Edições humanas a respeito da segurança do computador


  Share  
|

Executar controles da segurança do computador é complexo, e em uma organização grande os controles processuais tornam-se frequentemente vagos ou incómodos. Não obstante a força dos controles técnicos, se as considerações não técnicas afetarem seus execução e uso, o efeito na segurança pode ser severo. Além disso, se configurarado ou usado incorretamente, mesmo o mais melhor controle da segurança for inútil em mais melhor e em perigoso em mais mau. Assim, os desenhadores, os implementers, e os mantedores de controles da segurança são essenciais à operação correta daqueles controles.

Problemas Organizational

A segurança não fornece nenhuma recompensa financeira direta ao usuário. Limita perdas, mas requer também a despesa dos recursos que poderiam ser usados em outra parte. A menos que as perdas ocorrerem, as organizações acreditam frequentemente que estão desperdiçando o esforço relacionado à segurança. Após uma perda, o valor destes controles torna-se de repente apreciado. Além disso, os controles da segurança adicionam frequentemente a complexidade às operações de outra maneira simples. Para o exemplo, se conclir um comércio conservado em estoque fizer exame de dois minutos sem controles da segurança e de três minutos com controles da segurança, adicionar aqueles controles resulta em uma perda de 50% da produtividade.

As perdas ocorrem quando as proteções da segurança estão no lugar, mas tais perdas esperam-se ser menos do que seriam sem os mecanismos da segurança. A pergunta chave é se tal perda, combinada com a perda resultante na produtividade, seria mais grande do que uma perda financeira ou a perda da confiança um do nonsecured transações sofre uma ruptura da segurança.

Combinar este problema é a pergunta de quem é responsável para a segurança dos computadores da companhia. O poder executar controles apropriados deve residir com os aqueles que são responsáveis; a conseqüência de não fazer assim é que os povos que podem o mais claramente ver a necessidade para medidas de segurança, e que são responsáveis para as executar, serão incapazes de fazer assim. Esta é prática de negócio simplesmente sadia; a responsabilidade sem poder causa problemas em toda a organização, apenas como power sem responsabilidade.

Uma vez que as correntes desobstruídas da responsabilidade e do poder foram estabelecidas, a necessidade para a segurança pode competir em um fundamento igual com outras necessidades da organização. O problema que o mais comum as caras de um gerente da segurança são a falta dos povos treinou na área de segurança do computador. Um outro problema comum é que os povos knowledgeable estão sobrecarregados com o trabalho. Em muitas organizações, da "o administrador segurança" é envolvido também na administração do sistema, no desenvolvimento, ou em alguma outra função secundária. No fato, o aspecto da segurança do trabalho é frequentemente secundário. O problema é que as indicações de problemas da segurança frequentemente não são óbvias e não requerem a hora e a habilidade de se manchar. A preparação para um ataque faz tratando da ela mais menos chaotic, mas tal preparação faz exame de bastante hora e requer bastante atenção de modo que tratando a enquanto um aspecto secundário de um trabalho significa que não estará executado bem, com as conseqüências previstas.

A falta dos recursos é um outro problema comum. Fixar um sistema requer recursos as.well.as povos. Requer a hora de projetar uma configuração que forneça um nível adequado da segurança, ao instrumento a configuração, e administre o sistema. Requer o dinheiro comprar os produtos que são needed construir um sistema adequado da segurança ou pagar alguma outra pessoa para projetar e executar medidas de segurança. Requer recursos do computador executar e executar os mecanismos e os procedimentos da segurança. Requer o treinamento assegurar-se de que os empregados compreendam como usar as ferramentas da segurança, como interpretar os resultados, e como executar os aspectos não técnicos da política da segurança.

Problemas Dos Povos

O coração de todo o sistema da segurança é pessoa. Isto é particularmente verdadeiro na segurança do computador, que trata principalmente dos controles technological que podem geralmente ser contorneados pela intervenção humana. Para o exemplo, um sistema computatorizado authenticates um usuário perguntando que usuário para um código secreto; se o código secreto correto for fornecido, o computador supõe que o usuário está autorizado usar o sistema. Se um usuário autorizado disser a uma outra pessoa seu código secreto, o masquerade desautorizado da lata do usuário como o usuário autorizado com significativamente menos probabilidade da deteção.

Povos que têm algum motriz para atacar uma organização e não são autorizados para se usar que os sistemas da organização estão chamados outsiders e podem pose uma ameaça séria. Os peritos concordam, entretanto, que uma ameaça distante mais perigosa vem dos empregados disgruntled e dos outros insiders que são autorizados usar os computadores. Os insiders sabem tipicamente a organização dos sistemas da companhia e que procedimentos os operadores e os usuários seguem e sabem frequentemente bastante senhas para contornear muitos controles da segurança que detectariam um ataque lançado por um outsider. O emprego errado do insider de privilégios autorizados é um problema muito difícil a resolver.

O pessoal untrained pose também uma ameaça à segurança do sistema. Como um exemplo, um operador não realizou que os índices de fitas adesivas backup necessitaram ser verificados antes que as fitas adesivas estiveram armazenadas. Quando os atacantes suprimiram diversas limas de sistema críticas, descobriu que nenhumas das fitas adesivas backup poderiam ser lidas.

Os administradores de sistema que misread a saída de mecanismos da segurança, ou não analisam essa saída, contribuem à probabilidade de ataques bem sucedidos de encontro a seus sistemas. Similarmente, administradores que as características segurança-relacionadas do misconfigure de um sistema podem enfraquecer a segurança do local. Os usuários podem também enfraquecer a segurança do local empregando mal mecanismos da segurança (tais como selecionar as senhas que são fáceis de supo).

Falta da necessidade de treinamento para estar na arena técnica. Muitos arrombamentos bem sucedidos levantaram-se da arte da engenharia social. Se os operadores mudarem as senhas baseadas nos pedidos do telefone, todos os um atacante necessita fazer deve determinar o nome de alguém que usa o computador. Uma tática comum deve escolher alguém razoavelmente distante acima do operador (tal como um vice-presidente da companhia) e fingir uma emergência (tal como a chamada na noite e dizer que um relatório ao presidente da companhia é devido a manhã seguinte) de modo que o operador seja relutante recusar o pedido. Uma vez que a senha foi mudada a uma que o atacante sabe, pode simplesmente logon como um usuário normal. Os ataques sociais da engenharia são notàvelmente bem sucedidos e frequentemente devastating.

O problema do misconfiguration aggravated pela complexidade de muitas limas segurança-relacionadas da configuração. Por exemplo, um erro tipográfico pode incapacitar as características chaves da proteção. Mais mau uniforme, software não trabalha sempre como anunciado.

Um sistema extensamente usado teve um vulnerability que se levantasse quando um administrador fêz uma lista demasiado longa esses sistemas nomeados com acesso a determinadas limas. Porque a lista era demasiado longa, o sistema supos simplesmente que o administrador significou permitir que aquelas limas estejam alcançadas sem limitação em quem poderia alcançar themexactly o oposto de o que foi pretendido.

este é um artigo adicionado por Meden Reece


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions