Perché la sicurezza coprirebbe cose come disastri naturali?

Tutte le altre risposte vanno bene. Ti offrirò una classica prospettiva di sicurezza.

• L'avvio di un incendio / alluvione è uno scenario da manuale per la penetrazione / esfiltrazione fisica. Le persone stressate hanno meno probabilità di sfidare gli estranei.

• Un fuoco può essere usato per distruggere prove forensi, in particolare quando c'è un coinvolgimento degli insider.

• Un terremoto o, in effetti, qualsiasi disastro naturale (come gli incendi boschivi) è una potenziale complicazione per la sicurezza, perché la legge e l'ordine si rompono e il saccheggio fa la sua brutta testa.

• La sicurezza perimetrale contro SVBIEDs è una considerazione necessaria in alcuni paesi e ambienti di minacce. Se un kamikaze suicida può guidare vicino alle mura del tuo centro dati, è un tuo fallimento come consulente per la sicurezza. Quindi bitte, aiuole e barriere di cemento.

• La sicurezza è una disciplina olistica. Ogni specialista si preoccupa dei frammenti dell'impresa e, per necessità, perde la vista del tutto. Dovrebbe esserci almeno una persona là fuori che pensa in termini di comportamento dell'avversario e non della sua propria colombaia. Che, per inciso, è la descrizione del lavoro di un consulente di sicurezza.

Si tratta della classica triade di sicurezza; Integrità, riservatezza e disponibilità. L'ultimo dei quali potrebbe certamente soffrire di qualsiasi tipo di disastro naturale, motivo per cui è necessario includerlo nel piano di continuità.

CISSP è una certificazione sicurezza delle informazioni non una sicurezza informatica .

La sicurezza delle informazioni riguarda la protezione della riservatezza, dell'integrità e della disponibilità delle informazioni in generale . Le informazioni non sono solo memorizzate sui computer. Vengono stampati e archiviati negli schedari, vengono memorizzati e memorizzati nel cervello dei dipendenti. Pertanto, oltre a garantire la sicurezza delle reti di computer, è necessario garantire la sicurezza fisica dei locali. Se quei documenti confidenziali vengono rubati o distrutti in caso di calamità, è anche una perdita di disponibilità. Se i tuoi dipendenti vendono le informazioni a un concorrente, allora è considerato una perdita di riservatezza. Ecco perché le politiche e le misure di sicurezza fisica sono importanti.

Anche se si prende una visione ristretta della sicurezza del computer come limitata ad affrontare attacchi intenzionali malevoli, qualsiasi modo in cui il proprio sistema è vulnerabile a un disastro naturale rappresenta anche un modo in cui un attaccante ben equipaggiato (o intelligente) potrebbe interrompere il tuo servizio. Ad esempio, se un data center è vulnerabile alle inondazioni, qualcuno che vuole portarlo offline potrebbe tagliare un tubo di irrigazione nell'edificio. Quindi ha senso proteggere dagli scenari di calamità naturali come parte di un piano di sicurezza generale.

I disastri sono un problema di sicurezza tanto quanto mitigare gli attacchi denial of service. Nei documenti ISC2 (CISSP), la sicurezza è spesso rappresentata dalla triade della CIA: Riservatezza, integrità e disponibilità. Le strategie di disaster recovery e la mitigazione del DDOS riguardano sia la creazione che il mantenimento della disponibilità.

Lancio il mio 2c e menziono qualcosa che altri non hanno menzionato in modo specifico: Piani di continuità aziendale

BCP è una funzione importante del lavoro di un analista della sicurezza e, in quanto tale, il CISSP fornisce un'ampia panoramica dei problemi che possono avere un impatto su disastri e interruzioni. Conoscere questi dettagli di alto livello aiuta il CISSP a costruire una base per la conoscenza e le menti necessarie per fare BCP.

Si noti che ciò che è coperto nel materiale CISSP è una panoramica ampia e di alto livello degli argomenti. C'è molto, molto di più che un professionista della sicurezza deve sapere e considerare per creare e gestire correttamente un programma BCP.

