Wondershare EdrawMind
Galleria mappe mentale OSG9 Capitolo 2 Concetti di Sicurezza del Personale e Gestione dei Rischi
- 6
OSG9 Capitolo 2 Concetti di Sicurezza del Personale e Gestione dei Rischi
Capitolo 2 Il concetto di sicurezza del personale e gestione del rischio. CISSP (Certificazione per Professionisti della Sicurezza dei Sistemi Informativi) è la certificazione professionale della sicurezza dei sistemi informativi. Questo certificato rappresenta la certificazione autorevole dei professionisti internazionali della sicurezza dei sistemi informativi.
Modificato alle 2023-07-14 11:25:48
- Breve storia del tempo
Questa è una mappa mentale su una breve storia del tempo. "Una breve storia del tempo" è un'opera scientifica popolare con un'influenza di vasta portata. Non solo introduce i concetti di base della cosmologia e della relatività, ma discute anche dei buchi neri e dell'espansione dell'universo. questioni scientifiche all’avanguardia come l’inflazione e la teoria delle stringhe.
- Il coraggio di essere odiato
Dopo aver letto "Il coraggio di essere antipatico", "Il coraggio di essere antipatico" è un libro filosofico che vale la pena leggere. Può aiutare le persone a comprendere meglio se stesse, a comprendere gli altri e a trovare modi per ottenere la vera felicità.
- Appunti di lettura di Il coraggio di non piacere.
"Il coraggio di essere antipatico" non solo analizza le cause profonde di vari problemi nella vita, ma fornisce anche contromisure corrispondenti per aiutare i lettori a comprendere meglio se stessi e le relazioni interpersonali e come applicare la teoria psicologica di Adler nella vita quotidiana.
OSG9 Capitolo 2 Concetti di Sicurezza del Personale e Gestione dei Rischi
- Breve storia del tempo
Questa è una mappa mentale su una breve storia del tempo. "Una breve storia del tempo" è un'opera scientifica popolare con un'influenza di vasta portata. Non solo introduce i concetti di base della cosmologia e della relatività, ma discute anche dei buchi neri e dell'espansione dell'universo. questioni scientifiche all’avanguardia come l’inflazione e la teoria delle stringhe.
- Il coraggio di essere odiato
Dopo aver letto "Il coraggio di essere antipatico", "Il coraggio di essere antipatico" è un libro filosofico che vale la pena leggere. Può aiutare le persone a comprendere meglio se stesse, a comprendere gli altri e a trovare modi per ottenere la vera felicità.
- Appunti di lettura di Il coraggio di non piacere.
"Il coraggio di essere antipatico" non solo analizza le cause profonde di vari problemi nella vita, ma fornisce anche contromisure corrispondenti per aiutare i lettori a comprendere meglio se stessi e le relazioni interpersonali e come applicare la teoria psicologica di Adler nella vita quotidiana.
- Consigliato per te
- Profilo
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
- 17
Capitolo 2 Concetti di Sicurezza del Personale e Gestione dei Rischi
2.1 Politiche e procedure di sicurezza del personale
2.1.1 Descrizione del lavoro e responsabilità
Le responsabilità lavorative (responsabilità Gob) si riferiscono alle attività lavorative specifiche che i dipendenti svolgono regolarmente.
Le descrizioni delle mansioni non sono specifiche del processo di reclutamento e dovrebbero essere mantenute per tutta la vita dell'organizzazione
2.1.2 Selezione e reclutamento dei candidati
Lo screening dei candidati per posizioni specifiche si basa sulla sensibilità e sui livelli di classificazione definiti dalla descrizione del lavoro
I controlli dei precedenti includono
Ottenere il background lavorativo e formativo del candidato
Controlla le referenze
Verificare i titoli accademici
Intervista ai colleghi
Controlla i registri della polizia e del governo riguardanti arresti o attività illegali
Verifica l'identità con l'impronta digitale, la patente di guida o il certificato di nascita
Esaminando le informazioni online sul social network di un individuo, è possibile ottenere rapidamente un quadro generale dell'atteggiamento, dell'intelligenza, della lealtà, del buon senso, della diligenza, dell'onestà, del rispetto, della coerenza e della conformità con le norme sociali e/o la cultura aziendale di un individuo.
Condurre colloqui con candidati di lavoro qualificati
Come reclutare dipendenti soddisfacenti, è necessario descrivere in dettaglio le responsabilità lavorative
2.1.3 Onboarding: contratto di lavoro e strategia
L'onboarding è il processo di aggiunta di nuovi dipendenti a un'organizzazione
Firmare il contratto di lavoro
Accordo di non divulgazione (NDA)
Patto di non concorrenza (NCD)
2.1.4 Supervisione dei dipendenti
I manager dovrebbero rivedere o verificare periodicamente la descrizione del lavoro, le mansioni lavorative, i privilegi e le responsabilità di ciascun dipendente durante tutto il rapporto di lavoro del dipendente
Analisi del comportamento degli utenti (UBA)
Analisi del comportamento degli utenti e delle entità (UEBA)
Le informazioni raccolte dal monitoraggio UBA/UEBA possono essere utilizzate per migliorare le politiche, le procedure, la formazione e i relativi programmi di supervisione della sicurezza del personale.
2.1.5 Procedure di dimissioni, trasferimento e licenziamento
L'offboarding è il processo opposto all'onboarding, ovvero quando un dipendente lascia l'azienda e la sua identità viene rimossa dal sistema IAM
Un processo di dimissioni completo: Ciò può includere la disabilitazione e/o l'eliminazione degli account utente, la revoca dei certificati, la revoca dei codici di accesso e la cessazione di altri privilegi specificatamente concessi. È prassi comune disabilitare l'account di un ex dipendente in modo che la sua identità venga conservata per diversi mesi a fini di controllo
Durante il processo di risoluzione, è importante avere una forte relazione tra il dipartimento di sicurezza e il dipartimento delle risorse umane (HR) per mantenere il controllo e ridurre al minimo i rischi.
La sicurezza delle dimissioni è importante
Costruire solide relazioni tra i dipartimenti delle risorse (HR) è importante per mantenere il controllo e ridurre al minimo i rischi.
Assicurarsi che i dipendenti abbiano restituito alle loro case tutte le attrezzature o le forniture aziendali dai loro veicoli.
Organizzare una guardia di sicurezza che accompagni il dipendente licenziato mentre raccoglie gli effetti personali nell'area di lavoro.
Avvisare tutto il personale di sicurezza, il personale di pattuglia o le persone che controllano gli ingressi e le uscite per garantire che gli ex dipendenti non possano rientrare nell'edificio senza scorta.
sottoargomento
Licenziato: Il tempismo è tutto
Il reparto IT ha chiesto la restituzione del portatile.
Disabilita account di rete
Disattivare i numeri di identificazione personale o le smart card agli ingressi dei luoghi di lavoro
Revocare il permesso di parcheggio
Distribuire il grafico della ristrutturazione aziendale
Colloca i nuovi dipendenti nei loro cubicoli o aree di lavoro.
Consentire la fuga di informazioni sul licenziamento ai media
2.1.6 Accordi e controlli con fornitori, consulenti e appaltatori
Un accordo sul livello di servizio (SLA) è un metodo per garantire che un'organizzazione che fornisce un servizio mantenga livelli di servizio adeguati sulla base di un accordo tra il fornitore di servizi, fornitore o appaltatore e l'organizzazione del cliente
Gli SLA e i controlli per fornitori, consulenti e appaltatori rappresentano una parte importante della riduzione ed eliminazione dei rischi
Vendor Management System (VMS): VMS è una soluzione software che assiste nella gestione e nell'approvvigionamento di servizi di personale, hardware, software e altri prodotti e servizi richiesti.
L'outsourcing è un termine che generalmente si riferisce all'utilizzo di una terza parte esterna, come un fornitore, un consulente o un appaltatore, piuttosto che eseguire compiti o operazioni internamente. L'outsourcing può essere un'opzione di risposta al rischio nota come rischio di trasferimento o assegnazione
2.1.7 Requisiti della politica di conformità
La conformità è l'atto di conformarsi o aderire a regole, politiche, regolamenti, standard o requisiti
La conformità è una forma amministrativa o gestionale di controllo di sicurezza
L'applicazione della conformità si riferisce alle sanzioni o alle conseguenze imposte per il mancato rispetto delle politiche, della formazione, delle migliori pratiche e/o delle normative
Anche la conformità è una questione normativa
2.1.8 Requisiti della politica sulla privacy
Alcune definizioni di privacy
Proteggere in modo proattivo dall'accesso non autorizzato alle informazioni di identificazione personale (ovvero, dati direttamente associati a un individuo o organizzazione), note come informazioni di identificazione personale (PII)
Impedire l'accesso non autorizzato a informazioni personali o riservate
Per evitare di essere osservati, monitorati o ispezionati senza consenso o conoscenza.
Informazioni di identificazione personale (PII)
numero di telefono
indirizzo di posta
numero di Social Security
Nome
IP e mac (in alcuni casi anche la Germania e gli stati membri dell'UE sono riconosciuti come PII)
Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) (Regolamento [UE] 2016/679)
Leggi e regolamenti sulla privacy degli Stati Uniti
Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA),
Legge Sarbanes-Oxley (SOX)
Legge sui diritti educativi e sulla privacy della famiglia (FERPA)
Legge sulla modernizzazione dei servizi finanziari
2.2 Comprendere e applicare i concetti di gestione del rischio
concetto
La gestione del rischio è un processo dettagliato
Identificare i fattori che potrebbero causare danni o perdite di risorse
Valutare questi fattori rispetto al valore patrimoniale e al costo dei controlli
Implementare soluzioni economicamente vantaggiose per mitigare il rischio
L’obiettivo principale della gestione del rischio è ridurre il rischio a un livello accettabile
I rischi per l’infrastruttura IT non riguardano solo i computer
INCIDENTE
disastro naturale
minacce finanziarie
disordini civili
Epidemie, minacce fisiche
utilizzo della tecnologia
ingegneria sociale ecc.
Due elementi fondamentali della gestione del rischio
Valutazione del rischio o analisi del rischio: si riferisce all'esame dei rischi nell'ambiente, alla valutazione della probabilità che si verifichi ogni evento di minaccia e alle perdite causate se si verifica effettivamente, e alla valutazione dei costi di ciascuno e delle misure di controllo del rischio.
Risposta al rischio: include l'utilizzo dell'analisi costi/benefici per valutare i controlli del rischio, le salvaguardie e i controlli di sicurezza, l'adeguamento dei risultati della valutazione in base ad altre condizioni, preoccupazioni, priorità e risorse e la formulazione di raccomandazioni in un rapporto per il piano di risposta del senior management.
La consapevolezza del rischio è il lavoro svolto per aumentare la consapevolezza dei rischi all'interno di un'organizzazione. La consapevolezza del rischio aiuta l'organizzazione a comprendere l'importanza del rispetto delle politiche di sicurezza e le conseguenze dei fallimenti della sicurezza.
tolleranza al rischio
2.2.1 Termini e concetti di rischio
Risorsa: una risorsa può essere qualsiasi cosa utilizzata in un processo o attività aziendale. L'obiettivo principale è proteggere le risorse ed essere economicamente vantaggioso.
