华盛顿 - 可能没有单一的解决方案,以防范在企业内部内部威胁的复杂挑战,但IT领导者可以帮助他们与穿上谁可以访问数据,什么样的限制审慎的政策原因,并努力提升的意识整个组织的安全问题。
因此,认为迈克尔·登特,费尔法克斯县,弗吉尼亚州,谁在对内部威胁的小组讨论在由赛门铁克托管最近的政府IT会议上发言与其他安全专家一起的首席信息安全官。
什么构成内部威胁?
作为一个起点,登特认为,企业必须扩大他们的是什么构成了内部威胁,承认在典型的企业访问敏感系统和信息运行大大超出内部员工的理解。
“上述内部威胁来自于很多不同的方式真的是有没有神奇的答案,我想,任何人,”他说。“人们需要明白,内部威胁的不只是你的员工他们也都是你的承包商,你的供应商 - 您的志愿者,潜在的 - 那进来,为你工作”
[相关:如何提高对内部威胁的意识]
在像访问和身份验证方面的技术措施方面,赛门铁克首席信息官希拉·乔丹总结了面板粗糙的共识:“我要说的是,我们有很长的路要走,但我们种还有很长的路要走。”
小组成员指出,当威胁来自内部时,传统的防线如防火墙和入侵检测将不起作用。“内部威胁不会因此而停止,”印度电信首席技术官普雷姆•贾德瓦尼(Prem Jadhwani)表示政府收购,增值分销商专注于政府IT空间。
安全性是数据问题
但是,“内部威胁”一词通常让人联想到一个流氓雇员故意从防火墙内部窃取数据或传播恶意软件,根据Jordan的说法,制定相应的政策来对付这些类型的恶意行动者“相对容易”。
她相信,更很难发展一个合适的框架,用于访问和权限,罢工之间的平衡强有力的安全协议和日益流体工作场所,越来越多的员工——没有恶意的意图——预计能够远程工作和各种设备。
这主张更慎重考虑的方法到各种类型的数据和应用程序都装了,什么级别的访问权限应给予雇员和供应商。
“在一天结束时,安全性确实是一个数据问题,”乔丹说。
在华盛顿郊区费尔法克斯县,政府经历了一次可能属于内部威胁的数据泄露,尽管登特解释说,这不是个人的意图,而是一个可以通过政策和培训来解决的问题。
“我们有一个供应商参加郡一个USB的数据,非常无辜,他以为他是做一些捷径和帮助县,他最终暴露一些县的数据在两年内从他的公司,在一个不安全的文件共享”削弱回忆说。
发送该县争先恐后地减轻了曝光,包括通知员工和公民,其信息可能已经泄露。
今天,邓特的“最小特权”的系统上运行的组织,严格限制访问基于工作职能和责任的某些数据资产。这包括特别是严格控制禁止以工业控制SCADA系统的远程访问,他说。
费尔法克斯县还对违反该组织数据访问规定的违法者实施了严厉的政策。登特解释说,如果是初犯,雇员会接受培训。第二次,它将触发一个干预的人力资源部门,第三个违反是终止的理由。
但除了访问限制,登特已采取的做法,旨在扩大不仅仅是IT部门对数据安全的责任。
“我把对数据拥有者的责任了。我们在这里面,我们的数据管理员,但数据所有者,他们是谁负责真正的数据以及它如何保护,那些”他解释说。
“它是惊人的,当你把这些数据所有者风险回来了,当他们要求的例外情况,您的策略,使他们可以发送一个生产数据库的副本出来给供应商做一些编程或一些配置,在您启动周围,你问他们,'好吧,什么数据?”登特说。“然后,他们开始思考它。然后,他们会回来的,他们中的大多数,他们会调整他们的要求还是蛮多,他们要求他们的请求无法完成,而我们最终使厂商在安全的。”
这种方法与网消息约旦和其他人被发扬- 任何有效的安全框架必须涉及整个企业,赢得买入的高层领导和组织的各项业务。
“安全不是一个IT问题,它不只是一个CISO的问题。这是每一个人的事,”乔丹说。
“安全不是一个事件,”她补充道。“你必须将它嵌入到组织的整体DNA。”
这个故事,“内部威胁力量平衡安全和访问”最初发表CIO 。