Se guardiamo in un dizionario uno dei significati secondari di "sicurezza" è:

the ​fact that something is not ​likely to ​fail or be ​lost

Mentre pensiamo spesso alla sicurezza delle informazioni come guardie, pistole e hacker negli occhiali scuri, ciò che realmente si tratta è la protezione delle informazioni dalle minacce. Queste minacce potrebbero essere:

• Attentatori esterni - hacker
• Insiders dannosi
• Disastri naturali
• Problemi tecnici - perdite, interruzioni di corrente
• Errori onesti - come perdere un CD pieno di dati
• Molto di più!

Il motivo per cui CISSP copre tutto questo è che un'organizzazione ha bisogno di qualcuno che si occupi di questi problemi. Si scopre che il tipo di cose che fai per difendersi dalle minacce sono abbastanza simili, quindi ha senso che un dipartimento si occupi di loro.

Ho intenzione di girarlo:

La pianificazione delle emergenze non fa parte della sicurezza, perché la sicurezza fa parte della pianificazione di un disastro.

Disaster Planning, che è costituito da Disaster Prevention e Disaster Recovery, copre una gamma di argomenti (ad es. ridondanza, backup) inclusa la sicurezza.

La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni. Senza essere in grado di proteggere le informazioni e renderle disponibili a chi ne ha bisogno, anche in caso di calamità naturali potrebbe significare la fine di un'azienda.

Ho aiutato a sviluppare Business Continuity Plans in cui uno dei requisiti fondamentali era che alcune informazioni dovevano essere (per legge) disponibili 24 ore al giorno, 7 giorni alla settimana, 365 giorni all'anno. Non è stato consentito di fermarsi, anche in caso di calamità naturali come un terribile terremoto.

Non esisteva una soluzione semplice: l'analisi dell'impatto aziendale doveva essere condotta. Le informazioni non vengono solo memorizzate sui computer. Spesso è sparpagliato e non si trova solo in una posizione centralizzata. Identificare le informazioni critiche necessarie per mantenere il funzionamento aziendale è molto difficile. Una volta che l'identificazione dei sistemi e dei componenti critici è stata completata e revisionata. Vi è un'ulteriore valutazione del rischio che deve essere effettuata.

Durante i grandi disastri naturali, come terremoti o grandi tornado, c'è un'alta probabilità che i locali fisici siano fuori servizio per qualche tempo. C'erano anche esempi in cui non era rimasto nessun edificio o la squadra aveva un accesso limitato (da 15 a 20 minuti) per raccogliere ciò che era necessario prima che nessuno potesse mai rientrare nell'edificio. Inoltre, è possibile pianificare alcuni ritardi, perché è stato necessario determinare che gli edifici fossero abbastanza solidi da consentire a chiunque di accedervi.

Se si tratta di un grande disastro, dove vai o come viene realizzata la continuità delle operazioni. Anche i dipendenti locali saranno sicuramente colpiti dal disastro. Potrebbero essere settimane prima che siano in grado di tornare al lavoro. Nel caso di un BCP su cui lavoravo, i dipendenti dovevano anche essere completamente distrutti o avevano solo pochi minuti per entrare nelle loro case e raccogliere oggetti. Molti mi hanno detto che hanno preso vestiti e spazzolini da denti, documenti di identificazione e hanno dovuto lasciare altri oggetti personali dietro.

Quindi parte della strategia tecnica può sviluppare una moltitudine di opzioni a seconda della valutazione del rischio. Ci possono essere piani per siti freddi, siti caldi e siti caldi a seconda del budget. Strategie per proteggere server e hardware critici identificati con RAID, clustering e bilanciamento del carico, concentrandosi sulla tolleranza d'errore. Naturalmente, è garantita la protezione dei dati tramite backup e piani per il ripristino di dati critici e la disponibilità a essere utilizzati da siti freddi, siti caldi e siti caldi, garantendo la protezione dei documenti riservati e la disponibilità per coloro che richiedono le informazioni a sempre.

Una volta sul posto, tutte queste strategie, i piani e le politiche devono essere rivisti, mantenuti e verificati. Richiede molto personale per essere coinvolto e per essere consapevole. L'unica cosa costante è il cambiamento. Nuove soluzioni hardware e software sono in fase di implementazione. I requisiti e le leggi aziendali sono in fase di modifica. Posso certamente capire perché è menzionato. La sicurezza delle informazioni riguarda la protezione dell'integrità, della riservatezza e della disponibilità delle informazioni.