Valutazione degli asset: la valutazione degli asset è il valore monetario assegnato a un asset in base a una serie di fattori, tra cui l'importanza per l'organizzazione, l'utilizzo nei processi chiave, i costi effettivi e le spese non monetarie come tempo, attenzione, produttività e ricerca e sviluppo, ecc. ).
Minaccia: qualsiasi evento potenziale che potrebbe verificarsi e causare conseguenze avverse o inaspettate a un'organizzazione o a una risorsa specifica è una minaccia
Agente/Agente di minaccia: un agente di minaccia o un attore di minaccia sfrutta intenzionalmente una vulnerabilità.
Incidenti di minaccia: gli incidenti di minaccia sono lo sfruttamento accidentale e intenzionale delle vulnerabilità
Vettore di minaccia: il vettore di minaccia o vettore di attacco si riferisce al percorso o ai mezzi utilizzati da un attacco o da un aggressore per accedere a un bersaglio al fine di causare danni. Quelli esterni non possono essere eliminati, poiché gli stessi hacker non possono controllarli.
Vulnerabilità: la vulnerabilità è una debolezza di un asset, una debolezza nelle salvaguardie o nei controlli, o una mancanza di salvaguardie o controlli/controlli, interni, e spesso crea una passività (tecnica o gestionale)
Esposizione: l'esposizione è la probabilità che una minaccia causi danni a una risorsa
Rischio: il rischio è la probabilità che una minaccia sfrutti una vulnerabilità per causare danni a una risorsa e la gravità del danno che potrebbe essere causato.
Rischio = Minaccia * Vulnerabilità
Rischio = probabilità del danno * gravità del danno
Rischio = probabilità * impatto
Salvaguardia: una salvaguardia, un controllo di sicurezza, un meccanismo di protezione o un controllo è tutto ciò che elimina o riduce una vulnerabilità o protegge da una o più minacce specifiche.
Attacco: un attacco si riferisce a un attore di minacce che tenta deliberatamente di sfruttare una vulnerabilità per causare danni, perdite o perdite di risorse.
Violazione: violazione, intrusione o penetrazione si verifica quando un meccanismo di sicurezza viene aggirato o bloccato da un attore della minaccia
2.2.2 Valutazione delle attività
L'analisi del rischio inizia con un inventario di tutte le risorse organizzative. Una volta completato l'inventario, ciascuna risorsa deve essere valutata.
Costo annuo delle misure di protezione < Perdita annua prevista di produzione
Metodi di valutazione del valore
costo di acquisto
Costi di sviluppo
Costi amministrativi o di gestione
costi di manutenzione o mantenimento
Costo di acquisizione del bene
Il costo per proteggere o mantenere un bene
Valore del proprietario e dell'utente
valore ai concorrenti
Proprietà intellettuale o valore azionario
Valutazione di mercato (prezzo sostenibile)
costo di sostituzione
Aumento o diminuzione della produttività
Costi operativi di inventario e perdite
Responsabilità per danni patrimoniali
Praticità
rapporti di ricerca e sviluppo
2.2.3 Identificare minacce e vulnerabilità
Una parte fondamentale della gestione del rischio è l’identificazione e l’esame delle minacce
Ciò comporta la creazione di un elenco quanto più esaustivo possibile delle minacce alle risorse identificate dell'organizzazione. L’elenco dovrebbe includere gli autori delle minacce nonché gli eventi di minaccia
Quando compili un elenco delle minacce, assicurati di considerare le minacce provenienti da una varietà di fonti.
Un elenco dettagliato e formale di esempi, concetti e classificazioni di minacce
NIST SP 800-30 Rev.I Appendice D "Fonti delle minacce" e Appendice E "Eventi delle minacce" in
Nella maggior parte dei casi, sarà un team a eseguire la valutazione e l’analisi del rischio
2.2.4 Valutazione/analisi del rischio
La valutazione/analisi del rischio è principalmente responsabilità del senior management
L’alta direzione è responsabile dell’avvio e del supporto dell’analisi e della valutazione dei rischi definendo l’ambito e gli obiettivi del lavoro
Il rischio è individuale, o almeno specifico dell'organizzazione, in base alle sue risorse, minacce, agenti di minaccia/soggetti di minaccia e alla loro tolleranza al rischio.
metodi di valutazione del rischio
Rischio quantitativo: l'analisi si basa su calcoli matematici che utilizzano valori monetari effettivi per calcolare le perdite patrimoniali
Rischio qualitativo: analizza il valore soggettivo e immateriale delle perdite patrimoniali e considera opinioni, sentimenti, intuizione, preferenze, pensieri e reazioni istintive, alto, medio, basso
L’obiettivo della valutazione del rischio è identificare i rischi (sulla base delle combinazioni asset-minaccia) e dare loro la priorità in base all’importanza
La combinazione di analisi quantitative e qualitative nel processo di valutazione del rischio finale di un'organizzazione è chiamata valutazione ibrida o analisi ibrida
Metodi di analisi qualitativa del rischio
Brainstorming
Storyboard
gruppo di discussione
indagine
Questionario
Lista di controllo
incontro individuale
colloquio
Scene
Uno scenario è una descrizione scritta di un'unica grave minaccia
Concentrati sulla descrizione di come si presentano le minacce e quale impatto possono avere sull'organizzazione, sull'infrastruttura IT e su risorse specifiche
Tecnologia Delphi
La tecnica Delphi è semplicemente un processo di feedback e risposta anonimo utilizzato per ottenere il consenso in modo anonimo in un gruppo.
L’obiettivo è ottenere un feedback onesto e imparziale da tutti i partecipanti.
