web-dev-qa-db-ja.com

どのような場合に、過度に厳格なセキュリティポリシーが組織に悪影響を与える可能性がありますか?

哲学的な意味での異機種セキュリティは、人々に自律性が与えられ、石で書かれたセキュリティポリシー/手順よりも優れています。

私はいくつかの会社で働いていましたが、オフィスポリティクスが非常に強力で、誰もが次の手順に追われすぎて、インテリジェンスが完全に破棄されました。たとえば、機密文書が溢れ出しても、安全な廃棄物処理で機密文書を預けることができ、通りかかった人は誰でもゴミ箱の蓋の内側から文書を見て、つかむことができます。これは本当に悪いことです。攻撃者は貴重な情報を見つけるため、溢れ出る安全なゴミ箱に行くことを知っているからです。

言い換えれば、人々に注意を求めるよりも「厳しい規則」が悪いのはいつですか?それは官僚主義に関連していると思います。これは、企業が大きくなると企業に起こるようです。

逸話:もう1つの良い点は、コンピューターが厳しくロックされて作業を開始したところです。何かを変更するためのアクセス権を取得するには、ITスタッフがパスワードを入力する必要があります。 ITスタッフは、なぜパスワードを入力しているのかを気にせず、質問された場合は常にそれを実行します。

14
Celeritas

あなたが指摘しているのは、人々にセキュリティルールを課すことと、より良いセキュリティを得るために人々を関与させることの違いです。

おそらく、あなたは このビデオ を非常に興味深いものに見つけるでしょう。あなたが言及しているものと非常によく似た問題をウォークスルーした後、プレゼンター(Jayson E. Streetが彼の名前を付ける)は、最終的に肯定的な施行。それは、すべての「愚かなユーザー」を課されたルールに準拠させるために絶望的に努力している少数の管理者と、他の従業員を同僚、または「human IDS "。

  • 人々がセキュリティ対策の目的を理解していないか、またはそれが有用であると感じていない場合、彼らはそれを適用することは決してありません(または少なくとも賢明な方法で適用することは決してありません)。
  • セキュリティ対策によって日常の仕事ができないと感じている人は、それを回避するだけです。
  • このセキュリティはトップダウンの方向にしか来ないと感じている場合、問題や疑わしい出来事が発生する可能性はあまりありません。

そのため、セキュリティに関する文献では、人々を教育するための定期的なトレーニングの役割を主張しています。 セキュリティは、経営陣と監査人を満足させるためにここにありません。セキュリティは、会社、顧客、そして最終的には従業員自身の安全を確保するためにここにあります。

常により厳密なルールを定義しても、セキュリティは向上しません。人々を関与させることで、より良いセキュリティが実現します。

12
WhiteWinterWolf

組織のセキュリティポリシーを損なう、主に努力と信頼のダイナミクスに関連する多くの複雑な問題があります。研究者は個々の要因を明らかにしましたが、どのセキュリティ管理スタイルが望ましいか、またはどの単一の組織でどのポリシーを実装するかについての単一の統一理論はまだありません。

セキュリティコンプライアンスの直接コスト

まず第一に、すべてのまともなセキュリティエンジニアは、保護のコストが違反による損失よりも高くなるため、対処するよりもいくつかのリスクを無視するほうがよいことを知っています。同様に、一部のポリシーまたはメカニズムは、組織に価値を提供するよりもエンドユーザー/従業員に多くのコストがかかりますが、多くの組織はまだこれを実現していません。フィッシング保護またはSSL証明書の有名な一般的な例は、 とても長く、Herleyの外部性 に感謝します。

組織のセキュリティでは、ボーテメント等。 コンプライアンス予算 で説明し、従業員への質的インタビューを使用して、従業員がコンプライアンスを遵守する原因を特定しました。従業員のコンプライアンスのコストとメリット、および組織のコストとメリットの4つの要素が関係します。基本的に、従業員は、セキュリティ対策を遵守するかどうかを決定する必要があるときに、コスト/利益の見積もりを行います。

知覚の問題

明らかに、コンピュータセキュリティのトレーニングを受けていない人々 は、セキュリティの仕組みのメンタルモデルが不足しており、 自分が取っているリスクを誤って推定しています。したがって、従業員は、実際の費用と便益ではなく、費用と便益に対する自分自身と組織の両方の認識に基づいて推論します。つまり、認識のバランスをとることは、組織にとって可能な行動方針の1つですすでにコストを意識しているが、コンプライアンスの問題は満たしています。

追加コストとコンプライアンス予算

コンプライアンス予算モデルの背後にある主なアイデアは、従業員が組織のメリットを実現するために、限られた量の日々の労力/コストを自分自身に許容することです。従業員へのコストの源泉(肉体的および精神的負荷、恥ずかしさ、機会の喪失、セキュリティがよりやる気と重要なタスクと競合するという事実)は、個々の利点よりも多く、具体的です(セキュリティ違反の結果を回避し、 Beautementらによるバイパス回避の制裁。そのモデルが正しい場合、組織はさまざまな方法で行動して、従業員のコンプライアンスしきい値を引き上げることができます。

