Quali sono gli scopi di queste politiche di sicurezza?

37

Lavoro in un laboratorio IBM e ci sono alcune politiche di sicurezza che non capisco. Quando chiedo perché li facciamo, il mio capo dice semplicemente che è politica ed evita di rispondere alla domanda.

  1. Dobbiamo mantenere i cassetti vuoti bloccati
  2. Quando lasciamo il lavoro, dobbiamo bloccare i supporti scrivibili
  3. Dobbiamo bloccare tutte le note e cancellare le lavagne bianche. Non capisco questo perché qualcuno durante il giorno potrebbe altrettanto facilmente camminare e vedere qualcosa che non dovrebbero.
  4. Nelle riunioni se vogliamo prendere appunti, i taccuini devono essere neri e avere copertine rigide.
  5. Le informazioni sulla salute sono confidenziali all'estremo, per esempio anche se il capo di una persona è malato, non può dare loro alcun ETA al suo ritorno e non può neppure rispondere "sta migliorando?"

Mi sentirei davvero meglio dato qualche motivo, anche se non sono necessariamente d'accordo con loro. Ogni possibile spiegazione è apprezzata.

    
posta hushhush 24.06.2013 - 03:38
fonte

6 risposte

41

Ecco le mie opinioni su questo:

  1. Qualcuno potrebbe nascondere qualcosa - una flashdrive con contenuti malevoli, ad esempio - in un cassetto sbloccato. Un dipendente potrebbe trovare quella torcia e collegarla al suo computer, mettendo il computer a rischio di compromissione. Inoltre, è più semplice modificare i blocchi dei cassetti sbloccati piuttosto che modificare i blocchi dei cassetti chiusi. Modificando un blocco, un utente malintenzionato potrebbe rendere più facile per sé avere accesso al cassetto in futuro.

  2. Se il supporto è vuoto, qualcuno potrebbe inserire contenuti dannosi su di esso. Se il filesystem del media è "vuoto" ma il supporto è stato usato in passato, qualcuno potrebbe essere in grado di recuperare frammenti di vecchi dati da esso.

  3. Non sarebbe difficile per un custode (o qualcuno che si atteggia a un bidello) durante il turno di notte fare fotografie di una lavagna bianca, potenzialmente rubando segreti. Durante il giorno, è più probabile che la lavagna bianca sia circondata da persone fidate, rendendo più difficile fotografarle di nascosto o persino ottenerne uno decente.

  4. I notebook neri sono meno evidenti dei notebook bianchi. I taccuini con copertina rigida hanno meno probabilità di perdere le copertine dei taccuini con copertina morbida. Le coperture sono importanti per la sicurezza dei notebook. Rendono un po 'più difficile ottenere rapidamente e segretamente informazioni da un notebook. Inoltre, impediscono ai notebook di aprirsi quando vengono rilasciati. Le coperture rigide sono migliori per prevenire l'agitazione delle coperture morbide. Inoltre, i taccuini con coperture morbide potrebbero essere più facilmente fuori posto rispetto ai notebook con copertine rigide.

  5. Alcuni tipi di informazioni sulla salute sono estremamente utili per gli ingegneri sociali. È normale che ingegneri sociali malintenzionati progettino i vettori di attacco attorno ai dipendenti in congedo. Ad esempio, se un determinato dipendente è in congedo per malattia, un ingegnere sociale potrebbe fingere di essere un amico del dipendente e accedere all'ufficio del dipendente dicendo a qualcuno che deve portare un amico dall'ufficio.

risposta data 24.06.2013 - 03:56
fonte
12

Si tratta di fughe di informazioni inverosimili, ma non ovvi:

1. We must keep empty drawers locked

Se qualcuno sa che c'è una riunione regolare che discute del progetto segreto X ogni martedì e venerdì; e ho notato che i cassetti sono sempre vuoti e sbloccati il martedì e il venerdì, ma bloccati altrimenti, quindi è un'indicazione abbastanza chiara che il contenuto di quel cassetto è un segreto relativo al progetto X.

