it-swarm.com.de

Warum sollte die Sicherheit Dinge wie Naturkatastrophen abdecken?

Ich nehme an einem Kurs teil, der unter Berücksichtigung der CISSP-Zertifizierung konzipiert ist. Obwohl die Klasse als Software-Engineering eingestuft ist, haben wir viel über physische Sicherheit und insbesondere über Überschwemmungen, Brände, Erdbeben und Autos gesprochen, die auf Dinge stoßen. Wie ist diese Sicherheit? Zum Beispiel wurde uns gesagt, dass Rechenzentren in der Mitte eines Gebäudes am sichersten sind, denn wenn das Dach undicht wäre, wäre die Oberseite nicht sicher, und das Wasser sinkt tendenziell, sodass die unteren Stockwerke als erste überflutet werden.

Ist das wirklich ein Sicherheitsproblem? Wenn beispielsweise das Dach undicht ist, ist der Ingenieur schuld, nicht der Sicherheitsanalytiker. Sie würden keinen Sicherheitsanalysten beauftragen, um sicherzustellen, dass das Dach solide ist.

UPDATE: Auch Dinge wie Poller um ein Gebäude, um Fußgänger vor Autos zu schützen, wie ist diese Sicherheit? Das hat noch niemand wirklich erklärt. Mir wurde gesagt, dass das wertvollste Kapital des Unternehmens seine Mitarbeiter sind, aber was ist mit dieser Argumentation nicht Sicherheit?

Was ist nicht Teil der Sicherheit, wenn die Verfügbarkeit so umfassend ist?

55
Celeritas

Alle anderen Antworten sind in Ordnung. Ich werde Ihnen eine klassische Sicherheitsperspektive anbieten.

  • Das Starten eines Feuers/einer Flut ist ein Lehrbuchszenario für die physische Penetration/Exfiltration. Menschen unter Stress fordern weniger Fremde heraus.

  • Ein Feuer kann verwendet werden, um forensische Beweise zu zerstören, insbesondere wenn Insider beteiligt sind.

  • Ein Erdbeben oder eine Naturkatastrophe (wie Buschbrände) ist eine potenzielle Komplikation für die Sicherheit, da Recht und Ordnung zusammenbrechen und Plünderungen ihren hässlichen Kopf erheben.

  • Perimetersicherheit gegen SVBIEDs ist in bestimmten Ländern und Bedrohungsumgebungen eine notwendige Überlegung. Wenn ein Selbstmordattentäter nahe an die Wände Ihres Rechenzentrums fahren kann, ist dies Ihr Versagen als Sicherheitsberater. Daher Poller, Blumenbeete und Betonbarrieren.

  • Sicherheit ist eine ganzheitliche Disziplin. Jeder Spezialist kümmert sich um Teile des Unternehmens und verliert durch die Notwendigkeit des Lebens das Ganze aus den Augen. Es sollte mindestens eine Person da draußen geben, die an das Verhalten des Gegners denkt und nicht an seine eigene Schublade. Dies ist übrigens die Stellenbeschreibung eines Sicherheitsberaters.

60
Deer Hunter

Es kommt auf die klassische Sicherheitstriade an; Integrität, Vertraulichkeit und Verfügbarkeit. Die letzte davon könnte sicherlich unter jeder Art von Naturkatastrophe leiden, weshalb Sie sie in Ihren Kontinuitätsplan aufnehmen müssen.

50
Nobeater

CISSP ist eine Informationssicherheit Zertifizierung, keine Computersicherheit Zertifizierung.