  • 組織に対する認識された利益を増加させる(たとえば、違反の結果についての従業員のメンタルモデルを改善することにより)
  • ユーザーへのコンプライアンスの知覚される利益を増やす(例:従業員を厳しく罰することにより...)
  • ユーザーへのコンプライアンスの知覚されたおよび実際ののコストを削減する(それ自体が非常に複雑なトピックです)

そして隠れたコスト

一般原則が規定されたので、主にBartschとSasseによる How Users Bypass Access Control and Why の典型的なコンプライアンス流出要因を説明する追加の調査があります。以下は、このペーパーで行われたいくつかの関連する観察の内訳です。

ポリシーの修正と更新のコスト

CISOは、すべての人間と同じように、間違いや近似を行い、場合によっては、個々の労働者のニーズと矛盾するポリシーを展開し、仕事の遂行を妨げることがあります。たとえば、データ暗号化ポリシーにより、営業スタッフが便利なストレージメディアを使用してリモートクライアントに製品を提示できない場合があります。さらに、労働慣行が進化したり、新しいプロジェクトが出現したりするにつれて、従業員は時間とともに変化する必要があります。

多くの場合、従業員はポリシーの変更を実施するために長時間待つ必要があり、生産性を著しく損なうことがあります。たとえば、インターンを歓迎するチームは、資格情報を共有したり、保護されていない共有ストレージメディアを展開したりしてアクセス制御をバイパスしない限り、仕事を提供できなくなる可能性があります。アクセス制御が分散化された方法ではなくトップダウンで管理されることが多いという事実は、遅延と生産性のデッドロックの存在の一因となる可能性があります。

従業員間の信頼と感情的な脅迫

皮肉なことに、チームのアクセス制御を直接管理するようになった従業員(組織の目に見えない場合もある)は、チーム内の恨みを避けたいので、同僚や部下にアクセスを許可するという感情的なプレッシャーを感じることがあります。 Kirlapposらは、 Learning Shadow Security のセキュリティの意思決定における従業員の相互信頼の役割に大きく貢献しています。

私の意見では、どちらの論文も、セキュリティを決定する立場にある組織と従業員が共同でセキュリティを管理できるという考えに傾いています。 BartschとSasseでは、ローカルのファイル共有システムに実装できる高レベルのセキュリティポリシーを組織が提供する必要性が指摘されています。これにより、セキュリティのメンタルモデルの不足やアクセスに対する感情的な脅迫の問題に対処できます。

その場でのローカルの意思決定が個人のセキュリティにも適しているという提案がいくつかあります( Reactive access controlLaissez-faire file sharing )。

上記は、厳格なセキュリティポリシーがバイパスされる理由を説明するのに十分であり、コンプライアンスおよびポリシーの適合性を向上させるオプションを提供します。やらなければならない研究はまだたくさんありますが、これらの仮説、モデル、結果のいずれかが不正確であると信じるようになる学術文献のトピックに矛盾はありません。それらはおそらく、現時点で適用するのに最適な情報に基づく戦略でしょう。

7

組織の目的は「セキュリティ」ではありません。機密情報の目的は、それ自体の存在ではなく、組織の目的への適用です。 。これは、セキュリティへのあらゆる取り組みが実際の組織の目的を奪うということです-それは有害です。

そうは言っても、あなたの質問に直接従っていきましょう。質問:どのように「厳格」ですか? 機密性のように聞こえますが、それはセキュリティの方程式の一部にすぎません。

支配者が武器をデジタルロックのある金庫に保管し、金庫のデジタルキーをits一部のユーザーには既知のパスワード。反乱の最中、それらの数人が殺され、武器は使用できなくなり、政権は崩壊した。武器は安全でしたが使用できませんでした。

また、availabilityおよびintegrityについても考慮する必要があります。つまり、 「セキュリティトライアド」全体。それらの間には固有の緊張があります-それらのすべてを最大にすることはできません。

機密の組織データは仕事上の役割の人々によって使用されるため、トレーニングを引用する回答に感謝しています。ただし、実際に情報を使用して作業を遂行するのを妨げないように、複雑なまたはトレードオフのセキュリティ決定を提示するべきではありません。セキュリティコンサルタントは、企業が長くて曖昧なセキュリティポリシーを作成するのに役立つより多くのお金を稼ぎ、それらのポリシーを適用するという不安で面倒な練習で従業員をさらにトレーニングすることを知っていますが、それは彼らの側と組織の側の不正行為だと思いますそのような政策を実施するマネージャー。

0
Andrew Wolfe