Visão de Segurança da Informação e Soluções de TI


Diferentes tipos de informações exigem diferentes níveis de proteção. Os dados pessoais, segredos comerciais, governo informações classificadas, registros médicos e informações financeiras são mais sensíveis aos blogs e resultados de pesquisa Web em geral.

É por isso que existem leis que estabelecem normas mínimas relativas à protecção de dados pessoais e dados financeiros de registros menos importantes.




Os registros médicos são protegidas por causa de potenciais revelações causariam constrangimento, e por tornar pública essa informação pode levar as pessoas a evitar o tratamento de problemas como doenças mentais, doenças sexualmente transmissíveis e os acidentes que ocorreram em circunstâncias incomuns.

Os governos precisam proteger informações sensíveis para proteger seus soldados e manter uma vantagem sobre seus concorrentes. Os governos impõem severas penalidades para o compartilhamento de informações que devem ser mantidos em segredo e punir o roubo de propriedade intelectual para melhorar o sucesso económico (e as receitas fiscais) de empresas sob a sua jurisdição.

Os segredos comerciais são mantidos em segredo para que as empresas podem manter a sua vantagem no mercado. Informações sobre os preços, ofertas e listas de clientes são mantidos em segredo para que os competidores não podem usar essa informação contra a empresa. O roubo de código de software e design de produtos são as formas mais baratos para outras empresas ou países, para evitar o tempo e custo de fazer o trabalho por si próprios.

O que é informação pessoal identificável?

O que é o PII, também chamado de dados pessoais? As informações pessoais incluem qualquer número de segurança social, número da carteira de motorista ou o número da conta financeira, em combinação com o seu nome e endereço.

As informações pessoais ou PII devem ser protegidos para evitar o roubo de identidade e roubo de roubo de identidade financeira permite. Pessoalmente identificáveis ​​de proteção de informações é exigido por lei para vários conjuntos diferentes de leis.

NIST Guia para a protecção das informações pessoais identificáveis

  • NIST e do Departamento de Defesa Comercial Ajuda PII
    Instituto Nacional de Padrões e Tecnologia e do Departamento de Comércio, "Ajude a proteger a confidencialidade das informações pessoais"

tipos de violações de Segurança da Informação

Não são geralmente considerados três níveis de violações de segurança. O primeiro nível é uma acidental quebra de segurança em que não houve perda de informações é muito limitada. É quase acidentes ou quase derrames. O segundo nível é uma perda involuntária de informações confidenciais. Estes perda involuntária de informações são chamados de vazamentos de dados.

O tipo mais grave de violação da segurança da informação é uma violação deliberada de segurança da informação ou derramamentos acidentais repetidas. A violação deliberada é considerado um "vazamento de dados". A perda em caso de ameaça maior de perda acidental porque alguém escolheu para quebrar as regras.

Várias perdas involuntárias indicar alguém que não tem conhecimento do que você deve ser tratado com o máximo de cuidado, ou um conjunto de procedimentos quebrados. Imagine uma pessoa que carrega em uma bandeja de porcelana. Se o servidor não se importa de ficar em equilíbrio e cai muitos itens ou o piso está sempre molhado, levando a quedas repetidas e pratos quebrados, há um problema maior ou maior que deve ser abordada por um único, o erro não intencional.

Segurança da Informação

Quebras de segurança da informação são limitados por controles de acesso, as inspecções periódicas e supervisão das atividades dos usuários. Quebras de segurança da informação são muitas vezes ligados a políticas de segurança da informação. Políticas de segurança da informação, os usuários dizem que é permitido e as ações que não são permitidos. Essas políticas estão relacionadas com as políticas de recursos humanos que dão as políticas dos dentes de segurança da informação.

Muitos vazamentos de segurança da informação ou violações inadvertidas de políticas de segurança de TI são erros. Os novos funcionários não tinham conhecimento das políticas da empresa. Alguém se esqueceu de que é contra as regras para dar Social Security Number com alguém no telefone para mais ninguém. Um engenheiro teve uma momentânea e por e-mail um arquivo em um projeto limitado a pessoas não autorizadas no projeto. Um comprador enviou os projetos de negócios de propriedade do fornecedor à oferta com o pacote de dados técnicos para um fornecedor de componentes teria que citar.