Informationssicherheit geht es um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Allgemeinen. Informationen werden nicht nur auf Computern gespeichert. Sie werden ausgedruckt und in Aktenschränken aufbewahrt. Sie werden gespeichert und im Gehirn Ihres Mitarbeiters aufbewahrt. Daher müssen Sie nicht nur sicherstellen, dass Ihre Computernetzwerke sicher sind, sondern auch die physische Sicherheit Ihrer Räumlichkeiten gewährleisten. Wenn diese vertraulichen Dokumente bei einer Katastrophe gestohlen oder zerstört werden, ist dies auch ein Verlust der Verfügbarkeit. Wenn Ihre Mitarbeiter die Informationen an einen Wettbewerber verkaufen, gilt dies als Verlust der Vertraulichkeit. Aus diesem Grund sind Richtlinien und physische Sicherheitsmaßnahmen wichtig.

50
limbenjamin

Selbst wenn Sie die Computersicherheit eng auf den Umgang mit vorsätzlichen böswilligen Angriffen beschränken, stellt jede Art und Weise, in der Ihr System für eine Naturkatastrophe anfällig ist, auch eine Möglichkeit dar, wie ein gut ausgestatteter (oder kluger) Angreifer Ihre Störung stören kann Bedienung. Wenn ein Rechenzentrum beispielsweise anfällig für Überschwemmungen ist, kann jemand, der es offline schalten möchte, eine Sprinklerleitung im Gebäude abschneiden. Daher ist es sinnvoll, sich im Rahmen eines Gesamtsicherheitsplans vor Naturkatastrophenszenarien zu schützen.

17
David Z

Katastrophen sind ebenso ein Sicherheitsproblem wie die Abschwächung von Denial-of-Service-Angriffen. In den ISC2 (CISSP) -Dokumenten wird Sicherheit häufig durch die CIA-Triade dargestellt: Vertraulichkeit, Integrität und Verfügbarkeit. Disaster Recovery-Strategien und DDOS-Minderung betreffen sowohl die Einrichtung als auch die Aufrechterhaltung der Verfügbarkeit.

14
Whome

Ich werde mein 2c einwerfen und etwas erwähnen, das andere nicht ausdrücklich erwähnt haben: Business Continuity Plans

BCP ist eine wichtige Funktion der Arbeit eines Sicherheitsanalysten. Daher bietet das CISSP einen umfassenden Überblick über die Probleme, die sich auf Katastrophen und Ausfälle auswirken können. Die Kenntnis dieser allgemeinen Details hilft dem CISSP, eine Grundlage für Wissen und die für BCP erforderlichen Denkweisen zu schaffen.

Bitte beachten Sie, dass das CISSP-Material einen umfassenden Überblick über die Themen bietet. Es gibt viel, viel mehr, was ein Sicherheitsprofi wissen und berücksichtigen muss, um ein BCP-Programm ordnungsgemäß zu erstellen und zu verwalten.

7
schroeder

Ich werde es umdrehen:

Katastrophenplanung ist nicht Teil der Sicherheit, da Sicherheit Teil der Katastrophenplanung ist.

Die Katastrophenplanung, die sich aus Katastrophenschutz und Notfallwiederherstellung zusammensetzt, deckt eine Reihe von Themen ab (z. B. Redundanz, Sicherungen), einschließlich Sicherheit.

3

Wenn wir in ein Wörterbuch schauen, ist eine der sekundären Bedeutungen von "Sicherheit":

die Tatsache, dass etwas wahrscheinlich nicht versagt oder verloren geht

Während wir Informationssicherheit oft als Wachen, Waffen und Hacker in dunklen Gläsern betrachten, geht es wirklich um den Schutz von Informationen vor Bedrohungen. Diese Bedrohungen könnten sein:

  • Externe Angreifer - Hacker
  • Böswillige Insider
  • Naturkatastrophen
  • Technische Probleme - Undichtigkeiten, Stromausfälle
  • Ehrliche Fehler - wie der Verlust einer CD voller Daten
  • Eine Menge mehr!

Der Grund, warum CISSP all dies abdeckt, ist, dass eine Organisation jemanden braucht, der sich um diese Probleme kümmert. Es stellt sich heraus, dass die Art und Weise, wie Sie sich gegen die Bedrohungen verteidigen, ziemlich ähnlich ist. Daher ist es sinnvoll, dass sich eine Abteilung um sie kümmert.