Esperto, anonimo, giri multipli
Metodi di analisi quantitativa del rischio
L'analisi quantitativa del rischio può calcolare un indice di probabilità specifico o indicare numericamente la probabilità di un rischio associato.
Principali fasi dell'analisi quantitativa del rischio
Preparare un inventario delle risorse e assegnare un valore patrimoniale (AV) a ciascuna risorsa
Ricerca ciascuna risorsa ed elenca tutte le possibili minacce per ciascuna risorsa. Formare combinazioni risorsa-minaccia
Per ciascuna combinazione risorsa-minaccia, calcolare il fattore di esposizione (EF)
Per ciascuna combinazione asset-minaccia viene calcolata la singola aspettativa di perdita (SLE).
Eseguire un'analisi delle minacce e calcolare la probabilità effettiva che ciascuna minaccia si verifichi entro un anno, il tasso di occorrenza annualizzato (ARO)
Ottenere la perdita totale che ciascuna minaccia può comportare calcolando l'aspettativa di perdita annualizzata (ALE)
Ricerca i controlli per ciascuna minaccia e quindi calcola le modifiche in ARO, EF e ALE in base ai controlli in atto
Condurre un'analisi costi/benefici di ogni misura di protezione per ogni minaccia su ogni risorsa. Scegli le misure di protezione più adeguate per ciascuna minaccia
sottoargomento
Fattore di esposizione (EF): indica la percentuale di perdita che un'organizzazione subirebbe se si verificasse un rischio che causasse danni a una risorsa specifica dell'organizzazione.
Single Loss Expectation (SLE): è la perdita potenziale derivante da una singola minaccia reale ad un asset specifico.
SLE = Valore patrimoniale (AV) * Fattore di esposizione (EF)
SLE=AV*EF
Tasso annuale di occorrenza (ARO): è la frequenza prevista di occorrenza (ovvero l'avvenimento effettivo) di una minaccia o di un rischio specifico entro un anno.
Aspettativa di perdita annuale (ALE): è il possibile costo della perdita causato da tutti i casi di una singola minaccia specifica per un asset specifico che si verificano effettivamente durante l'anno.
ALE = Aspettativa di perdita singola (SLE) * Tasso di occorrenza annuale (ARO)
ALE=SLE*ARO
ALE = Valore patrimoniale (AV) * Fattore di esposizione (EF) * Tasso di occorrenza annuale (ARO)
ALE =AV* MI* ARO
Analisi quantitativa del rischio e analisi qualitativa del rischio
2.2.5 Risposta al rischio
Mitigazione, mitigazione, riduzione del rischio (mitigazione del rischio): ridurre il rischio o mitigare il rischio si riferisce all'implementazione di misure di protezione, controlli di sicurezza
Implementare misure di crittografia
firewall
Assegnazione del rischio: L'assegnazione o il trasferimento del rischio si riferisce al trasferimento delle perdite causate dai rischi a un'altra entità o organizzazione.
Acquista un'assicurazione sulla sicurezza informatica
esternalizzazione
Deterrenza del rischio: la deterrenza del rischio è il processo volto a scoraggiare potenziali trasgressori della sicurezza e delle politiche.
Condurre un audit
telecamera di sicurezza
striscione di avvertimento
Utilizzare personale di sicurezza
Evitare il rischio: l'evitamento del rischio è il processo di selezione di opzioni o attività alternative meno rischiose rispetto all'opzione predefinita, generica, conveniente o economica. Ad esempio, scegliere di volare verso la tua destinazione (piuttosto che guidare lì) è un modo per evitare rischi
Accettazione del rischio: l'accettazione del rischio o tolleranza al rischio è il risultato di un'analisi costi/benefici che mostra che il costo delle misure di controllo supererà le potenziali perdite causate dal rischio.
Rifiuto del rischio: una risposta a un rischio inaccettabile ma possibile è rifiutare o ignorare il rischio.
Rischio intrinseco (rischio iniziale/iniziale): è il livello di rischio naturale, nativo o predefinito esistente in un ambiente, sistema o prodotto prima che venga eseguita qualsiasi attività di gestione del rischio.
Esempio: i vigili del fuoco scoprono che i rischi di incendio sono maggiori rispetto al personale ordinario e alle decisioni sulla carriera
Rischio residuo: rischio che il management sceglie di accettare anziché mitigare.
Rischio totale: si riferisce al rischio totale affrontato dall'organizzazione senza implementare misure di protezione.
Minaccia * Vulnerabilità * Valore patrimoniale = Rischio totale
Gap di controllo: si riferisce al rischio ridotto implementando misure di protezione
Rischio totale – gap di controllo = rischio residuo
2.2.6 Costi e benefici del controllo di sicurezza
Per ciascuna combinazione risorsa-minaccia (ovvero rischio identificato), deve essere compilato un elenco delle misure di protezione possibili e disponibili.
Fattori che influenzano il costo annuale delle misure di protezione (ACS)
Costi di acquisto, sviluppo e licenza
Costo di implementazione e personalizzazione
Spese annuali di funzionamento, manutenzione, gestione e altre spese
Costo delle riparazioni e degli aggiornamenti annuali
Aumento o diminuzione della produttività
cambiamenti nell'ambiente
Costo del test e della valutazione
Formula di calcolo costi/benefici per misure di protezione specifiche contro rischi specifici per beni specifici
(ALE prima dell’attuazione delle misure di protezione – ALE dopo l’attuazione delle misure di protezione)-ACS
(ALEl -ALE2)-ACS
Varie formule relative all'analisi quantitativa del rischio
sottoargomento
2.2.7 Selezionare e implementare contromisure di sicurezza
I controlli di sicurezza, le contromisure di sicurezza e le misure di protezione possono essere amministrativi, logici/tecnici o fisici. Questi tre meccanismi di sicurezza dovrebbero essere implementati secondo un concetto stratificato e un approccio di difesa in profondità per fornire i massimi benefici (vedere Figura 2.4). Approccio su tre fronti
Controlli amministrativi: politiche e procedure specificate in conformità con la politica di sicurezza di un'organizzazione e altre normative o requisiti
Strategia
programma
Pratiche di reclutamento
controllo dei precedenti
Classificazione ed etichettatura dei dati
Sensibilizzazione alla sicurezza e sforzi di formazione
reporting e revisione
supervisione del lavoro
Controlli e test del personale
Controlli logici/tecnici: le misure includono meccanismi hardware o software che gestiscono l'accesso e forniscono sicurezza per le risorse e i sistemi IT.
