web-dev-qa-db-ja.com

情報セキュリティを重視する企業文化を作成するにはどうすればよいですか?

強化されたサーバー、IPS、ファイアウォール、およびあらゆる種類の防御は、人々が誤解しているという理由だけで知らずに情報を漏らした場合、セキュリティの問題を解決できません。

私はすでに彼らに指導を試みましたが、彼らは単に気にしません、彼らは私たちの侵入防止システムの重要な部分として彼ら自身を見ることができません。

会社は機密情報を扱いますが、彼らはそれについて考えたくないのです。私たちのポリシーは、私が今まで見た中で最高のポリシーの1つですが、セキュリティチーム以外は誰もポリシーに準拠していません。

私は何をすべきか?従業員がすべてのセキュリティを回避しているため、チームが対処している攻撃の数のログを顔に投げ込む必要がありますか?

私のチームが失敗した場合、私の国の通信システムは完全に影響を受ける可能性があります。セキュリティを大事にするのは動機だと思いましたが、私たちの仕事なので、私たち以外は誰も気にしません。

誰かがすでにこのような状況に対処しましたか?あきらめるべきですか

96
RF03

高水準の文化

私の経験では、セキュリティカルチャーの移行には3つのステップがあります。

  1. 経営陣の賛同を得て、別のことを行う
  2. 個人的な管理職に従事して、何が重要かを先導する
  3. トレーニング、メディア、「私たちのような人はこのようなことをする」という対面のイベントを通じてトーンを設定します

これは次のとおりです。管理hasは、セキュリティチャンピオンの助けを借りて、これの主導権を握ります。経営陣は、自分自身に適用する技術的コントロールを望み、奨励する必要があります。経営陣が特別な条件を取得した場合、ゲームオーバー。

適切に安全な環境に参加したいという希望を個人的かつ公的に表明するために、上層部ほど優れたマネージャーを雇ってください。彼らに欲求不満や不便さも表現してもらいます。しかし、不便は会社の健康にとって重要であることも伝えます。

「私は朝にパスワードを変更するように求められたときつぶやきます。たぶん、[1 | 3]か月前に変更したと思います。しかし、私がそれをするとき、私はハッカーのルート私とこの会社に害を及ぼす私の資格」

[はい、私は頻繁なパスワード変更についての論争を認識していますが、例を少しの間説明します]

次に、この素​​晴らしい基盤ができたら、そのメッセージを個人レベルで全員に伝え始めます。

自分自身を保護するように教える

会社のポリシーが現実から切り離されていると人々が考えるのは簡単です(TPSレポートに記入しましたか?)。そのため、会社のセキュリティを強く推進することは、敗戦になる可能性があります。代わりに、自分と家族を守る方法を人々に教えることを検討してください。ハッカーが自宅のコンピュータやモバイルデバイスをどのように侵害しているかを示します。これを行うことで、関係する危険を実際に見てもらうことができます。この賛同を得たら、仕事の危険にフォーカスを移すのがずっと簡単です。

歯をゲット

誰もがポリシーを順守しているなら、それは素晴らしいことですが、あなたは従わない人にいくつかの最悪の結果をもたらす必要があります。これはトリッキーなテーマであり、これを機能させるには、人事、GRC、および経営陣と協力する必要があります。

59
schroeder

ユーザーを顧客と考えてください。あなたは彼らがデータを保護するための彼らのビジネス要件を満たすのを手伝っています。つまり、それらに課せられた要件を可能な限り合理的かつ正当なものに制限することは、あなたの仕事です。 UXエンジニアリングです。

例:

  • システムで適切にログインするのが難しい場合、ワークグループはポストイットまたはホワイトボードでパスワードを共有します。

  • ' セキュリティシアター 'は、予防策が必要であるという概念(企業のイントラネットを読むためだけに、毎週20文字のパスワードを変更させること)に対する信頼を減らします。

  • もし第二次世界大戦ドイツ軍がそのオペレーターにセキュリティの指示に従うことができず(エニグマのローター設定を頻繁に変更するなど)、彼らが不服従のために人々を撃つことができるとすれば、単なる脅迫でどのようなチャンスを得ましたか?