3
paj28

Bei der Informationssicherheit geht es um den Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen. Ohne die Informationen schützen und denjenigen zur Verfügung stellen zu können, die sie auch während einer Naturkatastrophe benötigen, könnte dies das Ende eines Unternehmens bedeuten.

Ich half bei der Entwicklung von Business Continuity-Plänen, bei denen eine der entscheidenden Anforderungen darin bestand, dass bestimmte Informationen (gesetzlich) 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr verfügbar sein mussten. Selbst während einer Naturkatastrophe wie einem schrecklichen Erdbeben war keine Ausfallzeit zulässig.

Es gab keine einfache Lösung - es musste eine Analyse der Geschäftsauswirkungen durchgeführt werden. Informationen werden nicht nur auf Computern gespeichert. Es ist oft verstreut und nicht nur an einem zentralen Ort zu finden. Es ist sehr schwierig, die kritischen Informationen zu ermitteln, die für die Aufrechterhaltung des Geschäftsbetriebs erforderlich sind. Sobald die Identifizierung kritischer Systeme und Komponenten abgeschlossen und überprüft ist. Es muss eine zusätzliche Risikobewertung durchgeführt werden.

Bei großen Naturkatastrophen wie Erdbeben oder großen Tornados besteht eine hohe Wahrscheinlichkeit, dass die physischen Räumlichkeiten für einige Zeit außer Betrieb sind. Es gab sogar Beispiele, bei denen kein Gebäude mehr vorhanden war oder das Team nur eingeschränkten Zugang hatte (15 bis 20 Minuten), um zu sammeln, was benötigt wurde, bevor niemand mehr in das Gebäude zurückkehren durfte. Sie konnten auch einige Verzögerungen einplanen, da festgestellt werden musste, dass die Gebäude solide genug waren, damit jeder darauf zugreifen konnte.

Wenn es sich um eine große Katastrophe handelt, wohin gehen Sie oder wie wird die Kontinuität der Operationen erreicht? Die Mitarbeiter vor Ort werden sicherlich auch von der Katastrophe betroffen sein. Es kann Wochen dauern, bis sie wieder in der Lage sind, zur Arbeit zurückzukehren. Bei einem BCP, an dem ich gearbeitet habe, waren die Mitarbeiter auch mit der völligen Zerstörung ihrer Häuser konfrontiert, oder sie hatten nur wenige Minuten Zeit, um ihre Häuser zu betreten und Hab und Gut zu sammeln. Viele sagten mir, sie hätten Kleidung, Zahnbürsten und Ausweispapiere gepackt und müssten andere persönliche Gegenstände zurücklassen.

Ein Teil der technischen Strategie kann daher darin bestehen, abhängig von der Risikobewertung eine Vielzahl von Optionen zu entwickeln. Je nach Budget können Pläne für kalte, warme und heiße Standorte vorliegen. Strategien zum Schutz identifizierter kritischer Server und Hardware mit RAID, Clustering und Lastausgleich mit Schwerpunkt auf Fehlertoleranz. Natürlich gibt es einen Schutz der Daten durch Sicherungen und Pläne zur Wiederherstellung kritischer Daten und zur Bereitstellung für die Nutzung durch kalte, warme und heiße Standorte, um sicherzustellen, dass vertrauliche Dokumente geschützt und für diejenigen verfügbar sind, die die Informationen unter benötigen jederzeit.

Sobald alle diese Strategien, Pläne und Richtlinien vorhanden sind, müssen sie überprüft, gepflegt und verifiziert werden. Es erfordert viel Personal, um involviert zu sein und sich dessen bewusst zu sein. Die einzige Konstante ist die Veränderung. Neue Hardware- und Softwarelösungen werden implementiert. Geschäftsanforderungen und Gesetze werden geändert. Ich kann sicher verstehen, warum es erwähnt wird. Bei der Informationssicherheit geht es um den Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.

2
EBM