Sicurezza per numeri

Sicurezza per numeri

Un paio di mesi fa, in questa colonna ho chiesto se la cattiva sicurezza dovrebbe diventare un crimine in sé e per sé, la mia discussione è che un dovere legale di divulgazione, ora applicato in alcuni stati degli Stati Uniti, poteva indurre i contatori di fagioli a errare sul lato di cautela piuttosto che economico quando paghi per misure di sicurezza: è meglio spendere qualche migliaia ora per evitare una multa con diversi zeri se un buco di sicurezza che sapevi viene sfruttato. In breve, criminalizzare la violazione delle regole di protezione dei dati.

Non sono stato del tutto sorpreso quando questo argomento ha portato più del solito raccolto di noci dalle loro gusci e nella mia cassetta postale (sai chi sei), sebbene la gravità specifica del vetriolo lanciato fosse un po 'più alto del previsto, anche da una comunità meglio descritto come "pazzo come una scatola di rane". Dal bilanciamento di queste rants è arrivata questa posta piuttosto stimolante da Glenn Glidden, manager IT in un college di ulteriore istruzione: “Concordo sul fatto che il danno alla reputazione potrebbe essere una buona leva per cercare di convincere le organizzazioni a modificare le politiche di sicurezza IT, ma non lo farebbe Un modo è che il governo richieda agli organismi pubblici di attuare BS7799?"

Continua: “Per quanto ne so non c'è requisito specifico. Naturalmente, ciò non significa che verrà applicato, quindi il mio supporto per criminalizzare tali violazioni della sicurezza, doppiamente se sai cosa avresti dovuto fare."Glenn stesso sta affrontando il problema usando quella che vede come una soluzione intermedia, il Manuale di sicurezza delle informazioni UCISA (www.ucisa.AC.UK/Publications/ist.aspx) come base per la politica locale. Questo documento si basa su BS7799 e copre circa il 90% dei suoi requisiti, ma non può fornire magicamente il tempo per consentire a Glenn di implementarlo, né può garantire che il suo personale rispettasse: “È qui che la coazione legale e del governo aiuterebbe. Sono l'unico a guidare questo in avanti al momento, da cui il lento progresso."Glenn aggiunge:" Il tempo di implementazione con il manuale sarebbe più veloce se fosse effettivamente presentato come politica completa con liste di controllo di audit, quindi era più vicino a un risultato finale. Inoltre, una guida del personale sul perché la sicurezza fosse importante sarebbe utile, ma sembra mancante."

Il che mi spinge a chiederti, il lettore, stai implementando BS7799/ISO27001 e, in tal caso, come vai avanti e quali risorse hai trovato più utili? Quali insidie ​​hai incontrato? A seconda delle tue risposte, potrei dedicare un'intera colonna a questo.

Nella roba marrone

Lo spettacolo annuale di Infosecurity Europe è ora molto alle spalle, ma la sua eredità di comunicati stampa, sondaggi e rapporti di ricerca indugia come un cattivo odore. Se qualcosa viene calcolato per aumentare la mia pressione sanguigna a livello di pericolo, è il sondaggio annuale che gli organizzatori di questo show conducono durante la corsa, senza dubbio per pubblicizzare l'evento e la consapevolezza della sicurezza in generale e che sembra sempre coinvolgere il cioccolato. Non è il sondaggio stesso che mi finisca, ma il modo in cui rende evidente l'incapacità del grande pubblico britannico di ottenere la testa atto.

Ecco perché sono stato piacevolmente sorpreso dai risultati dell'ultimo sondaggio, che si è svolto al di fuori di una trafficata stazione ferroviaria di Londra e ha coinvolto un gruppo di belle donne che ponevano domande inappropriate sui problemi di sicurezza IT personali in cambio di una barretta di cioccolato. La buona notizia è che le cose sono effettivamente migliori, o almeno così sembrerebbe, dal momento che solo il 21% di quelli che è stato pronto a rivelare le loro password per il cioccolato quest'anno, rispetto a un enorme 64% dell'anno scorso. È interessante notare che (anche se non sorprendentemente sorprendente, dato che mia moglie e tutte le sue amiche sembrano dipendenti dalle cose) le donne avevano quattro volte più probabilità di soccombere a questa particolare forma di corruzione rispetto agli uomini.