Metodi di autenticazione (come password, smart card e dati biometrici). Tecnologia di identificazione
crittografia
Interfaccia limite
elenco di controllo degli accessi
protocollo
firewall
router
Sistema di rilevamento delle intrusioni (IDS)
livello di soglia
Controlli fisici: meccanismi di sicurezza progettati per proteggere strutture e oggetti del mondo reale
Guardia di sicurezza
recinzione
sensore di movimento
porta chiusa a chiave
finestra sigillata
lampada
Protezione del cavo
serratura del computer portatile
distintivo
Carta magnetica
cane da guardia
telecamera
Atrio di controllo accessi
Allarme
2.2.8 Tipi di controllo applicabili
Il "controllo di sicurezza" si riferisce all'esecuzione di vari compiti di controllo
Controlli preventivi: implementazione di controlli preventivi per contrastare o impedire in anticipo il verificarsi di attività involontarie o non autorizzate
Recinzioni, serrature, autenticazione, ingressi di controllo accessi, sistemi di allarme, separazione dei compiti, rotazione del lavoro, prevenzione della perdita di dati (DLP)
Test di penetrazione, metodi di controllo degli accessi, crittografia, auditing, politiche di sicurezza, formazione sulla sensibilizzazione alla sicurezza, software antivirus, firewall e sistemi di prevenzione delle intrusioni (IPS).
Controlli deterrenti: implementare preventivamente controlli deterrenti per prevenire violazioni delle policy di sicurezza
Politiche, formazione sulla sensibilizzazione alla sicurezza, serrature, recinzioni, segnaletica di sicurezza
Sicurezza, ingresso controllato e telecamere di sicurezza.
Controlli di rilevamento: distribuire controlli di rilevamento per rilevare o rilevare attività impreviste o non autorizzate,
Sicurezza, rilevatori di movimento, registrazione e revisione di eventi catturati da telecamere di sicurezza o CCTV
Rotazione del lavoro, congedo forzato, audit trail, honeypot o honeynet
Sistemi di rilevamento delle intrusioni (IDS), segnalazione di violazioni, monitoraggio e revisione degli utenti e indagini sugli incidenti.
Controlli compensativi: aiutano a migliorare e supportare le policy di sicurezza fornendo varie opzioni per altri controlli esistenti.
Ad esempio, se i controlli preventivi non riescono a impedire la cancellazione dei file comportamento, il controllo di compensazione come opzione di fallback può ripristinare il file.
Controlli correttivi: piccoli eventi che modificano l'ambiente per ripristinare il sistema a uno stato normale dal verificarsi di attività impreviste o non autorizzate. dopo
Ad esempio, terminando l'attività dannosa o riavviando il sistema
Backup dei dati, BCP, DRP
L'antivirus rileva la quarantena dei virus
Controllo riparativo: un'estensione del controllo correttivo, ma con capacità più avanzate e complesse, a posteriori
Esempi di controlli di ripristino includono backup e ripristino, sistemi di unità con tolleranza agli errori, immagini di sistema, cluster di server, software antivirus, immagini di database o macchine virtuali
Siti caldi, siti caldi, siti freddi, strutture di elaborazione di backup, agenzie di servizi, accordi di reciprocità, fornitori di servizi cloud, centri operativi mobili mobili e soluzioni multisito
Controllo delle istruzioni: utilizzato per guidare, limitare o controllare il comportamento dei soggetti per forzare o incoraggiare i soggetti a rispettare le politiche di sicurezza
Requisiti o standard di politica di sicurezza, avvisi emessi, istruzioni di sicurezza, segnali di uscita delle vie di fuga, monitoraggio, supervisione e procedure
2.2.9 Valutazione del controllo di sicurezza
Valutazione del controllo di sicurezza (SCA): una valutazione formale di vari meccanismi di un'infrastruttura di sicurezza basata su linee di base o aspettative di affidabilità.
Gli obiettivi della SCA sono garantire l'efficacia dei meccanismi di sicurezza, valutare la qualità e la completezza dei processi di gestione del rischio di un'organizzazione e generare report sui punti di forza e di debolezza dell'infrastruttura di sicurezza implementata.
Le agenzie federali implementano la SCA sulla base del NIST SP 800-53 Rev.5 “Controlli di sicurezza e privacy per sistemi informativi e organizzazioni”
La SCA è definita come un processo di governo
2.2.10 Monitoraggio e misurazione
I benefici forniti dai controlli di sicurezza dovrebbero essere monitorabili e misurabili
2.2.11 Reporting e documentazione sui rischi
Reporting sui rischi: include la preparazione di un report sui rischi e la presentazione del report alle parti interessate
Registro dei rischi o registro dei rischi: è un documento di inventario dei rischi che elenca tutti i rischi identificati all'interno di un'organizzazione o sistema o all'interno di un singolo progetto
Rischi identificati
Valutare la gravità di questi rischi e dare loro la priorità
Sviluppare risposte per ridurre o eliminare i rischi
Tieni traccia dei progressi nella mitigazione del rischio
Matrice del rischio o mappa termica del rischio: è una forma di valutazione del rischio eseguita su un grafico o diagramma di base. A volte viene chiamata valutazione qualitativa del rischio
Punti di prova: quali sono le parti interessate e il pubblico da considerare?
