Le regole di base che seguono le grandi aziende non sono molto diverse dalle regole / raccomandazioni degli standard infosec popolari (ad esempio ISO27k):
- Segregazione dei compiti - separazione sulla fornitura dei servizi, processo di sviluppo o qualsiasi altra parte dei servizi IT, così diverse persone sono responsabili delle varie componenti / fasi di erogazione, sviluppo, provisioning dei servizi, ecc.
Ad esempio: un team è responsabile dell'hosting / provisioning dei sistemi, un altro team è responsabile dello sviluppo del prodotto, un terzo team è responsabile della memorizzazione / dei database, ecc.
Nel complesso, nessuna singola persona ha accesso in un modo che potrebbe compromettere l'intero processo. Tuttavia, questa misura da sola non è sufficiente per ovvi motivi (non ha aiutato nel caso di Ed Snowden).
- Principio del privilegio minimo - come già menzionato, a qualsiasi dipendente vengono fornite le credenziali minime necessarie per svolgere i propri compiti.
Questa è un'altra misura che da sola non aiuterà a eliminare completamente il rischio che ex dipendenti o dipendenti attuali compromettano l'integrità, la riservatezza o la disponibilità delle informazioni (anche in questo caso non è stato d'aiuto nel caso di Ed Snowden).
-
Avere un buon programma di gestione patrimoniale - sapere chi ha accesso a cosa. Avere un'immagine chiara e attuale di chi ha accesso a ciò che può aiutare nella fase successiva.
-
Ciclo di vita dell'account: sono presenti processi in esecuzione quando i dipendenti escono, assicurando che le loro credenziali siano state revocate.
-
Encrypt! E avere un solido processo di gestione delle chiavi.
-
Prenditi cura della proprietà intellettuale (IP) - per quanto i brevetti sui software siano discutibili, e gli avvocati non sono le persone su cui mi piacerebbe contare, l'IP protetto dell'azienda è sicuramente di aiuto (brevettato, registrato o altrimenti protetto da copyright).
-
Controlli in background. Le piccole imprese in genere non possono permettersi adeguati controlli di background, ma i più grandi sicuramente fanno i compiti in questo reparto.
-
Esegui un programma di prevenzione della fuga di dati (un mix di soluzioni, procedure e monitoraggio).
Queste sono solo alcune delle nozioni di base che potrebbero limitare qualsiasi potenziale rischio di danno che un dipendente (o ex dipendente) può causare usando la loro conoscenza di informazioni privilegiate. Non è possibile cancellare ciò che sanno i dipendenti (ad es. Architettura di sistema, protocolli, ecc.), Tuttavia le persone che in genere hanno accesso alle chiavi del castello non stanno semplicemente iniziando la loro carriera, quindi qualsiasi potenziale tratto che li renderebbe meno-di- affidabile si presenterebbe durante alcuni dei loro precedenti cicli di occupazione, o durante il periodo di prova.
Nessuna organizzazione può eliminare completamente il rischio, ma seguire l'approccio del buon senso, unito alla stretta aderenza agli standard infosec, può farti risparmiare molti problemi a lungo termine.
Per quanto riguarda le misure specifiche all'interno delle grandi società, ognuna è leggermente diversa, poiché vi sono differenze sostanziali nella loro cultura, nella loro governance e nella loro generale avversione al rischio. Non c'è un proiettile d'argento, e hanno ancora bisogno di un buon processo di gestione degli incidenti per rispondere a ciò che hanno perso: -)