32
Rich

これは本当に難しい問題ですが、物事を変える機会があれば、あなたが持っているすべてを与えるべきです。

一晩で文化を変えることはできません。しかし、文化をより良いものに変えるために始めることができるステップがあります。


ポリシーの施行

これは私のリストの最初です。セキュリティポリシーを適用し、それに従わない人を懲戒する必要があることは、ここで完全に同意します。上から下まで全員が含まれます。

何度も何度も台無しにしてしまう人に会社を危険にさらしませんか?会社を不必要な危険にさらさないでください。

ささいなことで不誠実な人は、大きなことで不誠実であり、懲らしめるのにかかる時間の価値はありません。これらの人々は私の解雇推薦リストの一番上にいます。彼らが何を間違ったかについて正直である誰でも、彼らが同じ間違いを何度も繰り返し続けない限り、最悪の場合、一時停止されます。

誰かが意見の相違がある場合は、意見を述べる場所を提供します。理由を優しく説明してください...一部のユーザーは理由を知る必要があります。それらのユーザーは、ほとんどの場合、なぜ何かをすべきかについて質問します。それらを教える準備をしてください。

誰かがセキュリティポリシーに従うことを拒否した場合、従う従業員を見つける必要があります。とても簡単です。


しかし、誰もが巨大なルールのリストに時間を費やすことはありません

ルールが多すぎると仕事をしている人にとって有害だと私は思う。そのため、全員にいくつかの特定のルールを用意し、次にrole-specificルールを作成する必要があります。

会計のボビーは顧客向けではありません。バッファオーバーフロー、SQLインジェクション、xss、csrfなどについて彼に教える必要はありません。ファイナンスのキャシーダウンは、サーバー強化テクニックについて知る必要はありません。

ただし、エンジニアリングのバフマルカロは間違いなく知っておく必要があります。そして彼は彼が教えられている方針を理解しなければなりません。


トレーニングをわかりやすく、簡単に理解できるようにする

始める前に聴衆を知る必要がある、または始める前に運命づけられている。

例は、読んでいることを人々に理解させるのに非常に役立つことを覚えておいてください。あなたが始めるのに役立ついくつかの超基本的なトピックをリストします。遠慮なく追加してください。

  1. 開発者
    • プラットフォーム固有にし、プラットフォーム固有の例を示します。
    • 短くてシンプルにできます。 OWASPトップ10の各脆弱性について、わずか5分程度の簡単に消化できるビデオを開発することもできます。
    • .gitignore、GitHubなどに間違ったものを保存しない.
    • 環境に関連するもの。
  2. 顧客対応の従業員
    • クレジットカードストレージにいいえ、または解雇されます。
    • 規則ルール。
  3. 全員
    • フィッシング/捕鯨/ソーシャルエンジニアリング、およびそれらの仕組みの説明。
    • 彼らの役割に関連するもの。お客様向けですか?カード会員データには一切触れないでください。
    • パスワード/アカウントを共有しないでください
    • 無許可のリソース(サーバー、仮想マシンなど)をセットアップしないでください。
  4. システム管理者
    • 適切な硬化手順
    • 脆弱なコンポーネントのアップグレードの緊急性
    • 彼らの環境に関連するもの。

また、以前には存在しなかった問題を見つけるたびに、常に更新してください。 everythingは取得できませんが、mostは取得できます。


新入社員向けセキュリティオリエンテーション

これは言うまでもありません。すべての採用担当者がセキュリティ志向であることを確認する必要があります。誰もが注目を浴びる時間が短いと想定した、わかりやすい学習パッケージを作成すると、2時間以上のセキュリティのビデオよりも、誰かが真剣に声を上げているよりもはるかに優れた成功を収めることができます。私もそのがらくたを見たくありません。


それらをクイズ

彼らが実際に彼らが学んでいることを理解しているかどうかを確認する必要があります。全員に毎年クイズを受けさせ、合格しなければ仕事を続けられない人は許可しないでください。

