброшены; многие организации просто перестали обращать на них внимание и перестали их обновлять.

«Не срочно» тоже может быть срочным

Это было серьезной ошибкой, как теперь поняли многие мои коллеги по ИТ-специальности. Сосредоточив наше время и энергию на «важных/срочных» аспектах сетевой безопасности, игнорируя при этом «важный/несрочный» угол матрицы управления временем Covey, мы подрываем наши усилия по обеспечению безопасности нашей ИТ-инфраструктуры, особенно в отношении наиболее опасный вектор угрозы: внутренняя угроза.

Давайте начнем исправлять это сегодня, стряхнув пыль с политики сетевой безопасности нашей организации (если мы сможем ее найти) и представив ее вниманию наших пользователей, чтобы сделать наши информационные системы более безопасными. Несмотря на то, что разработка и поддержка комплексной политики сетевой безопасности для вашей компании не так увлекательна по сравнению с фиктивными битвами между красными и синими командами, это все же важный шаг в обеспечении защиты ваших ИТ-активов и бизнес-данных.

Чтобы помочь нам переориентировать наше внимание на политики сетевой безопасности, я недавно выбрал мозги Криса Брандоу, ИТ-специалиста, который работает с компьютерами с 1987 года и работает сетевым администратором с 1993 года. С декабря 1993 года по декабрь 1996 года он был сетевым администратором. для крупнейшего в мире разработчика коммуникационного программного обеспечения Datastorm Technologies, Inc. Затем, в декабре 1996 года, Крис начал свою карьеру консультанта, обслуживая самых разных клиентов. В июле 2001 года Крис вместе с Тимом Блейкли и Китом Пауэллом создал компанию Invision, которая обеспечивает ИТ-поддержку интеллектуальных предприятий в Ленексе, штат Канзас. Я отредактировал некоторые из сообщений Криса со мной ниже для ясности.

Я начал с того, что попросил Криса рассмотреть, что именно представляет собой политика сетевой безопасности, потому что вы не можете попасть в цель, если не знаете, к чему стремитесь. Крис объяснил концепцию и характер политики сетевой безопасности следующим образом: «Как правило, политика сетевой безопасности представляет собой документ или набор документов, которые объясняют допустимое использование, защиту и последствия неправомерного использования информационных технологий в организации. Этот набор меняющихся документов следует периодически просматривать и обновлять в соответствии с технологическими изменениями и требованиями сотрудников. Подтемы в этом политическом документе верхнего уровня могут включать вашу политику допустимого использования, политику использования компьютеров, политику внутреннего доступа, политику внешнего доступа, политику мобильных устройств и т. д.».

Вам действительно нужна политика сетевой безопасности?

Действительно ли каждому предприятию или организации, независимо от их размера, нужна политика сетевой безопасности? «Даже в небольшой компании должны быть определенные требования к сети и ресурсам, — говорит Крис. «Эти ожидания касаются менеджеров, сотрудников и даже сторонних поставщиков, которые имеют доступ к этим ресурсам. У них могут быть разные руководящие принципы, но все они должны быть определены для того, что является приемлемым, а что нет. Что защищать и как. В нем должны быть определены последствия игнорирования рекомендаций и действия в случае утечки данных».

Но скажем, мы действительно небольшая компания. Политика сетевой безопасности все еще является чем-то, что нам абсолютно необходимо? «Ну, в настоящее время у каждой компании есть цифровые активы», — ответил Крис. «Определение ваших активов, а затем разработка плана по их защите всегда в ваших интересах. Даже если у вас нет внутреннего ИТ-отдела, вы все равно можете проконсультироваться с аутсорсинговой компанией по управлению ИТ, чтобы помочь вам разработать политику. Поверьте, кто-то где-то хочет то, что у вас есть. Что вы делаете, чтобы они не украли его?»

Хорошая точка зрения! Хорошо, вы меня убедили, что мне теперь делать? «Теперь, когда вы поняли, что вам нужен ПИШ, — говорит Крис, — с чего вам начать? В Интернете есть много руководств, которые могут помочь вам с отправной точкой. Определение того, какие политики вам действительно нужны, должно стать вашим первым шагом. Например, ваша AUP (политика допустимого или надлежащего использования), как правило, является хорошим краеугольным камнем для начала. В этом документе будет указано, что пользователи вашей сети могут и не должны делать с сетевыми ресурсами. Обратите внимание, что это должно быть как можно более явным, чтобы предотвратить неправильное толкование рекомендаций».

Что насчет правоприменения? Как вы обеспечиваете соблюдение политики сетевой безопасности и не игнорируете ее? «Ну, — говорит Крис, — в соответствии с руководящими принципами определение надлежащего уровня дисциплинарных мер против нарушителей имеет жизненно важное значение для эффективности вашей политики. Дисциплинарные процедуры и наказания должны быть прописаны и применяться в случае злоупотреблений. В конце концов, речь идет о данных и инфраструктуре вашей компании. Если бы он исчез, выжил бы ваш бизнес? Это серьезно и должно применяться как таковое!»

Где узнать больше

В заключение я спросил Криса, где можно найти дополнительную информацию о создании политики сетевой безопасности, и он ответил, указав мне на эту статью на ZDNet, которая была написана почти два десятилетия назад, но до сих пор дает хороший обзор того, как реализовать политику сетевой безопасности. эффективная политика безопасности для вашей организации. Он также порекомендовал книгу Cisco Press, которая сейчас больше не издается, но здесь есть образец главы, в которой рассматриваются основные концепции политики сетевой безопасности.

Я также проверил другие более свежие книги, которые содержат полезный контент по разработке политик сетевой безопасности, и нашел это название, которое я могу порекомендовать и которое, я думаю, вполне стоит проверить: Политики, процедуры и стандарты информационной безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023