Punti di prova: considerare il contenuto del report, le misure di miglioramento o i suggerimenti di miglioramento
2.2.12 Miglioramento continuo
La sicurezza è in continua evoluzione. Pertanto, qualsiasi soluzione di sicurezza implementata dovrà essere aggiornata nel tempo.
Valutare i programmi di gestione del rischio aziendale (ERM) utilizzando il modello di maturità del rischio (RMM)
Livello RMM
Livello iniziale (ad hoc): lo stato caotico in cui tutte le organizzazioni iniziano la gestione del rischio.
Preliminare: un tentativo iniziale di conformarsi al processo di gestione del rischio, ma la valutazione del rischio eseguita da ciascun dipartimento può variare
Definito: adottare un quadro di rischio comune o standardizzato in tutta l'organizzazione
Livello integrato: le operazioni di gestione del rischio sono integrate nei processi aziendali, vengono raccolti dati sugli indicatori di efficacia e il rischio è considerato un elemento nelle decisioni strategiche aziendali.
Ottimizzato: la gestione del rischio si concentra sul raggiungimento degli obiettivi anziché limitarsi a rispondere alle minacce esterne; aumenta la pianificazione strategica per il successo aziendale anziché limitarsi a evitare gli incidenti e integra le lezioni apprese nel processo di gestione del rischio
Rischi legati alle apparecchiature legacy
Fine vita (EOL): si riferisce al momento in cui il produttore non produce più il prodotto.
End-of-service life (EOSL): si riferisce a sistemi che non possono più ricevere aggiornamenti e supporto dal fornitore
2.2.13 Quadro dei rischi
Un quadro di rischio è una guida o una metodologia su come valutare, affrontare e monitorare i rischi
quadro di gestione del rischio (RMF)
Le agenzie federali stabiliscono requisiti obbligatori
È definito nel NIST SP 800-37 Rev.2, il quadro di rischio primario a cui fa riferimento l'esame.
Ci sono sei fasi del ciclo in RMF
Prepararsi a eseguire RMF da una prospettiva organizzativa e a livello di sistema stabilendo il contesto e le priorità per la gestione dei rischi per la sicurezza e la privacy
Classificazione Classifica i sistemi e le informazioni che elaborano, archiviano e trasmettono sulla base di un'analisi dell'impatto della perdita
Selezionare una serie iniziale di controlli per il sistema e personalizzare i controlli secondo necessità per ridurre il rischio a un livello accettabile in base alla valutazione del rischio
Implementare Implementare il controllo e descrivere come verrà utilizzato all'interno del sistema e del suo ambiente operativo.
Valutazione Valutare i controlli per determinare se i controlli sono implementati correttamente, funzionano come previsto e producono i risultati attesi che soddisfano i requisiti di sicurezza e privacy
Autorizzazione Autorizza sistemi o controlli comuni sulla base della determinazione che i rischi per le operazioni e i beni dell'organizzazione, gli individui, altre organizzazioni e i paesi sono accettabili
Monitoraggio Monitorare continuamente i sistemi e i relativi controlli, inclusa la valutazione dell'efficacia dei controlli, la documentazione delle modifiche al sistema e all'ambiente operativo, la conduzione di valutazioni dei rischi e analisi di impatto e la rendicontazione sullo stato di sicurezza e privacy del sistema.
Modellazione delle minacce in fase di progettazione, sicurezza fin dalla progettazione
Quadro di sicurezza informatica (QSC)
Infrastrutture critiche e organizzazioni aziendali
Cinque componenti funzionali
identificare
Proteggere
Rilevamento
risposta
recuperare
Documento ISO/IEC 31000 "Gestione dei rischi - Guida".
qualsiasi organizzazione
Documento guida - ISO/IEC31004 "Gestione del rischio - Attuazione della norma ISO 31000" 61 Implementation Guide” e ISO/IEC27005 “Information Technology – Security Technology – Information Security Risk Management”
Altri quadri
COSO Enterprise Risk Management – Framework integrato della Treadway Commission
Il quadro dei rischi IT dell’ISACA
Valutazione delle minacce, delle risorse e delle vulnerabilità operativamente critiche (Valutazione delle minacce, delle risorse e delle vulnerabilità operativamente critiche) Valutazione della vulnerabilità, OCTAVE)
Analisi Fattoriale del Rischio Informativo (FAIR)
Valutazione del rischio degli agenti di minaccia (TARA)
2.3 Ingegneria sociale
L’ingegneria sociale è una forma di attacco che sfrutta la natura umana e il comportamento umano
Gli attacchi di ingegneria sociale si presentano in due forme principali
persuadere qualcuno a compiere un'azione non autorizzata
Convincere qualcuno a rivelare informazioni riservate.
Modi per difendersi dagli attacchi di ingegneria sociale
Istruire il personale sugli attacchi di ingegneria sociale e su come riconoscere le firme di attacco comuni.
L'autenticazione è richiesta quando si eseguono attività per le persone al telefono.
Definisce informazioni riservate che non devono mai essere comunicate tramite comunicazioni di solo testo come telefonate o e-mail standard.
Verificare sempre le credenziali del personale di manutenzione e verificare che una persona autorizzata abbia effettuato l'effettiva chiamata di servizio.
Non seguire mai le istruzioni contenute in un'e-mail senza verificare le informazioni con almeno due fonti indipendenti e affidabili
Presta attenzione quando tratti con qualcuno che non conosci o che non ti conosce, di persona, al telefono o su Internet/online
La misura più importante per difendersi dagli attacchi di ingegneria sociale è l’educazione e la sensibilizzazione degli utenti
2.3.1 Principi di ingegneria sociale
Autorità: è una tecnica efficace perché è probabile che la maggior parte delle persone risponda in modo sottomesso all'autorità. La chiave è convincere l'obiettivo che l'aggressore è qualcuno con autorizzazioni interne o esterne valide
Intimidazione: a volte può essere vista come un derivato del principio di autorità. L'intimidazione utilizza l'autorità, la fiducia o anche la minaccia di danno per spingere qualcuno a eseguire un ordine o un'istruzione
Consenso: o prova sociale è l'atto di attingere alle tendenze naturali di una persona. Le persone tendono a imitare ciò che gli altri stanno facendo o hanno fatto in passato
Scarsità: è una tecnica utilizzata per far stimare a qualcuno che un oggetto abbia un valore maggiore a causa della sua scarsità. Ciò potrebbe riguardare prodotti realizzati solo in piccole quantità o con opportunità limitate, oppure potrebbe essere correlato ai pochi prodotti che rimangono dopo che la maggior parte dell'inventario è stata venduta.
Familiarità: o simpatia è un principio di ingegneria sociale che tenta di sfruttare la fiducia intrinseca di una persona nelle cose familiari.
Fiducia: secondo questo principio di ingegneria sociale, l’aggressore cerca di costruire una relazione con la vittima.
Urgenza: spesso associata alla scarsità, poiché la scarsità rappresenta un rischio maggiore di perdere qualcosa, quindi aumenta la necessità di agire rapidamente.
2.3.2 Ottenere informazioni
L'acquisizione di informazioni è l'attività di raccolta o aggregazione di informazioni da sistemi o persone.
2.3.3 Preposizioni
Una preposizione è un termine, un'espressione o una frase aggiunta all'inizio o al titolo di altre comunicazioni. Le preposizioni vengono spesso utilizzate per perfezionare ulteriormente o creare un pretesto per attacchi ingegnerizzati, come spam, hoax e phishing
2.3.4 Phishing
Il phishing è una forma di attacco ingegneristico incentrato sul furto di credenziali o identità da qualsiasi potenziale bersaglio.
Download guidati: quando gli utenti visitano un sito Web, il malware viene installato a loro insaputa. I download drive-by sfruttano le vulnerabilità dei browser o dei plug-in
Misure difensive contro il phishing
Fai attenzione alle e-mail inaspettate o alle e-mail provenienti da mittenti sconosciuti
Non aprire allegati e-mail inaspettati.
Non condividere mai informazioni sensibili via e-mail
Evita di fare clic sui collegamenti ricevuti nelle e-mail, nei messaggi istantanei o nei messaggi dei social network.
2.3.5 Spear Phishing
Lo spear phishing è una forma di phishing più mirata, in cui i messaggi vengono creati appositamente per prendere di mira un gruppo specifico di utenti
Proteggiti dallo spear phishing
Etichettare informazioni, dati e risorse con valore, importanza o sensibilità.
Formare il personale per gestire correttamente le risorse correlate in base ai tag.
Chiedere chiarimenti o conferma di qualsiasi comportamento che sembri insolito, si discosti dal processo o comporti rischi eccessivi per l'organizzazione.
2.3.6 Phishing
Il Whaling è una variante dello spear phishing che prende di mira specifici individui di alto valore (per titolo, settore, resoconti dei media, ecc.) come amministratori delegati e altri dirigenti di livello C. Manager, amministratori o clienti con un patrimonio netto elevato
2.3.7 Phishing via SMS
Il phishing o smishing SMS (Short Message Service) è un attacco di ingegneria sociale che si verifica su o attraverso servizi di messaggistica di testo standard
2.3.8 Phishing vocale
Il Vishing (ovvero il phishing vocale) o SplT (Spam telefonico su Internet) è un phishing condotto tramite qualsiasi sistema telefonico o di comunicazione vocale.
Modo
linee telefoniche tradizionali
Servizi Voce su IP (VOIP).
cellulare.
2.3.9 Spam
Lo spam è qualsiasi tipo di email indesiderata e/o non richiesta
2.3.10 Visualizzazione della spalla
Lo spallamento è un tipo di attacco di ingegneria sociale che in genere si verifica nel mondo reale o faccia a faccia.
Lo spallamento avviene quando qualcuno è in grado di vedere la tastiera o il monitor di un utente.
2.3.11 Frode in fatture
Una truffa sulle fatture è un attacco di ingegneria sociale che in genere comporta la fornitura di una fattura falsa e quindi la sollecitazione al pagamento nel tentativo di rubare fondi a un'organizzazione o a un individuo.
2.3.12 Scherzo
Una bufala è una forma di ingegneria sociale progettata per indurre un target a eseguire azioni che causeranno problemi o comprometteranno la sua sicurezza IT.
2.3.13 Contraffazione e dissimulazione
L'impersonificazione è l'atto di assumere l'identità di qualcun altro
È possibile accedere tramite personale, telefono, e-mail o conto della persona o attraverso qualsiasi altro mezzo di comunicazione. L'impersonificazione può anche essere definita travestimento, inganno o addirittura frode d'identità
2.3.14 Trailing e piggybacking
Il pedinamento si verifica quando un'entità non autorizzata utilizza l'autorizzazione di un dipendente legittimo per entrare in una struttura all'insaputa del dipendente.
Un problema simile al pedinamento è il piggybacking. Il piggybacking si verifica quando un'entità non autorizzata ottiene il consenso della vittima attraverso l'inganno ed entra in una struttura con l'autorizzazione del personale legittimo
Le esche si verificano quando gli aggressori posizionano unità USB, dischi o persino portafogli in luoghi in cui i dipendenti potrebbero incontrarli.
Disponibili doppie porte per evitare
2.3.15 Ricerca nel cestino
L'immersione nei cassonetti è l'atto di scavare tra rifiuti, attrezzature abbandonate o siti abbandonati per ottenere informazioni su un'organizzazione o un individuo target
Le raccolte tipiche includono vecchi calendari, fogli di chiamate, verbali di riunioni scritti a mano, moduli di scarto, scatole di prodotti, manuali utente, post-it, rapporti stampati o fogli di prova della stampante.
2.3.16 Frode d'identità
Il furto d'identità e la frode d'identità si riferiscono a tutti i tipi di reati che comportano l'ottenimento e l'utilizzo illegale dei dati personali di un'altra persona in modo fraudolento o ingannevole, solitamente a scopo di lucro
Frode: chiamare vero qualcosa di falso. La frode d'identità avviene quando affermi falsamente di essere qualcun altro utilizzando le informazioni rubate alla vittima
Utilizzare il numero di previdenza sociale di qualcun altro per motivi di lavoro
Utilizzare il nome altrui per aprire servizi telefonici o strutture pubbliche
Utilizzare l’assicurazione sanitaria di qualcun altro per ottenere assistenza medica
Inganno: si riferisce a qualsiasi atto volto a nascondere un'identità valida, Questa operazione viene solitamente eseguita utilizzando un'altra identità.
Gli hacker spesso falsificano indirizzi e-mail, indirizzi IP, indirizzi MAC (Media Access Control) e indirizzi Analizza comunicazioni con protocollo (A Yangxun), reti Wi-Fi, siti Web, applicazioni mobili, ecc.
2.3.17 Nome di dominio smarrito
Il Typo squatting è la pratica di acquisire e reindirizzare il traffico quando un utente inserisce erroneamente il nome di dominio o l'indirizzo 1P di una risorsa di destinazione.
Ortografia errata del nome di dominio
Dirottamento dell'URL
2.3.18 Movimenti di influenza
Una campagna di influenza è un attacco di ingegneria sociale che tenta di guidare, modellare o cambiare l’opinione pubblica. Gli hacker possono lanciare tali attacchi contro individui o organizzazioni, ma la maggior parte delle campagne di influenza sembrano essere lanciate dagli stati-nazione contro i loro nemici esterni, reali o percepiti.
guerra ibrida
Integrare la strategia militare tradizionale con capacità moderne, tra cui ingegneria sociale, campagne di influenza digitale, guerra psicologica, tattiche politiche e capacità di guerra informatica. Questa si chiama guerra ibrida
mezzi di comunicazione sociale
I social media sono diventati un’arma nelle mani degli stati-nazione mentre intraprendono una guerra ibrida contro i loro obiettivi
Il modo più efficace per prevenire il lavoro sociale è la formazione sulla consapevolezza della sicurezza
2.4 Stabilire e mantenere programmi di sensibilizzazione, istruzione e formazione sulla sicurezza
Per implementare con successo soluzioni di sicurezza è necessario modificare il comportamento degli utenti. Questi cambiamenti includono principalmente cambiamenti nelle attività lavorative di routine per conformarsi agli standard, alle linee guida e alle procedure stabilite nella politica di sicurezza.
2.4.1 Consapevolezza della sicurezza
Un prerequisito per implementare la formazione sulla sicurezza è stabilire la consapevolezza della sicurezza. L’obiettivo della sensibilizzazione alla sicurezza è convincere gli utenti a mettere la sicurezza al primo posto e a riconoscerlo
Tutto il personale deve essere pienamente consapevole delle proprie responsabilità e dei propri obblighi in materia di sicurezza. Sono addestrati a sapere cosa fare e cosa non fare.
2.4.2 Formazione
La formazione si riferisce all'insegnamento ai dipendenti di svolgere le proprie attività lavorative e di seguire le politiche di sicurezza. La formazione è solitamente organizzata dall'organizzazione ed è mirata a gruppi di dipendenti con funzioni lavorative simili.
2.4.3 Istruzione
L'istruzione è un lavoro più dettagliato in cui gli studenti/utenti imparano molto più di quanto abbiano effettivamente bisogno di sapere per completare le loro attività lavorative
2.4.4 Miglioramenti
Cambiare il focus degli obiettivi formativi. A volte l'attenzione è rivolta all'individuo, a volte al cliente, a volte all'organizzazione.
Modificare l'ordine o il focus degli argomenti di formazione. Puoi concentrare una formazione sull'ingegneria sociale, la successiva sulla sicurezza mobile e la successiva sulla sicurezza domestica e in viaggio.
Utilizzare una varietà di metodi di presentazione, come presentazioni dal vivo, video preregistrati, software per computer/software di simulazione, esperienze di realtà virtuale (VR), formazione fuori sede, siti Web interattivi o letture assegnate da corsi preparati o libri già pronti
Attraverso il gioco di ruolo, i partecipanti interpretano attaccanti e difensori e diverse persone possono fornire idee relative alla difesa o alla risposta a un attacco.
2.4.5 Valutazione dell'efficacia
È importante che tutti i materiali formativi siano sottoposti a revisioni regolari dei contenuti. Le revisioni aiutano a garantire che i materiali di formazione e le presentazioni siano in linea con gli obiettivi aziendali, la missione dell'organizzazione e gli obiettivi di sicurezza
Il modo più efficace per rilevare e valutare il servizio sociale
La formazione richiede la partecipazione di tutti