¿Cuáles son los propósitos de estas políticas de seguridad?

37

Trabajo en un laboratorio de IBM y hay algunas políticas de seguridad de las que no entiendo. Cuando pregunto por qué los hacemos, mi jefe simplemente dice que es una política y evita responder a la pregunta.

  1. Debemos mantener los cajones vacíos cerrados
  2. Cuando salgamos del trabajo, debemos bloquear los medios grabables
  3. Debemos bloquear cualquier nota y borrar las pizarras blancas. No entiendo esto porque alguien durante el día podría simplemente pasar y ver algo que no debería.
  4. En las reuniones, si queremos tomar notas, los cuadernos deben ser negros y tener cubiertas duras.
  5. La información de salud es confidencial al extremo, por ejemplo, incluso si el jefe de una persona está enferma, no puede otorgarle ninguna ETA a su regreso y ni siquiera puede responder "¿está mejorando?"

Realmente me sentiría mejor si hubiera alguna razón, incluso si no estoy necesariamente de acuerdo con ellos. Cualquier posible explicación es apreciada.

    
pregunta hushhush 24.06.2013 - 03:38
fuente

6 respuestas

41

Aquí están mis pensamientos sobre esto:

  1. Alguien podría ocultar algo, por ejemplo, una unidad flash con contenido malicioso en un cajón desbloqueado. Un empleado podría encontrar ese flashdrive y conectarlo a su computadora, poniendo la computadora en riesgo de comprometerse. Además, es más fácil modificar los bloqueos de los cajones desbloqueados que modificar los bloqueos de los cajones bloqueados. Al modificar un bloqueo, una persona maliciosa podría facilitar el acceso al cajón en el futuro.

  2. Si el medio está en blanco, alguien podría ponerle contenido malicioso. Si el sistema de archivos de los medios está "vacío" pero los medios se han utilizado en el pasado, alguien podría recuperar fragmentos de datos antiguos.

  3. No sería difícil para un conserje (o alguien que se hace pasar por un conserje) en un turno de noche tomar fotos de una pizarra blanca, posiblemente robando secretos. Durante el día, es más probable que el pizarrón esté rodeado de personas de confianza, lo que dificulta la toma encubierta de fotografías o incluso una imagen decente.

  4. Los cuadernos negros son menos perceptibles que los cuadernos blancos. Los cuadernos de tapa dura tienen menos probabilidades de perder sus cubiertas que los de tapa blanda. Las cubiertas son importantes para la seguridad de los portátiles. Hacen que sea un poco más difícil obtener información de forma rápida y encubierta de un cuaderno. También evitan que los cuadernos se abran cuando se caen. Las cubiertas duras son mejores para prevenir las sacudidas que las cubiertas blandas. Además, es más probable que los cuadernos con cubiertas blandas se desplacen más que los que tienen tapas duras.

  5. Algunos tipos de información de salud son extremadamente valiosos para los ingenieros sociales. Es común que los ingenieros sociales malintencionados planeen vectores de ataque alrededor de los empleados de licencia. Por ejemplo, si un determinado empleado está de baja por enfermedad, un ingeniero social podría hacerse pasar por un amigo del empleado y obtener acceso a la oficina del empleado al decirle a alguien que tiene que traer un artículo de la oficina a su amigo.

respondido por el Smith John 24.06.2013 - 03:56
fuente
12

Se trata de fugas de información poco probables pero no obvias:

  

1. Debemos mantener los cajones vacíos cerrados con llave

Si alguien sabe que hay una reunión regular que discute el proyecto secreto X todos los martes y viernes; y notó que los cajones siempre están vacíos y desbloqueados los martes y viernes, pero bloqueados de otra manera, entonces es una clara indicación de que el contenido de ese cajón es un secreto relacionado con el proyecto X.

  

2. Cuando salgamos del trabajo debemos encerrar los medios grabables

Además de preocuparse por que alguien intercambie o coloque datos maliciosos en el medio, el bloqueo de todos los medios grabables garantiza que nadie pueda distinguir un medio grabable que contenga secretos y aquellos que contengan datos regulares.

  

4. En las reuniones, si queremos tomar notas, los cuadernos deben ser negros y tener cubiertas duras.

También por la misma razón con los medios grabables, si alguien se dio cuenta de que usas un cuaderno Hello Kitty para tomar notas en las reuniones del proyecto secreto X y el cuaderno de Superman para otros proyectos; la gente podría reconocer de inmediato el cuaderno de Hello Kitty si se olvidara de él y lo dejara tirado. Además, si lleva o no su cuaderno de Hello Kitty cuando va a lugares, puede indicar de qué se trata el proyecto X. Un cuaderno uniforme es menos visible.

Además, si tiene muchas reglas sin sentido en su política de seguridad, ayudarían a cubrir las realmente extrañas ' sin dejarlo La política de "objetos esféricos" en el escritorio que podría haber filtrado la información de que la bola de masaje verde que ve el líder del equipo que lleva en la oficina era en realidad el núcleo de un reactor nuclear.

