Bezpieczeństwo według liczb

Bezpieczeństwo według liczb

Kilka miesięcy temu zapytałem w tej kolumnie, czy złe bezpieczeństwo IT powinno stać się przestępstwem w sobie, moim argumentem jest to, że prawny obowiązek ujawnienia, teraz egzekwowany w niektórych stanach USA, może skłonić liczniki fasoli do błędu z boku ostrożnie, a nie tanio podczas płacenia za środki bezpieczeństwa - lepiej wydać teraz kilka tysięcy, aby uniknąć grzywny z kilkoma zerami, jeśli dziura bezpieczeństwa, o której wiedziałeś. Krótko mówiąc, kryminalizuj naruszenie zasad ochrony danych.

Nie byłem zaskoczony, gdy ten argument przyniósł więcej niż zwykłe uprawy orzechów z ich skorup i do mojej skrzynki pocztowej (wiesz, kim jesteś), chociaż powaga specyficzna rzuconego witriolem była nieco wyższa niż oczekiwano, nawet ze społeczności najlepiej opisane jako „szalone jako pudełko żab”. Po zrównoważeniu tych rantów przyszła ta raczej prowokująca poczta od Glenna Glidden, menedżer IT w College of Dalsze Edukację: „Zgadzam się, że szkody reputacji mogą być dobrą dźwignią próby skłonienia organizacji do zmiany zasad bezpieczeństwa IT, ale nie by to nie zrobił, ale nie zrobiłby tego Jednym ze sposobów jest, aby rząd wymagał od rządów publicznych wdrożenia BS7799?"

Kontynuuje: „O ile wiem. Oczywiście nie oznacza to, że zostanie zastosowane, stąd moje poparcie dla kryminalizacji takich naruszeń bezpieczeństwa, podwójnie, więc jeśli wiesz, co powinieneś zrobić.„Sam Glenn rozwiązuje ten problem, używając tego, co uważa za pośrednio rozwiązanie, podręcznik bezpieczeństwa informacji UCISA (www.UCISA.AC.Wielka Brytania/Publikacje/IST.ASPX) jako podstawa polityki lokalnej. Dokument ten oparty jest na BS7799 i obejmuje około 90% jego wymagań, ale nie może magicznie dostarczyć czasu, aby umożliwić Glennowi jego wdrożenie, ani nie może zapewnić, że jego personel jest zgodny z nim: „W tym miejscu pomogłoby to przymus prawny i rządowy. W tej chwili jestem jedynym jadącym tym naprzódm, stąd powolny postęp.”Glenn dodaje:„ Czas wdrożenia z podręcznikiem byłby szybszy, gdyby był faktycznie przedstawiony jako pełna zasada z listami kontrolnymi, więc była bliżej wyniku końcowego. Ponadto przydatny byłby przewodnik personelu o tym, dlaczego bezpieczeństwo było ważne, ale wydaje się, że brakuje."

Co skłania mnie do zapytania, czytelnika, czy wdrażasz BS7799/ISO27001, a jeśli tak, jak się masz i jakie zasoby uznałeś za najbardziej przydatne? Jakie pułapki napotkałeś? W zależności od twoich odpowiedzi mogę poświęcić na to całą kolumnę.

W brązowe rzeczy

Coroczny pokaz Infosecurity Europe jest już naprawdę za nami, ale jego dziedzictwo wydawnictw prasowych, ankiet i raportów badawczych trwa jak zły zapach. Jeśli coś zostanie obliczane, aby podnieść moją presję krwi na poziom niebezpieczeństwa, to coroczne badanie, które organizatorzy tego programu postępują podczas podbiegu, bez wątpienia w celu opublikowania wydarzenia, a także ogólnej świadomości bezpieczeństwa, i które zawsze wydaje się wiązać się z czekoladą. To nie samo ankieta mnie kręci, ale sposób, w jaki oczywiste jest, że niezdolność wielkiej brytyjskiej opinii publicznej przyciągnęła koncepcję, że ich dane są cenne i że muszą odgrywać rolę w ochronie jej.

Właśnie dlatego byłem mile zaskoczony wynikami najnowszej ankiety, która odbyła się poza ruchliwym londyńskim dworcem kolejowym i obejmowała grupę ładnych kobiet z zadaniem nieodpowiednich pytań na temat problemów bezpieczeństwa IT osobistego w zamian za bar czekoladowy. Dobrą wiadomością jest to, że rzeczy faktycznie stało się lepsze, a przynajmniej tak się wydaje, ponieważ tylko 21% poproszonych było w tym roku na ujawnienie haseł do czekolady, w porównaniu z ogromnymi 64% w zeszłym roku. Co ciekawe, (choć nie jest zaskakujące, biorąc pod uwagę, że moja żona i wszyscy jej przyjaciele wydają się uzależnieni od rzeczy) kobiety były czterokrotnie bardziej narażone na tę konkretną formę przekupstwa niż mężczyźni.