De 7 basisprincipes van IT-beveiliging

Schrijver: Robert Simon
Datum Van Creatie: 20 Juni- 2021
Updatedatum: 22 Juni- 2024
Anonim
Навальные – интервью после отравления / The Navalniys Post-poisoning (English subs)
Video: Навальные – интервью после отравления / The Navalniys Post-poisoning (English subs)

Inhoud


Bron: KrulUA / iStockphoto

Afhaal:

IT-professionals gebruiken best practices om systemen van bedrijven, de overheid en andere organisaties veilig te houden.

Beveiliging is een constante zorg als het gaat om informatietechnologie. Gegevensdiefstal, hacking, malware en tal van andere bedreigingen zijn voldoende om elke IT-professional 's nachts wakker te houden. In dit artikel zullen we de basisprincipes en best practices bekijken die IT-professionals gebruiken om hun systemen veilig te houden.

Het doel van informatiebeveiliging

Informatiebeveiliging volgt drie overkoepelende principes:

  • Vertrouwelijkheid: dit betekent dat informatie alleen wordt gezien of gebruikt door mensen die geautoriseerd zijn om toegang te krijgen.
  • Integriteit: dit betekent dat wijzigingen in de informatie door een ongeautoriseerde gebruiker onmogelijk zijn (of op zijn minst worden gedetecteerd) en wijzigingen door geautoriseerde gebruikers worden bijgehouden.
  • Beschikbaarheid: dit betekent dat de informatie toegankelijk is wanneer bevoegde gebruikers deze nodig hebben.

Dus, gewapend met deze principes op een hoger niveau, hebben IT-beveiligingsspecialisten best practices bedacht om organisaties te helpen ervoor te zorgen dat hun informatie veilig blijft. (Zie De 3 belangrijkste componenten van BYOD Security voor meer informatie over het beschermen van uw netwerk wanneer externe apparaten betrokken zijn.)


Best practices voor IT-beveiliging

Er zijn veel best practices in IT-beveiliging die specifiek zijn voor bepaalde bedrijfstakken of bedrijven, maar sommige zijn breed toepasbaar.

  1. Balansbescherming met hulpprogramma
    Computers in een kantoor kunnen volledig worden beschermd als alle modems worden weggehaald en iedereen uit de kamer wordt geschopt - maar dan zijn ze voor niemand van nut. Dit is de reden waarom een ​​van de grootste uitdagingen op het gebied van IT-beveiliging het vinden van een evenwicht is tussen de beschikbaarheid van middelen en de vertrouwelijkheid en integriteit van de middelen.

    In plaats van te proberen bescherming te bieden tegen allerlei bedreigingen, concentreren de meeste IT-afdelingen zich eerst op het isoleren van de meest vitale systemen en vinden dan acceptabele manieren om de rest te beschermen zonder ze onbruikbaar te maken. Sommige van de systemen met lagere prioriteit kunnen kandidaten zijn voor geautomatiseerde analyse, zodat de belangrijkste systemen de focus blijven houden.

  2. Deel de gebruikers en bronnen op
    Een informatiebeveiligingssysteem werkt alleen als het weet wie bepaalde dingen mag zien en doen. Iemand in de boekhouding hoeft bijvoorbeeld niet alle namen in een klantendatabase te zien, maar hij moet misschien wel zien dat de cijfers uit de verkoop komen. Dit betekent dat een systeembeheerder toegang moet toewijzen op basis van het taaktype van een persoon en deze limieten mogelijk verder moet verfijnen op basis van organisatorische scheidingen. Dit zal ervoor zorgen dat de financieel directeur idealiter toegang heeft tot meer gegevens en middelen dan een junior accountant.

    Dat gezegd hebbende, rang betekent niet volledige toegang. De CEO van een bedrijf moet mogelijk meer gegevens zien dan andere personen, maar hij heeft niet automatisch volledige toegang tot het systeem nodig. Dit brengt ons bij het volgende punt.

  3. Wijs minimale rechten toe
    Een individu moet de minimale rechten krijgen die nodig zijn om zijn of haar verantwoordelijkheden uit te voeren. Als de verantwoordelijkheden van een persoon veranderen, veranderen ook de rechten. Het toewijzen van minimale rechten vermindert de kans dat Joe van design de deur uitloopt met alle marketinggegevens.

  4. Gebruik onafhankelijke verdedigingen
    Dit is evenzeer een militair principe als een IT-beveiligingsprincipe. Het gebruik van één echt goede verdediging, zoals authenticatieprotocollen, is alleen goed totdat iemand deze overtreedt. Wanneer verschillende onafhankelijke verdedigingen worden gebruikt, moet een aanvaller verschillende strategieën gebruiken om er doorheen te komen. De introductie van dit soort complexiteit biedt geen 100 procent bescherming tegen aanvallen, maar verkleint wel de kans op een succesvolle aanval.

  5. Plan voor mislukking
    Planning voor mislukking helpt de werkelijke gevolgen te minimaliseren als deze zich voordoen. Met vooraf geïnstalleerde back-upsystemen kan de IT-afdeling continu beveiligingsmaatregelen volgen en snel reageren op een inbreuk. Als de inbreuk niet ernstig is, kan het bedrijf of de organisatie blijven back-uppen terwijl het probleem wordt verholpen. IT-beveiliging gaat net zo goed over het beperken van schade door inbreuken als over het voorkomen ervan.

  6. Opnemen, opnemen, opnemen
    In het ideale geval zal een beveiligingssysteem nooit worden overtreden, maar wanneer er een beveiligingslek plaatsvindt, moet de gebeurtenis worden vastgelegd. In feite registreren IT-medewerkers vaak zoveel als ze kunnen, zelfs wanneer er geen inbreuk plaatsvindt. Soms zijn de oorzaken van inbreuken achteraf niet duidelijk, dus het is belangrijk om gegevens achterwaarts te kunnen volgen. Gegevens van inbreuken zullen uiteindelijk helpen om het systeem te verbeteren en toekomstige aanvallen te voorkomen - zelfs als het in eerste instantie niet logisch is.

  7. Voer frequente tests uit
    Hackers verbeteren hun vak voortdurend, wat betekent dat informatiebeveiliging moet evolueren om bij te blijven. IT-professionals voeren tests uit, voeren risicobeoordelingen uit, herlezen het noodherstelplan, controleren het bedrijfscontinuïteitsplan in geval van een aanval en doen het opnieuw. (Denk je dat hackers allemaal slecht zijn? Lees dan 5 redenen waarom je dankbaar moet zijn voor hackers.)

De afhaalmaaltijden

IT-beveiliging is een uitdagende taak die aandacht voor detail vereist en tegelijkertijd een hoger bewustzijn vereist. Zoals veel taken die op het eerste gezicht ingewikkeld lijken, kan IT-beveiliging echter worden onderverdeeld in basisstappen die het proces kunnen vereenvoudigen. Dat wil niet zeggen dat het dingen gemakkelijk maakt, maar het houdt IT-professionals scherp.