También existe la posibilidad de que sea una situación con cinco monos, una escalera, un plátano y un spray de agua .

    
respondido por el Lie Ryan 24.06.2013 - 10:28
fuente
3

Los elementos 1-4 en su pregunta son partes de lo que comúnmente se conoce como una "política de escritorio limpio". Así que intentaré dar una respuesta sobre por qué se usa una política de escritorio limpio en general. En realidad hay muchas razones:

  • Si los clientes visitan el área de trabajo (que sé que sucede en IBM), desea crear una imagen positiva. A los clientes no les gustaría ver los documentos que detallan sus necesidades o soluciones específicas para que cualquiera pueda agarrarlas.
  • El riesgo de un incidente de seguridad en el que se roben documentos confidenciales se reduce considerablemente. Si deja sus documentos al descubierto, pueden desaparecer, ya sea de una señora de la limpieza o de alguien con intenciones maliciosas. Ahora confíe en mí, no quiere ser la persona que le explica a su cliente lo que le sucedió a su < insertar proyecto secreto & gt ;.
  • Te obliga a mantener las cosas ordenadas, esto significa que estarás más organizado, estar organizado significa que podrás trabajar mucho más eficientemente
  • También alienta a reducir la cantidad de papel utilizado en su empresa. Lo que, de nuevo, reduce el riesgo de que los documentos sean defraudados, simplemente porque no están presentes.
  • Los escritorios Flex son el futuro, si entro a su oficina y necesito un escritorio lleno de papeles, no podré trabajar allí. Por lo tanto, una política de escritorio limpio exige que retire todas sus pertenencias de su escritorio para que cualquier empleado pueda sentarse allí.

Con respecto a la divulgación de información de salud (por ejemplo, razones o duración de la licencia por enfermedad): es una necesidad para el cumplimiento de ciertas leyes de privacidad en ciertos países. La información personal se considera altamente confidencial, especialmente cuando esa información es sobre atención médica. Si no cumple con las reglas establecidas por este país y maneja los datos de manera incorrecta, puede ser considerado legalmente responsable.

En tu caso, puedo darte las siguientes razones:

  1. El personal no autorizado no puede acceder a los cajones que están bloqueados, lo que significa que los documentos confidenciales están físicamente seguros. Si es su cajón, todavía necesita cerrarlo, alguien podría tomar su casillero O alguien podría concluir: "Oye, su casillero nunca está cerrado, excepto ahora, ¡debe haber algo confidencial allí!"
  2. Lo mismo ocurre con los medios grabables / legibles, no desea que los documentos se alteren, infecten o filtren.
  3. Si bien se pueden ver pizarras blancas, no se pueden fotografiar fácilmente sin que alguien se dé cuenta. También tenga en cuenta que siempre hay un equilibrio entre la seguridad y la facilidad de uso.
  4. Fácilmente identificable además de que no puedes presionarlo. No desea comenzar a escribir su texto y luego observe que se presionó sobre una mesa o papel que ya estaba sobre la mesa.
  5. Esto se considera muy privado en algunos países, por lo que debe tratarse como tal. Si el jefe quiere compartir cuándo volverá a estar disponible, puede comunicarlo si lo desea, si no quiere hacerlo, tampoco es su problema.

Ahora, otro problema es que IBM es una compañía global, lo que significa que muchos países tienen regulaciones diferentes. Para tener políticas de cumplimiento manejables en todo el mundo, probablemente decidieron "una talla para todos" y eso significaría tener una política que cumpla con las reglas más estrictas en todo el mundo y que cada oficina del mundo deba seguir.

    
respondido por el Lucas Kauffman 24.06.2013 - 21:22
fuente
3

Los cajones desbloqueados se pueden quitar completamente, dando acceso a los cajones bloqueados que están debajo (y probablemente también arriba). Por supuesto, los bloqueos de escritorio son completamente nominales de todos modos, pero al menos un cajón cerrado es "inviolable".

    
respondido por el ddyer 27.06.2013 - 19:57
fuente
2

Respecto al # 1, piensa en la regla como esta:

  • mantenga todos los cajones cerrados, sin importar si están llenos o vacíos.

Entonces las personas no tienen que pensar continuamente "¿Debo cerrar este cajón o no?" y no cometerá el error de no bloquear accidentalmente un cajón que recientemente no estaba vacío.

También simplifica el cumplimiento de las reglas de seguridad: si un cajón está desbloqueado, es una violación, sin tener que investigar si hay cosas allí.

Para el # 2- # 4, se puede aplicar la misma lógica: hacer un trabajo redundante, para que no tenga que tener que determinar / recordar continuamente si las reglas se aplican en un caso particular.

Para el # 5, eso es un problema de recursos humanos; la compañía no tiene permitido divulgar información sobre el estado de salud de los empleados.

    
respondido por el Mark Harrison 24.06.2013 - 20:23
fuente
1

Relacionando esto con las ideas del cifrado:

  1. Cifrar solo información confidencial generalmente facilita que los atacantes centren sus esfuerzos. Encriptar todo significa más trabajo de descifrado y posiblemente más problemas para identificar información explotable.
  2. La recuperación del texto cifrado es un buen primer paso para la recuperación de datos, y generalmente una lectura simple no se puede detectar después.
  3. Es más probable que se descubra un atacante que lee el texto sin formato mientras el propietario está usando el almacenamiento. Además, el texto simple debería existir solo cuando sea absolutamente necesario, para minimizar la superficie de ataque (tanto en el espacio como en el tiempo).
  4. Hacer que todos los "contenedores" de texto sin formato sean identificables debería hacer que sea más fácil garantizar que se identifiquen como críticos para la seguridad y se los trate como tales.
  5. Las situaciones inusuales y los casos de esquina suelen ser más fáciles de atacar, ya que el protocolo para manejarlos puede ser menos definido o menos conocido / recordado.
respondido por el l0b0 24.06.2013 - 10:39
fuente

Lea otras preguntas en las etiquetas