É por isso que as empresas devem tentar construir no controle dos limites de acesso e controles externos; minimizar possíveis erros as pessoas podem fazer reduzir os possíveis danos que podem ocorrer quando as pessoas cometem erros. Estas regras são aplicadas ao monitoramento dos sistemas e políticas que causam os outros queiram segui-los de RH, apesar do inconveniente.

Por exemplo, uma política de segurança da informação que diz que você não deve dar suas informações de login ou deixar que os outros fazer o login como você poderia ser imposta punir aqueles que compartilham de contas, bem como aqueles que utilizam as contas de outras pessoas para ver A informação não deve. Alguém que compartilha arquivos pessoais para o bem de fofocas podem ser identificados por registros de inspeção revistas para as políticas de segurança de TI, mas eles são disparados por suas ações por causa de políticas de recursos humanos. Políticas de segurança da informação proibir a instalação do software na rede sem a permissão explícita do departamento de TI. Pessoal de segurança de TI para monitorar a instalação do software ou o software está em uma revisão das aplicações de software na máquina quando é servido por pessoal de help desk. O trabalhador é repreendido em conformidade com as políticas de recursos humanos.

Arquivo que irá gravar as violações que ocorrem e por que eles cometeram. TI pode procurar padrões, tais como grupos de trabalho com as maiores taxas de vazamento de informações ou indivíduos que parecem acidentais escapado controles de TI. E 'política de pessoal que leva ao lançamento daqueles que deliberadamente vazar informações via proprietários de arquivos de e-mail de jornalistas ou de um concorrente. Uma solução que poderia resultar em bloqueio do acesso a sites externos e-mail, enquanto as políticas de segurança afirmam que é uma ofensa grave ao e-mail arquivos de trabalho para uma conta de e-mail pessoal, se a intenção é trabalhar em casa ou enviar os arquivos para uma sociedade de pessoas que querem trabalhar para mais tarde.

Limites de controle de acesso também ajudar as empresas a manter o controle de sua mensagem. Restringir o acesso ao site da empresa garante que webmasters aprovado alter e torná-lo mais difícil para hackers para deface ocasional-lo. Restringir o acesso ao portal online da empresa e exige que a informação seja analisado e aprovado antes de publicar informações incorretas impede que ela seja publicada, se ele estiver em blogs ou comunicados de imprensa da empresa digital.

Por exemplo, relações públicas estagiário pode começar a escrever um projecto de tweets, mas a conta deve ter controles de acesso para que o estagiário não acidentalmente enviar uma mensagem que é contrário à imagem desejada da empresa. Com controles de acesso adequadas em vigor, nem que um adolescente para "trazer seus filhos para trabalhar dia" para ser capaz de acessar o sistema com facilidade e navegar na avaliação do pai ou registros de pacientes performance.

Em suma, bem concebidas e de controle de acesso limites manutenção adequada impede que muitos vazamentos de dados (acesso inadvertido com o que você não deve ver), mas não vai parar a perda de dados como muitos (tentativas deliberadas de acesso à informação contra as regras) .

A relação entre os diferentes tipos de Segurança da Informação

Aplicação de segurança para a segurança de aplicações de software. Você tem uma conta de usuário único para cada pessoa para controlar o acesso para cada pessoa e monitorar suas atividades? Seis para limitar a exibição de direitos de informação apenas o que as pessoas precisam saber?

A segurança física é importante para a segurança da informação. Alguém com acesso a uma área restrita pode exibir os dados classificados simplesmente ler a tela, enquanto em pé atrás de alguém com acesso aos dados. Ou um ladrão poderia copiar os dados em um disco rígido no registro de alguém ligado à máquina ou simplesmente roubar todo o computador. Monitoramento e controle de acesso a áreas restritas ajuda a garantir a segurança das informações contidas nestas áreas.

Segurança pessoal está relacionado à segurança da informação. Seis cancelar contas quando as pessoas deixam a empresa? Você tira usuários projetos de acesso limitado quando não funcionam mais sobre estes projectos? Seis para restringir o acesso administrativo para aqueles que têm cargos administrativos? Você está a efectuar os controlos dos contratantes, antes de permitir que eles na estrutura para garantir que eles não são cidadãos ou estrangeiros que trabalham para seus concorrentes e, portanto, têm um motivo para roubar suas informações?