2. When we leave work we must lock up writeable media

Oltre alle preoccupazioni su qualcuno che scambia o inserisce dati dannosi sul supporto, il blocco di tutti i supporti scrivibili garantisce che nessuno possa distinguere un supporto scrivibile che contiene segreti e quelli che contengono dati regolari.

4. At meetings if we want to take notes, the notebooks have to be black and have hard covers.

Anche la stessa ragione per i supporti scrivibili, se qualcuno ha notato che usi un taccuino Hello Kitty per prendere appunti nelle riunioni per il progetto segreto X e il taccuino Superman per altri progetti; la gente potrebbe riconoscere immediatamente il taccuino Hello Kitty se te ne sei dimenticato e lascialo in giro. Inoltre, se porti o meno il tuo taccuino Hello Kitty quando vai nei luoghi potresti dare indicazioni su quale sia il progetto X. Un quaderno uniforme è meno evidente.

Inoltre, se hai molte regole prive di senso nella tua politica di sicurezza, ti aiuterebbero a coprire l'insolita " nessuna partenza" la politica "oggetto sferico" sulla scrivania "che potrebbe aver fatto trapelare l'informazione che quella palla da massaggio verde che vedi guidare la squadra in giro per l'ufficio era in realtà un nucleo per un reattore nucleare.

C'è anche la possibilità che sia una situazione con cinque scimmie, una scala, una banana e uno spruzzo d'acqua .

    
risposta data 24.06.2013 - 10:28
fonte
3

Gli articoli 1-4 nella tua domanda sono parti di ciò che viene comunemente definito "politica della scrivania pulita". Quindi cercherò di fornire una risposta sul perché una politica di pulizia della scrivania sia utilizzata in generale. Ci sono in realtà molte ragioni:

  • Se i clienti visitano lo spazio di lavoro (che so succede in IBM), si desidera creare un'immagine positiva. I clienti non vorrebbero vedere i documenti che descrivono le loro esigenze o soluzioni specifiche che si possono trovare da chiunque.
  • Il rischio di un incidente di sicurezza in cui i documenti confidenziali vengono rubati viene notevolmente ridotto. Se lasci i tuoi documenti all'aperto, possono sparire, da una donna delle pulizie o da qualcuno con intenzioni malevole. Ora credimi non vuoi essere la persona che spiega al tuo cliente cosa è successo al loro < inserisci progetto segreto >.
  • Ti costringe a mantenere le cose in ordine, questo significa che sarai più organizzato, essere organizzato significa che sarai in grado di lavorare molto più efficientemente
  • Incoraggia anche a ridurre la quantità di carta utilizzata all'interno della tua azienda. Che, di nuovo, riduce il rischio di frode dei documenti, semplicemente perché non sono presenti.
  • I Flex Desk sono il futuro, se vengo nel tuo ufficio e ho bisogno di una scrivania piena di documenti, non potrò lavorare lì. Quindi una politica di scrivania pulita impone di portare via tutti i tuoi oggetti dalla tua scrivania in modo che ogni dipendente possa sedersi lì.

Per quanto riguarda la divulgazione di informazioni sulla salute (ad esempio: ragioni o durata dell'assenza per malattia): è una necessità per il rispetto di alcune leggi sulla privacy in alcuni paesi. Le informazioni personali sono considerate altamente riservate, specialmente quando tali informazioni riguardano l'assistenza sanitaria. Se non si rispettano le regole stabilite da questo paese e si gestiscono i dati in modo errato, si può essere ritenuti legalmente responsabili.