強化クイズ、および一般的な能力クイズも役立ちます。

ターゲットオーディエンスを知ることを忘れないでください。ターゲットユーザーが未熟なユーモアを好む場合は、クイズで使用してください。


セキュリティの問題を突き止め、それらを引き起こしている人々に立ち向かう

ハンターをお持ちですか?自分のネットワークのセキュリティ問題を見つけ出してもらい、これらの穴を担当するチームに詳細に説明してもらいます。彼らが間違ったことをすべて文書化し、それらに取り組み、修正する必要があることを伝えます。

修正または変更を拒否する場合は、上記のポリシーの施行を参照してください。

ユーザーがあなたに言うことを信じてはいけません。彼らが言っていることを常に確認してください。正直な人は、世界で一緒に働くのが最も簡単な人です。不誠実な人々は彼らが助けるよりもはるかに多くの問題を引き起こします。


要約

  1. ポリシーの施行
  2. 圧倒的なルールはありません。人々が仕事を終わらせるのを妨げないでください。
  3. 消化しやすく、理解しやすいものにします。 KISS本当にうまくいきます。
  4. 新入社員向けセキュリティ指向。
  5. それらをクイズします。
  6. セキュリティの問題を突き止め、それを作成した人に立ち向かいます。

時間とともに、人々は変化します。それは時には困難な戦いですが、戦う価値のあるものです。

13
Mark Buffalo

少し回り道をして、この部分が暗示する質問に答えます。

しかし、彼らは単に気にしない

@shroederの答えは、すでにあなたの側に管理者を置くことである出発点をカバーしています。そして、人々に安全を確保する方法を教えることは、教化を実行する方法について非常に良い見方ですが、私はそれを拡張します。会社の従業員がセキュリティをより意識するように動機を与える方法を尋ねましょう。

一般に、仕事の習慣の変化に関しては、3種類の人々に出会います。それぞれのタイプにインセンティブを提供することで、セキュリティの文化の実装が成功する可能性が高まります。あなたは遭遇するかもしれません:

  1. キャリアマン:ほとんどの場合、ミドルマネージャーまたはプロジェクトマネージャーによって表されます。彼らの焦点は彼らの能力を文書化することにあります、そしてあなたはそれを探求します。修了証明書を含む公式セッションで彼らにセキュリティトレーニングを提供します。

    証明書は、実際の知識という意味ではほとんど意味がありませんが、実際に証明書を配布するための試験を行うことができます。あなたは彼らに自分で勉強させることができます。

  2. オタク:技術スタッフ、運用スタッフ(会社によって異なります)、および多くの場合、キャリアを進化させようとしている他のスタッフメンバー。彼らの焦点は好奇心です。マニアには、マルウェアのデバッグやバッファオーバーフローの説明の例を示し、そこから実装するポリシーを拡張できます。好奇心の強い事実を伝え、会社のセキュリティに繰り返しリンクします。

  3. ドローン:変更したくない人もいます。彼らは単に彼らがする必要があることのすべての詳細を知らされたいと思っています、そしてそれ以上それ以上決してしないでください。それらは企業内のあらゆる場所およびレベルで見つけることができます。そして、ここには魔法のルールはありません。彼らがポリシーに準拠しない場合、彼らは結果に直面するようにする必要があります。多くの場合、他のドローンがそれらに適応することを確認するために、これらの結果を非常に冷酷に強制する必要があります。

