Faktor Manusia dalam Keamanan Komputer

Faktor manusia
•
penting, daerah yang luas
•
mempertimbangkan topik utama beberapa:
-
kesadaran keamanan, pelatihan, dan pendidikan
-
kebijakan keamanan organisasi
-
keamanan personel
-
E-mail dan Internet kebijakan penggunaan

________________________________________
Kesadaran Keamanan, Pelatihan, dan
Pendidikan
•
topik menonjol dalam berbagai standar
•
memberikan manfaat:
-
meningkatkan perilaku karyawan
-
meningkatkan akuntabilitas karyawan
-
mengurangi kewajiban untuk perilaku karyawan
-
mematuhi peraturan dan kontrak
kewajiban
________________________________________

Belajar
Rangkaian kesatuan

________________________________________
Kesadaran
•
berusaha untuk menginformasikan dan fokus karyawan
perhatian pada masalah keamanan
-
ancaman, kerentanan, dampak, tanggung jawab
•
harus disesuaikan dengan kebutuhan organisasi
•
menggunakan berbagai cara
-
peristiwa, bahan promo, briefing, doc kebijakan
•
harus memiliki kebijakan keamanan karyawan
dokumen
________________________________________
Latihan
•
mengajarkan apa yang harus dilakukan orang-orang dan bagaimana mereka melakukannya
untuk aman melakukan tugas-tugas IS
•
meliputi meliputi spektrum:
-
pengguna umum
•
praktek keamanan komputer yang baik
-
programmer, pengembang, pengelola
•
pola pikir keamanan, pengembangan kode aman
-
manajer
•
pengorbanan yang melibatkan risiko keamanan, biaya, manfaat
-
eksekutif
•
tujuan manajemen risiko, pengukuran, kepemimpinan
________________________________________
Pendidikan
•
paling mendalam
•
ditargetkan pada profesional keamanan yang pekerjaannya
membutuhkan keahlian dalam keamanan
•
lebih pengembangan karir karyawan
•
sering disediakan oleh sumber luar
-
program kuliah
-
program pelatihan khusus
________________________________________
Kebijakan Keamanan Organisasi
•
"Pernyataan resmi dari aturan yang orang
diberikan akses ke teknologi organisasi dan
aset informasi harus mematuhi "
•
juga digunakan dalam konteks lain
________________________________________
Kebijakan Keamanan Organisasi
•
perlu dokumen kebijakan keamanan tertulis
•
untuk menentukan perilaku yang dapat diterima, diharapkan
praktek, dan tanggung jawab
-
membuat jelas apa dilindungi dan mengapa
-
mengartikulasikan prosedur keamanan / kontrol
-
menyatakan tanggung jawab untuk perlindungan
-
memberikan dasar untuk menyelesaikan konflik
•
harus mencerminkan keputusan keamanan eksekutif
-
melindungi info, mematuhi hukum, memenuhi tujuan org
________________________________________
Siklus Hidup Kebijakan Keamanan
________________________________________
Kebijakan Dokumen Tanggung Jawab
•
kebijakan keamanan perlu dukungan luas
•
terutama dari manajemen puncak
•
harus dikembangkan oleh tim termasuk:
-
administrator keamanan situs, staf teknis TI, pengguna
kelompok admin, tim keamanan respon insiden,
perwakilan kelompok pengguna, bertanggung jawab
manajemen, penasihat hukum
________________________________________
Dokumen Konten
•
apa alasan untuk kebijakan?
•
yang mengembangkan kebijakan?
•
yang menyetujui kebijakan tersebut?
•
yang kewenangannya menopang kebijakan?
•
yang hukum / peraturan yang didasarkan pada?
•
yang akan menegakkan kebijakan?
•
bagaimana kebijakan ditegakkan?
•
siapakah kebijakan mempengaruhi?
•
informasi apa aset harus dilindungi?
•
apa yang pengguna benar-benar diperlukan untuk melakukan?
•
bagaimana seharusnya pelanggaran keamanan dilaporkan?
•
apa tanggal tanggal / berakhirnya efektif itu?
________________________________________
Topik Kebijakan Keamanan
•
prinsip
•
struktur pelaporan organisasi
•
keamanan fisik
•
perekrutan, manajemen, dan menembak
•
perlindungan data
•
keamanan komunikasi
•
perangkat keras
•
perangkat lunak
•
sistem operasi
________________________________________
Topik Kebijakan Keamanan cont.
•
dukungan teknis
•
pribadi
•
mengakses
•
akuntabilitas
•
pembuktian keaslian
•
tersedianya
•
pemeliharaan
•
pelanggaran pelaporan
•
keberlangsungan bisnis
•
informasi pendukung
________________________________________
Sumber
•
ISO 17799
-
standar internasional yang populer
-
memiliki seperangkat kontrol
-
kerangka nyaman untuk penulis kebijakan
•
COBIT
-
set berorientasi bisnis standar
-
termasuk keamanan dan kontrol TI praktek
•
Standar Praktek Baik untuk Informasi
Keamanan
•
orgs lain, misalnya CERT, CIO
________________________________________
Personil Keamanan
•
perekrutan, pelatihan, perilaku pemantauan, dan penanganan
keberangkatan
•
pelanggaran keamanan karyawan terjadi:
-
tanpa disadari membantu komisi pelanggaran
-
sengaja melanggar kontrol atau prosedur
•
ancaman meliputi:
-
mendapatkan akses tidak sah, mengubah data, produksi menghapus
dan back up data, menabrak sistem, sistem menghancurkan,
menyalahgunakan sistem, memegang data sandera, mencuri strategis atau
data pelanggan untuk spionase perusahaan atau skema penipuan
________________________________________
Keamanan dalam Proses Hiring
•
tujuan:
-
"Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga
memahami tanggung jawab mereka, dan cocok untuk
peran mereka dipertimbangkan untuk, dan untuk mengurangi risiko pencurian,
penipuan atau penyalahgunaan fasilitas "
•
perlu pemeriksaan latar belakang yang sesuai, skrining, dan
perjanjian kerja
________________________________________
Latar Belakang Cek & Screening
•
masalah:
-
resume meningkat
-
keengganan mantan majikan untuk memberikan referensi yang baik atau buruk
karena takut tuntutan hukum
•
pengusaha perlu membuat upaya yang signifikan untuk melakukan
pemeriksaan latar belakang / screening
-
mendapatkan pekerjaan rinci sejarah / pendidikan
-
pemeriksaan yang wajar pada keakuratan rincian
-
telah mengalami anggota staf wawancara
•
untuk beberapa posisi sensitif, tambahan intensif
investigasi dijamin
________________________________________
Perjanjian kerja
•
karyawan harus setuju untuk menandatangani dan ketentuan
dan kondisi kontrak kerja mereka,
yang harus mencakup:
-
informasi dan keamanan organisasi mereka
tanggung jawab
-
kerahasiaan dan non-pengungkapan perjanjian
-
perjanjian untuk mematuhi kebijakan keamanan organisasi
________________________________________
Selama Kerja
•
tujuan keamanan karyawan saat ini:
•
memastikan karyawan, kontraktor, pengguna pihak ketiga sadar
info ancaman keamanan & kekhawatiran
•
tahu tanggung jawab dan kewajiban mereka
•
dilengkapi untuk mendukung kebijakan keamanan organisasi di
pekerjaan mereka, dan mengurangi risiko kesalahan manusia
•
perlu kebijakan keamanan dan pelatihan
•
prinsip-prinsip keamanan:
-
setidaknya hak istimewa
-
pemisahan tugas
-
ketergantungan yang terbatas pada personil kunci
________________________________________
Pemutusan hubungan kerja
•
tujuan keamanan pemutusan:
•
memastikan karyawan, kontraktor, pihak ketiga pengguna exit
organisasi atau perubahan kerja secara tertib
•
bahwa kembalinya semua peralatan dan penghapusan semua
hak akses selesai
•
tindakan penting:
-
menghapus nama dari daftar akses yang berwenang
-
menginformasikan penjaga bahwa akses umum tidak diperbolehkan
-
menghapus kode akses pribadi, mengubah kombinasi kunci,
memprogram ulang sistem kartu akses, dll
-
memulihkan semua aset
________________________________________
Email & Internet Gunakan Kebijakan
•
E-mail & akses internet bagi karyawan adalah
umum di kantor dan beberapa pabrik
•
semakin memiliki e-mail dan penggunaan Internet
kebijakan dalam kebijakan keamanan organisasi
•
karena kekhawatiran mengenai
-
waktu kerja yang hilang
-
sumber daya komputer / comms dikonsumsi
-
risiko mengimpor malware
-
kemungkinan kerusakan, pelecehan, perilaku buruk
________________________________________
Kebijakan disarankan
•
penggunaan bisnis hanya
•
lingkup kebijakan
•
kepemilikan konten
•
pribadi
•
standar perilaku
•
penggunaan pribadi wajar
•
kegiatan yang melanggar hukum dilarang
•
kebijakan keamanan
•
kebijakan perusahaan
•
hak perusahaan
•
tindakan disipliner
________________________________________
Contoh
Polis

________________________________________
Ringkasan
•
memperkenalkan beberapa topik penting yang berkaitan dengan
faktor manusia
•
kesadaran keamanan, pelatihan & pendidikan
•
kebijakan keamanan organisasi
•
keamanan personel
•
E-mail dan Internet Gunakan Kebijakan