Nel tuo caso, posso darti i seguenti motivi:

  1. I cassetti bloccati non possono essere accessibili da personale non autorizzato, il che significa che i documenti riservati sono fisicamente sicuri. Se è il tuo cassetto, devi comunque bloccarlo, qualcuno potrebbe prendere il tuo armadietto o qualcuno potrebbe concludere: "Ehi il suo armadietto non è mai chiuso, tranne ora, ci deve essere qualcosa di confidenziale lì dentro!"
  2. Lo stesso vale per i supporti scrivibili / leggibili, non vuoi che i documenti vengano modificati, infetti o trapelati.
  3. Mentre le lavagne bianche possono essere viste, non possono essere fotografate facilmente senza che qualcuno se ne accorga. Si noti inoltre che esiste sempre un compromesso tra sicurezza e usabilità.
  4. Facilmente identificabile e non puoi farcela. Non vuoi iniziare a scrivere il testo e quindi notare che è stato premuto su un tavolo o un foglio che era già sul tavolo.
  5. Questo è considerato molto privato in alcuni paesi, quindi dovrebbe essere trattato come tale. Se il capo vuole condividere quando tornerà disponibile, potrà comunicarlo se vuole, se non vuole farlo, allora non è un problema tuo.

Ora un altro problema è che IBM è un'azienda globale, nel senso che molti paesi hanno normative diverse. Per avere una politica di conformità gestibile in tutto il mondo, probabilmente hanno deciso "taglia unica" e ciò significherebbe avere una politica conforme alle più severe regole in tutto il mondo e che deve essere seguita da ogni ufficio nel mondo.

    
risposta data 24.06.2013 - 21:22
fonte
3

I cassetti sbloccati possono essere rimossi completamente, dando accesso ai cassetti chiusi sotto (e probabilmente anche sopra). Naturalmente, le serrature da scrivania sono assolutamente nominali, ma almeno un cassetto bloccato è "a prova di manomissione".

    
risposta data 27.06.2013 - 19:57
fonte
2

Per quanto riguarda il n. 1, pensa alla regola come segue:

  • tieni tutti i cassetti bloccati, indipendentemente se sono pieni o vuoti.

Quindi le persone non devono continuamente pensare "dovrei bloccare questo cassetto o no?" e non farà l'errore di non accidentalmente bloccare un cassetto che recentemente non era vuoto.

Inoltre, semplifica l'applicazione delle regole di sicurezza: se un cassetto è sbloccato, si tratta di una violazione, senza dover indagare se ci sono cose lì dentro.

Per # 2- # 4, la stessa logica può essere applicata: esegui un lavoro ridondante, in modo che non ti sia necessario dover continuamente determinare / ricordare se le regole si applicano in un caso particolare.

Per il n. 5, questo è un problema di risorse umane; la società non è autorizzata a fornire informazioni sullo stato di salute ai dipendenti.

    
risposta data 24.06.2013 - 20:23
fonte
1

In relazione con le idee dalla crittografia:

  1. La crittografia delle sole informazioni riservate generalmente rende più facile agli hacker concentrare i loro sforzi. La crittografia di tutto ciò significa più lavoro di decrittografia e probabilmente molto più problemi nell'individuare informazioni sfruttabili.
  2. Il recupero del testo cifrato è un buon primo passo per il recupero dei dati e in genere non è possibile rilevare una lettura semplice in seguito.
  3. Un utente malintenzionato che legge il testo in chiaro mentre il proprietario utilizza lo spazio di archiviazione ha più probabilità di essere scoperto. Inoltre, il testo in chiaro dovrebbe esistere solo se assolutamente necessario, per minimizzare la superficie di attacco (sia nello spazio che nel tempo).
  4. Rendere identificabili tutti i "contenitori" in chiaro dovrebbe rendere più facile garantire che siano identificati come critici per la sicurezza e trattati come tali.
  5. Situazioni insolite e casi angolari sono spesso più facili da attaccare, poiché il protocollo per gestirli può essere meno definito o meno conosciuto / ricordato.
risposta data 24.06.2013 - 10:39
fonte