5
grochmal

これは、他の部門と敵対的な関係を築く準備ができている場合、解決が難しい状況です。

この回答には、まったく混乱した仮定があります。これらは、私自身の経験に基づくいくつかの考えにすぎません。 YMMV。

文化の変化を推進することは困難であり、最も一般的には、セキュリティを異なる方法で扱うために、いくつかのグループを変更する必要があります。

  • セキュリティ部門:
    • セキュリティを確保するために、セキュリティをあまり気にしないようにする必要があります。
    • 情報に基づいた「許容可能なリスク」についての議論が必要になる場合があります。製品が優先される場合があります。
    • 「いいえ」の文化の提示をやめる。
    • 「基本的な」セキュリティコンプライアンスのテストを容易にします。 (たとえば、CI/CDパイプラインにセキュリティテストを組み込みます。)
  • 開発チーム:
    • 他のチームに、セキュリティをコア製品機能として前もって検討するよう説得する必要があります。
    • 継続的に検討する必要があります。セキュリティパッチのプラットフォーム/フレームワーク/プラグインのバージョンを評価するには、定期的に(スプリント、週、月など)事前に時間を割り当てる必要があります。比較的短い時間にしますが、すべてのスプリントが衛生のために事前に4人時間割り当てられることを確認してください。
  • システム/操作
    • あなたが彼らを助けるためにそこにいることを彼らに思い出させます。 (ニンジンがないと、スティックアンドキャロットは機能しません。)
    • セキュリティパッチの適用、コンプライアンスレポートを自動化するためにシステム(/)を使用します
    • それには時間がかかるので、できればヘッズアップなしのスラップダウン通知で驚かないように最善を尽くしてください。 Sys/Opsチームは、たとえば、セキュリティレビューレポートが経営陣に送られても、バスの下に投げ込まれることを認めません。
    • 運用監視にセキュリティテストを組み込むのを支援する
    • たとえば、証明書の有効期限が切れる前にオフになるhttpsモニターがあるかもしれませんが、弱い暗号の場合はほとんどありません。

最後に、 Ben HughesのDevOpsDaysMSP 2014の講演「Handmade Security at Etsy」 から得られる多くの洞察があります。

3
gWaldo

さて、他のものが機能しない場合にのみこれを試してください。警告されました。
これが、人間がハードウェアの障害で重要な何かを最初に失うまでデータのバックアップを取り始めないのと同じように、人間はそれを失うまで何かの重要性を認識しないことがよくあります。

防御した攻撃の数を表示しても効果がありません。彼らはあなたがどんな攻撃にも耐えることができることをさらに確実にします。必要なのは成功した攻撃です。または、少なくとも1つは成功したように見せます。

だから...休暇や何かで、あなたのネットワークが標的にされてそして侵害されたふりをします。 説得力のあるものにする。ネットワークドライブを1〜2時間オフラインにします。そして、すべてを回復できたが、攻撃は、誰かが重要な秘密の資格情報を身につけたままにしたか、自分のアカウントが公共のPCにログインしたために引き起こされたと言います。 これが機能しない場合、他には何もできません。私はかつてこれを私のチームに行いました、そして私を信じて、彼らは彼らの不注意をすべて失いました。彼らが何ヶ月も取り組んできたプロジェクトを失う可能性のあるショックは、彼らをセキュリティについて本当に真剣にした。

ただし、注意すべき点がいくつかあります。

  • 上司や上司はこの段階的な攻撃について知っておく必要があります。これが、将来の深刻な攻撃から組織を保護する唯一の方法であることを伝えます。 しかし、それらに伝えます。あなたは誰かに自分のパスワードに注意することの重要性を教えようとしたので、あなたは本当に解雇されたくありません。

  • あなたの同僚は、インシデント全体がステージングされたことに気づいた場合、うまく反応しない可能性があります。これを彼らに開示する前に考えてください。私のチームは、私がこれをした理由を理解しました。あなたはそうではないかもしれません。

これを先に進める前に、たくさんのことを考えてください。

2
undo

あなたが説明している問題は、麻薬や爆弾の盗聴犬にも当てはまります。

どんなに怒鳴ったり脅したりするかは関係ありません。麻薬や爆弾の匂いを嗅ぐ犬は、行っているすべての作業にもかかわらず探しているものが見つからなければ、すぐに興味を失う可能性があります。

だからこそ、トレーナーは犬をその活動に従事させ続けるために、偽のドラッグや爆弾を絶えず隠す必要があります。そしてはい、トレーナーは最初にトリートを使用して、何かを見つけることに関連し、報酬を強化しますが、最終的に犬を引き留めておくのは遊びの要素であり、犬が非常にありそうなものを探しているという考えです見つかった(見つかったオブジェクトが犬の興味を引くためにほとんどの場合偽造される必要がある場合でも)。

