Humanos Cuestiones relativas a Seguridad Informática


  Share  
|

La implementación de controles de seguridad informática es compleja, y en una gran organización controles de procedimiento a menudo se vuelven vagas o engorroso. Independientemente de la fuerza de los controles técnicos, si las consideraciones no técnicas afecta a su aplicación y uso, el efecto sobre la seguridad pueden ser graves. Por otra parte, si está configurado o mal empleados, incluso el mejor control de la seguridad es inútil en el mejor y el peor, peligrosos. Por lo tanto, los diseñadores, los ejecutores, y mantenedores de los controles de seguridad son esenciales para el correcto funcionamiento de los controles.

Los problemas de organización

Security ofrece ninguna recompensa financiera directa al usuario. Limita las pérdidas, pero también requiere el gasto de recursos que podrían utilizarse en otros lugares. A menos que se producen pérdidas, las organizaciones a menudo creen que están perdiendo los esfuerzos relacionados con la seguridad. Después de una pérdida, el valor de estos controles de repente se convierte en apreciado. Además, los controles de seguridad a menudo se añaden complejidad a las operaciones de otra manera sencilla. Por ejemplo, si la celebración de un comercio de valores toma dos minutos sin controles de seguridad y tres minutos con los controles de seguridad, añadiendo los resultados de los controles en una pérdida del 50% de la productividad.

Las pérdidas se producen cuando las protecciones de seguridad estén en su lugar, pero esas pérdidas se espera que sean menos de lo que hubiera sido sin los mecanismos de seguridad. La pregunta clave es si esa pérdida, unida a la pérdida de la productividad, sería mayor que una pérdida financiera o la pérdida de confianza si una de las transacciones no segura sufrir una violación de la seguridad.

Para agravar este problema es la cuestión de quién es responsable de la seguridad de los equipos de la empresa. La facultad de aplicar los controles adecuados deben residir con los que son responsables, la consecuencia de no hacerlo es que la gente que puede ver más claramente la necesidad de medidas de seguridad, y que están encargados de su ejecución, no podrá hacerlo. Esto es simplemente una práctica comercial sólida, la responsabilidad sin poder causa problemas en cualquier organización, tal como lo hace el poder sin responsabilidad.

La falta de recursos es otro problema común. Asegurar un sistema requiere de recursos, así como las personas. Se requiere tiempo para diseñar una configuración que proporcionen un nivel adecuado de seguridad, para aplicar la configuración, y para administrar el sistema. Se requiere dinero para comprar los productos que se necesitan para construir un sistema de seguridad adecuado o para pagar a alguien para diseñar e implementar medidas de seguridad. Se requiere recursos informáticos para implementar y ejecutar los mecanismos y procedimientos de seguridad. Se requiere capacitación para asegurar que los empleados entiendan cómo utilizar las herramientas de seguridad, cómo interpretar los resultados, y cómo implementar los aspectos no técnicos de la política de seguridad.

Problemas de personas

El corazón de cualquier sistema de seguridad es la gente. Esto es particularmente cierto en la seguridad informática, que se ocupa principalmente de los controles tecnológicos que por lo general pueden ser anuladas por la intervención humana. Por ejemplo, un sistema informático para autenticar a un usuario haciendo que el usuario de un código secreto, si el código secreto sea suministrado correctamente, el equipo se supone que el usuario está autorizado a utilizar el sistema. Si un usuario autorizado le dice a otra persona su código secreto, el usuario no autorizado puede pasar por el usuario autorizado con probabilidad significativamente menor de detección.

Las personas que tienen algún motivo para atacar a una organización y no están autorizados a utilizar los sistemas de organización que se llaman de fuera y pueden plantear una amenaza seria. Los expertos coinciden, sin embargo, que una amenaza mucho más peligrosa proviene de empleados descontentos y conocedores de otras que están autorizados a usar las computadoras. Insiders general conocer la organización de los sistemas de la empresa y cuáles son los procedimientos de los operadores y los usuarios seguir y contraseñas a menudo saben lo suficiente como para eludir muchos controles de seguridad que pueda detectar un ataque lanzado por un extraño. uso indebido de los Ejecutivos de los privilegios autorizados es un problema muy difícil de resolver.

Los administradores de sistemas que malinterpretar la salida de los mecanismos de seguridad, o no analizar que la producción, contribuyen a la probabilidad de ataques con éxito contra sus sistemas. Del mismo modo, los administradores que desconfigurar las características relacionadas con la seguridad de un sistema puede debilitar la seguridad del sitio. Los usuarios también pueden debilitar la seguridad del sitio por el mal uso de los mecanismos de seguridad (tales como la selección de las contraseñas que sean fáciles de adivinar).

La falta de formación no tiene que ser en el área técnica. Muchos éxito robos han surgido de la técnica de ingeniería social. Si los operadores va a cambiar las contraseñas sobre la base de consultas telefónicas, todo un atacante tiene que hacer es determinar el nombre de alguien que utiliza la computadora. Una táctica común es elegir a alguien muy muy por encima del creador (por ejemplo, uno de los vicepresidentes de la empresa) y fingir una emergencia (como llamar por la noche y diciendo que un informe al presidente de la compañía se debe a la mañana siguiente) para que el operador no estarán dispuestos a rechazar la solicitud. Una vez que la contraseña se ha cambiado para que el atacante sabe, puede simplemente entrar como un usuario normal. ataques de ingeniería social son un éxito considerable y muchas veces, devastador.

Uno ampliamente utilizado sistema tenía una vulnerabilidad que surge cuando un administrador hace mucho tiempo una lista que da nombre a los sistemas de acceso a ciertos archivos. Dado que la lista era demasiado larga, el sistema simplemente asume que el administrador permite la aplicación de esos archivos para tener acceso sin restricción a la que podían acceder a themexactly lo contrario de lo que se pretendía.

presentado por Meden Reece

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions