Utfør en fysisk sikkerhetsgapanalyse

Når vi snakker om informasjonssikkerhet, fokuserer vi generelt på tekniske eller administrative kontroller. Faktisk skiller de fleste organisasjoner fysisk sikkerhet fra IT-sikkerhetsteamet, noe som gjør det til andres problem. Dette er greit inntil et brudd oppstår på grunn av svake eller ikke-eksisterende fysiske sikkerhetskontroller.

Utførelse av en fysisk sikkerhetsgapanalyse bør være en del av hver enkelt informasjonssikkerhetssjefers agenda, selv om noen andre har overordnet kontroll over låser og gjerder.

Hvorfor fysisk sikkerhet er viktig

"Offisielt" fysisk sikkerhet inkluderer branndemperingssystemer, alternative strømkilder og sikkerhetskopieringer. Imidlertid legger jeg dem til side og fokuserer i stedet på gjerder, låser og støtter kontroller som forsinker en menneskelig angriperes fremgang mot et mål. I denne sammenhengen er formålet med en fysisk sikkerhetsgapanalyse å bestemme om kontrollene på plass er tilstrekkelige til å:

  1. Forsink en inntrenger
  2. Oppdage en inntrenger
  3. Resultat i frykt for en inntrenger

Uten disse kontrollene, trenger ikke en kriminell bryte gjennom en brannmur eller innbruddsforebyggende system for å komme til dataene dine. Han eller hun trenger bare å gå opp til et skrivebord eller en server og hjelpe seg selv. Og ingen av de tekniske eller administrative kontrollene du har på plass, vil stoppe en dyktig angriper med fysisk tilgang til systemene dine. (Se Åpne døren? Spill over .)

Fysisk sikkerhetskontroll

Igjen er målet med fysisk sikkerhet å utsette og oppdage en inntrenger slik at inngrep fra sikkerhetsvakter eller rettshåndhevelse er mulig. Hvilke kontroller du bruker er avhengig av:

  • Målets følsomhet
  • Enten du har sikkerhetsvakter på stedet
  • Nærhet til rettshåndhevelse og beslektet responstid
Figur A er en modell for å distribuere fysisk sikkerhet for et svært følsomt mål. Selv om de fleste av oss ikke trenger dette nivået av fysisk beskyttelse, hjelper følgende diskusjon om grafikken til å demonstrere de mulige trinnene du kan ta.

Figur A

La oss gå gjennom vurderingsfasen for et mulig brudd fra Henry Hacker for formålet med denne diskusjonen. Når Henry nærmer seg eiendomslinjen, ser han et åtte fot gjerde toppet med piggtråd. Dette kan være nok til å holde en tilfeldig angriper utenfor, men Henry har tusenvis av dollar som venter på ham når han leverer dataene i målbygningen. Trådkutterne i verktøysettet hans vil ta seg av kjedeleddet.

Men Henry kan ikke bare begynne å hacke gjennom gjerdet. Sikkerhetsbelysning rundt eiendommens omkrets gir tilstrekkelig belysning for at de eksterne sikkerhetskameraene kan hente noe uvanlig som skjer utenfor eller på gjerdet. Så det kan ikke være noe problem hvis Henry kan drepe et lys.

En nærmere undersøkelse av området mellom gjerdet og bygningen får Henry til å ytre eksplosiver som ikke er beregnet på blandet selskap. Målorganisasjonen har installert bevegelsessensorer for å oppdage alle som lykkes med å bryte gjerdet. Henry har beseiret disse i det siste, men det vil gi flere minutter til angrepet hans. Så langt må han beseire belysning, gjerde og bevegelsessensorer før han kommer til inngangsdøren.

Henry pakker sammen notatene sine med observasjonene og drar hjemover. Neste trinn er å se hvordan sikkerhet ser ut i bygningen. Så langt tror han at han kan klare det så langt som inngangsdøren, men han trenger å vite om målets hendelsesrespons og interne kontroller.

Henry avtaler med sikkerhetssjefen og besøker målet neste morgen. Han representerer seg som sikkerhetsdirektør interessert i å få noen ideer om hvordan han kan sikre sitt eget anlegg. Hans sosiale ingeniørarbeid er vellykket, og spiller på egoet til målets sikkerhetssjef, Ted.

Ted forklarer stolt hvordan målsystemene er beskyttet. Det er ingen uhindrede vinduer i bygningen. Videre er den eneste porten og den eneste døren inn i anlegget alltid låst. En sikkerhetsvakt som er plassert i bygningen kontrollerer tilgangen til alle som ikke har et nøkkelkort. Før en kommer inn i rommet som inneholder målet, må en person vise identifikasjonen av sikkerhetsvakten som sammenlignes med en tilgangsliste. Hvis besøkende er på tilgangslisten, får han eller hun lov til å komme inn i målrommet når vakten øyeblikkelig deaktiverer den elektroniske låsen som sikrer døren.

All aktivitet i bygningen registreres av menneskekontrollerte videokameraer, og utdataene sendes kontinuerlig til et depot. Videre, når en inntrenger blir oppdaget, aktiveres en hendelsesresponsprosess. Den dokumenterte svarplanen inkluderer å låse anlegget, varsle politiet og plassere interne vakter på viktige steder. Ted forklarer at han jevnlig praktiserer denne prosessen sammen med teamet sitt og lokale rettshåndhevelser. Responstidene er veldig, veldig korte.

Hjemme på vei gjennomgår Henry kontrollene som er implementert av målorganisasjonen. Basert på analysen bestemmer Henry at han ikke kan klare det gjennom de forskjellige barrierer og komme seg ut igjen før han blir arrestert. Hans eneste alternativ er å prøve en sosialteknisk tilnærming mens han håper en av sikkerhetsvaktene er åpen for litt forhandling ...

Beskytte organisasjonen din

Beskyttelsen Henry møtte er ikke typisk. De fleste virksomheter trenger ikke eller har råd til den typen fysisk beskyttelse av informasjonsmidler. Følgende prinsipper gjelder uansett hvilken tilnærming du bruker:

  1. Bruk barrierer (dvs. gjerder, vegger, låser osv.) For å motvirke et angrep eller for å forsinke inntrengerne. Forsikre deg om at forsinkelsestiden er lengre enn responstiden.
  2. Implementere deteksjonskontroller for å identifisere en inntrenging så raskt som mulig.
  3. Planlegg, dokumenter og praktiser en prosess for innbruddssvar. Praksis er kritisk. Hvert sekund som brukes på å prøve å bestemme hva du skal gjøre, kutter i forsinkelsestiden din, og flytter fordelen til inntrengeren.

En fysisk sikkerhetsgapanalyse må ta hensyn til risiko og organisasjonens appetitt på risiko. Imidlertid bør enhver virksomhet med informasjon klassifisert større enn "offentlig" regelmessig vurdere dens evne til å forhindre fysisk tilgang til kritiske systemer og nettverkskomponenter.

© Copyright 2020 | mobilegn.com