これが、会社が侵入テストとソーシャルエンジニアリング攻撃の定期的なレジメンを実装し、その後、関係者全員と定期的にその結果を確認する必要がある理由です。この種のものに代わるものはありません。

実際のところ、サーバーは常にポートスキャナーによって攻撃されている可能性がありますが、それは幹部や受付係には関係ありません。彼らが見る必要があるのは、彼らに影響を与える、または彼らが考えていない実際の攻撃であり、それを行う最善の方法は、慣れている環境で攻撃を試みることです。

これはまた、知覚されたより高いまたは同等の権威の誰かに直面または妨害するときの社会的なぎこちなさの負担を取り除きます。私の職場では、RFIDカードを使用して入室した後は、知らない人にはドアを開けないようにするという厳しい方針がありました。しかし、もちろん、大学のインターンと夜の管理人は、彼がそこで働いているように見える誰かの資格を決して要求しません。彼らがそのようなことをするためには、それが悪人/ギャルである実際の確率は実際には比較的話すのが非常に低いので、彼らはそれがテストまたはドリルである合理的な可能性があったと考える必要がありました。

そして、私が用務員やインターンを非難しているだけだとは思わないでください。彼らがあまりにナイスであったり、最も便利なソリューションを探しているからといって、プロトコルを破るのは彼らだけではありません。従業員、役員、その他多くの人が同じことをします。

2

シンプルさと一貫性

セキュリティポリシーは、人々が理解しやすいものである必要があります。多くの組織には、現実を反映せず、自己矛盾するポリシーがあり、人々は仕事をするために破る必要があります。解決策は、ポリシーをシンプルにし、ユーザーからのフィードバックを受け入れることです。

施行は一貫している必要があります。一部の人々がポリシーを破っても何も起こらない場合、これは他の人々を励ます。テクノロジーを使用して、可能な限りポリシーを実施します。セキュリティ制御は最後の手段として、個々のユーザーに依存します。また、情報の漏洩を防ぐ最善の方法は、そもそも情報を提供しないことです。

他の人たちは、従わない人々のための強制「スティック」が必要だと述べました。それは逆効果であり、人々が率直に話すことを思いとどまらせます。

分類

運用のどの部分が重要であるかを把握する必要があります。ビジネスのすべてがある程度重要ですが、いくつかのビットは「通常重要」であり、他のビットは「超重要」です。

非常に強力なコントロールが必要な超臨界ビット。そして、セキュリティと使いやすさのバランスをとるコントロールを備えた通常のビット。

企業のセキュリティの問題の多くは、これを実行できないことだと思います。セキュリティ部門は、会社全体を「超臨界」レベルまで働かせようとしますが、これは現実的ではありません。

1
paj28

なぜを示す

これにはすでに非常に良い答えがありますが、この小さな詳細に貢献することができます:

あなたの側のユーザーを得るには、それらを見せてください[〜#〜]なぜ[〜#〜]これらすべてのポリシー要件は不可欠です!

以下に、非常に基本的な例を示します。不正なパスワードをすばやく悪用する方法の例を示します。

1
G.Sch.

最大のセキュリティ問題は、実際にはユーザープールです。

セキュリティはユーザーの愚かさを無効にすることはできません(ランダムな電子メールで受信したスクリプトをクリックするなど)。

するべきこと:

  • 経営陣にリスクを提示する

  • 起こった悪いことの例を提示する

  • 対策計画の提示(テクニカル)

  • 全員に必須のルールを作成し、セキュリティポリシーを適用するように要求します(まだ作成していない場合は作成します)。

  • ルールを数回破ることが証明された人のために作成されるペナルティシステムを要求する

  • 経営陣にユーザーとのトレーニングを編成させる-これは最も重要です-トレーニングには、ユーザーのコンプライアンスによって防止できるより複雑なセキュリティ問題から、単純な何をしてはならないか(メールのリンクをクリックしないなど)まですべてを含める必要があります

1
Overmind