A segurança da informação pode estar relacionada com a protecção de informações ou restringir o acesso a ele. Por exemplo, o acesso a informações pessoais ou PII deve estar disponível para aqueles que precisam apenas para fazer o seu trabalho, como o pessoal de recursos humanos que executar verificações de antecedentes com base em números de segurança social ou pessoal folha de pagamento usando CPFs em salários de preparação e atualização de registros fiscais.

Controles de controle de acesso ou limites de acesso também afetam a capacidade de visualizar, acessar e modificar as informações. Montadores na oficina precisa ser capaz de ver os documentos, mas não deve ter o direito de modificá-los. Engenheiros devem ser capazes de ver e rever os desenhos, mas a capacidade de mudar os projetos podem ser limitados com o gerente de configuração ou editores aprovado.

O gerente pode precisar a capacidade de visualizar os níveis de acesso de outros funcionários, mas eles não devem ser capazes de ver as listas de acesso para projetos que não funcionam. A capacidade de adicionar novos usuários e gerenciar permissões de usuário deve ser restrito a administradores de sistemas e administradores de bancos de dados, embora a capacidade de adicionar novos usuários visualizar apenas as permissões podem ser concedidas para o gerente de projeto.

Limita limites colocar o controle de acesso sobre o que os usuários podem fazer, como a exibição de determinados tipos de informações, modificação de arquivos, apagar arquivos ou criar novos objetos. Um controle de acesso aos grupos de TI comum usar é a divisão de contas administrativas e de conta de usuário em geral, mesmo para administradores de sistema. O administrador do sistema pode consultar os documentos gerais como um usuário, mas deve, então, faça logon como um administrador para apagar o arquivo; Isso limita os erros que poderiam ser feitas por um administrador, como excluir o arquivo errado ou edição de um objeto ainda controlado por um usuário.

ISO/IEC 27001

  • ISO 27001
    Gestão de Segurança da Informação ISO Técnicas e Requisitos - ISO/IEC 27001
às necessidades do usuário

Balancing Segurança da Informação

Sistemas de informação, tais como bancos de dados deve ser acessível aos utilizadores em caso de necessidade. Adicionando limites de controle de acesso tão apertado que os usuários quase nunca pode obter as informações que eles precisam é um problema em si. Há um equilíbrio delicado entre impedindo o acesso a potenciais hackers e garantir pronto atendimento para legitimar a demanda de usuários. Os sistemas de informação, tais como bancos de dados deve ter alta confiabilidade; deve ser quase sempre operacional e disponível. Scans constante do sistema de possíveis intrusos diminui o desempenho do sistema para usuários legítimos.

Bases de dados e sistemas de computador devem ser seguros; somente os usuários autorizados devem ser capazes de ver a informação, enquanto que aqueles que não têm a permissão não têm acesso a informações restritas. Complexas camadas de limites de controle de acesso pode tornar impossível para que os usuários acessem informações sem vários conjuntos de permissões que são um incômodo para os administradores de sistema para gerenciar.

Sistemas de informação deve ter alta integridade; a informação não pode ser facilmente modificado por pessoas não autorizadas, quer hackers ou usuários em geral que pretendiam apenas para procurar um item, não mudá-lo. No entanto, a adição de limites estritos sobre quem pode acessar as informações e quando ele pode causar a frustração do usuário quando eles precisam para corrigir erros na base de dados, se os nomes com erros ortográficos e números de série parte errada.

ISO/IEC 27002

  • ISO 27002 Padrão
    27002 ISO/IEC - ISO práticas recomendadas para a Segurança da Informação

seguido comumente Normas de Segurança da Informação

ISO 27001 e ISO 27002 são duas das normas mais importantes de segurança da informação por parte da Organização Internacional de Normalização. ISO 27001 fornece os requisitos básicos para a segurança da informação. ISO 27002 fornece as práticas recomendadas de ISO para atender os requisitos da ISO 27001.

ISO 27003 fornece recomendações sobre como implementar um sistema de gestão da segurança da informação, conforme descrito na norma ISO 27001. ISO 27004 define segurança métricas informações reconhecidas pela ISO.

ISO 27005 descreve o processo de gestão de riscos de segurança da informação, o processo de identificação de ameaças à segurança da informação e tecnologia da informação, o que determina a probabilidade eo custo de cada risco.

Esses padrões são chamados de padrão ISO 27000. Eles vêm de ISO 17799, muito do que foi incorporado ISO 27002.

(0)
(0)

Comentários - 0

Sem comentários

Adicionar um comentário

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caracteres restantes: 3000
captcha