Las reglas básicas que siguen las grandes empresas no son muy diferentes de las reglas / recomendaciones de los estándares populares de seguridad informática (por ejemplo, ISO27k):
- Segregación de funciones: separación en la provisión de servicios, proceso de desarrollo o cualquier otra parte de los servicios de TI, por lo que diferentes personas son responsables de los diversos componentes / etapas de la prestación, desarrollo, aprovisionamiento, etc.
Por ejemplo, un equipo es responsable del hospedaje / aprovisionamiento de sistemas, otro equipo es responsable del desarrollo del producto, un tercer equipo es responsable del almacenamiento / bases de datos, etc.
En general, ninguna persona tiene acceso de manera que pueda comprometer todo el proceso. Sin embargo, esta medida por sí sola no es suficiente por razones obvias (no ayudó en el caso de Ed Snowden).
- Principio de privilegios mínimos: como ya mencionó, a cualquier empleado se le proporcionan las credenciales mínimas necesarias para que desempeñen sus funciones.
Esta es otra medida que, por sí sola, no ayudará a eliminar por completo el riesgo de que los ex empleados o empleados actuales pongan en peligro la integridad, la confidencialidad o la disponibilidad de la información (nuevamente, no ayudó en el caso de Ed Snowden).
-
Tenga un buen programa de administración de activos: sepa quién tiene acceso a qué. Tener una imagen clara y actualizada de quién tiene acceso a lo que puede ayudar en la siguiente etapa.
-
Ciclo de vida de la cuenta: tiene procesos implementados que se ejecutan cuando los empleados se van, asegurándose de que se revocan sus credenciales.
-
Encripta! Y tenga un sólido proceso de administración de claves.
-
Cuide la propiedad intelectual (IP), tanto como las patentes de software son discutibles, y los abogados no son las personas en las que me gustaría confiar, tener la propiedad intelectual de la empresa definitivamente ayuda (patentado, registrado o de lo contrario con derechos de autor).
-
Verificación de antecedentes. Las pequeñas empresas generalmente no pueden permitirse una verificación de antecedentes adecuada, pero las grandes definitivamente hacen su tarea en este departamento.
-
Ejecute un programa de prevención de fugas de datos (una combinación de soluciones, procedimientos y monitoreo).
Estos son solo algunos de los conceptos básicos que limitarían cualquier riesgo potencial de daño que un empleado (o ex empleado) pueda causar al usar su conocimiento interno. No se puede borrar lo que los empleados saben (por ejemplo, arquitectura del sistema, protocolos, etc.), sin embargo, las personas que normalmente tienen acceso a las llaves del castillo no están comenzando sus carreras, así que cualquier rasgo potencial que los haga menos que ... confiable aparecería durante algunos de sus ciclos de empleo anteriores, o durante su período de prueba.
Ninguna organización puede eliminar el riesgo por completo, pero seguir el enfoque de sentido común, combinado con el estricto cumplimiento de las normas de seguridad informática puede ahorrarle muchos problemas a largo plazo.
Con respecto a las medidas específicas dentro de las grandes corporaciones, cada una es un poco diferente, ya que existen diferencias sustanciales en su cultura, en su gobierno y en su apetito de riesgo general. No hay una bala de plata, y aún necesitan un buen proceso de gestión de incidentes para responder a lo que se han perdido :-)