Ich hatte oft die Gelegenheit, verschiedene Ansätze zum Cyberschutz in verschiedenen Bereichen zu evaluieren. Oftmals war die Herangehensweise zu oberflächlich, die Sicherheitsrichtlinien unzureichend oder gar nicht vorhanden, was das Unternehmen einem sehr hohen Risiko einer Kompromittierung aussetzte.
Fast genauso schlecht für die globale Sicherheit ist meiner Meinung nach jedoch die Umsetzung „zu“ strenger Richtlinien.
Ich weiß, das scheint ein Widerspruch zu sein, vielleicht provozierend, aber folgen Sie mir bitte in der Argumentation ...
Es ist eine bekannte Tatsache, dass das schwache Glied in Informationssystemen fast immer "Dave: menschlicher Fehler" ist (ich will nicht, dass die vielen Freunde namens Dave!)
Wenn wir zu strenge und zu wenig Richtlinien umsetzen benutzerfreundlich, nicht sehr "ergonomisch", wie das sehr gut suggeriert @roarinpinguin, werden Benutzer, die zwischen dem Amboss der Sicherheit und dem Hammer der Produktivität eingeklemmt sind, zwangsläufig nach Tricks suchen, um die Richtlinien formal einzuhalten und gleichzeitig reibungslos weiterzuarbeiten.
Lassen Sie mich ein konkretes Beispiel geben: Er war lange Zeit von der Notwendigkeit des Habens gestresst sehr komplexe Passwörter, die Zahlen und Sonderzeichen in verschiedenen Kombinationen enthielt.
Dies hat viele, zu viele Benutzer dazu veranlasst, das Passwort irgendwo aufzuschreiben, um es nicht zu vergessen, und damit das primäre Ziel des Datenschutzrichtlinien.
Dann die Pflicht Ändern Sie das Passwort häufig. Benutzer haben es „geändert“ und das vorherige zurückgesetzt. Dann wurde die Wiederverwendung blockiert. Ergebnis? P @ ssword1, P @ ssword2, P @ ssword3…
Dies ist nur ein Beispiel dafür, dass für eine effektive Sicherheit die aktive Zusammenarbeit von Benutzern und Betreibern erforderlich ist Cybersec.
Dieses Ergebnis wird vor allem durch Schulungen erreicht, die innerhalb der Struktur das Bewusstsein für die eingegangenen Risiken (#ilbersagliosiamonoi) und die zu ihrer Minimierung anzuwendenden Verhaltensweisen fördern. Aber darüber hinaus, wer ist für die verantwortlich Sicherheitsrichtlinie Er muss in jeder Hinsicht die Ergonomie der Lösungen ausprobieren, um die Einhaltung der festgelegten Regeln zu ermöglichen, ich sage nicht angenehm (übertreiben wir nicht!), aber zumindest nicht sehr aufdringlich.
Auch das Erklären, warum bestimmte Einschränkungen eingeführt werden, und das Teilen der Risikoanalysen, die zu ihrer Implementierung geführt haben, so weit wie möglich, hilft immens, die Benutzerakzeptanz zu gewinnen.
Schließlich ist es gut, sich immer daran zu erinnern „Wer für Sicherheit auf Freiheit verzichtet, verdient weder das eine noch das andere“ (Benjamin Franklin).
