Controlli di sicurezza da implementare in un ambiente privato

1

In un grande progetto, la mia azienda è responsabile dell'amministrazione dei server interni in cui sono installate le applicazioni utilizzate all'interno della intranet. Uno dei nostri siti è accessibile dall'esterno ma non gestiamo tale reindirizzamento, un'altra società ha il compito di gestire la rete. Ogni posto a sedere ha un laptop che esegue W7 senza alcuna limitazione, è così, l'utente admin per impostazione predefinita. Le persone esterne non possono accedere all'edificio, abbiamo scanner di identificazione e impronte digitali.

Sto cercando di "creare" un ruolo specifico per la sicurezza. Sono nuovo in questa azienda ma sono l'unico interessato alla sicurezza qui.

Finora ho analizzato le password (ogni principio della password di base è violato lol!), la gestione degli account sui server (disabilita gli account LDAP quando qualcuno lascia, imposta l'expirity degli account temporanei), problemi di privacy (webcam, sessioni registrate quando si esce) , politica della scrivania pulita (anche se come persone esterne non possono accedere, non sono sicuro se questo avrà alcun effetto) e il minimo privilegio (limitare l'accesso ad alcune risorse, account di amministratore e utente sui laptop, proibire l'uso di USB bastoni).

Secondo quanto affermato sopra, quali altri controlli di sicurezza potrei implementare?

    
posta yzT 04.02.2014 - 10:41
fonte

2 risposte

3

ISO / IEC 27002 elenca 114 controlli di sicurezza che a loro avviso dovrebbero essere considerati, ma non consiglierei di iniziare da lì; devi prima fare una valutazione del rischio in modo da sapere cosa devi controllare.

Non iniziare con un elenco di controlli, altrimenti commetterai un errore orribile come l'assunzione di lettori di impronte digitali significa che le persone esterne non possono accedere al tuo edificio.

(Chi pulisce la cucina? Chi ripara la toilette quando si rompe? Chi consegna pacchi? Chi controlla i tuoi rilevatori di fumo? Chi arruolerebbe il tuo dipendente più povero se gliene regalassi $ 5.000? Ho minacciato di dirlo a sua moglie?)

    
risposta data 04.02.2014 - 12:17
fonte
0

I'm new in this company but I'm the only one interested in security here.

Se la frase in grassetto è letteralmente vera, sei già nei guai e potrebbe non essere in grado di essere efficace nell'implementare le tue idee. La sicurezza IT non è, e non dovrebbe, essere la responsabilità di un singolo individuo. Se la cultura della sicurezza del tuo ambiente di lavoro è lassista, come sembra, a meno che la direzione non decida di dare priorità alla sicurezza, la sicurezza non sarà un investimento importante visto come valore aggiunto per l'azienda.

In qualità di revisore IT, la mia esperienza è stata che una politica di sicurezza IT aziendale adottata e modellata dal senior management è essenziale. Ti consigliamo di considerare prima di utilizzare la gestione per adottare innanzitutto una politica di sicurezza IT piuttosto che implementare comandi a caso.

Una buona politica di sicurezza IT dovrebbe in generale definire aspettative di gestione in aree come

  • L'aspettativa dei dipendenti di impegnarsi a proteggere beni e dati aziendali.
  • Come verrà applicata la politica
  • Quali conseguenze possono derivare dalla violazione della politica
  • Come devono essere classificati i beni aziendali per il loro "valore" per l'azienda

Solo dopo aver saputo quali beni saranno di maggior valore e in che modo la direzione vede la propria missione nel proteggere tali beni, i controlli di sicurezza saranno efficaci. Dopo aver appreso la posizione del management sulla sicurezza IT come descritto all'interno di un documento di policy, il passaggio successivo dovrebbe essere una valutazione del rischio. In sostanza, in questa fase si desidera rispondere alle seguenti domande:

  • Quali minacce / fonti di attacco potrebbero mettere in pericolo le risorse preziose identificate?
  • Quanto è probabile che si verifichino tali attacchi?
  • Se un attacco è riuscito, quanto può essere grave il danno risultante? (Impatto)
  • Quali fattori attenuanti, se esistono, sono già in atto per ridurre l'impatto? (controlli compensativi)

Solo dopo aver completato una valutazione del rischio, i controlli di sicurezza possono essere significativamente raccomandati alla direzione da attuare. Detto questo, manca la "cultura della sicurezza IT" nella tua azienda, vedo alcuni controlli che possono essere preziosi in base alle informazioni limitate che hai fornito.

One of our sites are accessible from outside but we do not manage such redirection, another company is tasked to manage the network

Dato che la gestione della rete è esternalizzata a una terza parte, si desidera verificare i controlli attorno a quanto segue:

  • Termini contrattuali: il monitoraggio della SLA e il diritto alla revisione sono essenziali
  • Accesso fornitore alla rete - In che modo viene gestito il provisioning degli accessi e il deprovisoning?
  • Autenticazione utente - In che modo il venditore autentica le identità di quegli utenti che provengono da Internet non fidata verso l'applicazione aziendale di fronte al Web pubblica?
risposta data 03.05.2017 - 05:53
fonte

Leggi altre domande sui tag