Sikkerhet etter tall

Sikkerhet etter tall

For et par måneder siden spurte jeg i denne spalten om dårlig IT -sikkerhet skulle bli en forbrytelse i seg selv, og mitt argument var at en juridisk plikt til avsløring, som nå håndheves i noen amerikanske stater, kunne få bønner til å feile på siden Av forsiktighet snarere enn billig når du betaler for sikkerhetstiltak - bedre bruke noen tusen nå for å unngå bøter med flere nuller hvis et sikkerhetshull du visste om blir utnyttet. I et nøtteskall, kriminaliserer kriminaliseringen av brudd på databeskyttelsesregler.

Jeg ble ikke helt overrasket da dette argumentet brakte mer enn den vanlige avlingen av nøtter fra skjellene deres og inn i postkassen min (du vet hvem du er), selv om den spesifikke tyngdekraften til vitriol -kastet var noe høyere enn forventet, selv fra et samfunn best beskrevet som "gal som en boks med frosker". Fra å balansere disse lønningene kom denne ganske tankevekkende posten fra Glenn Glidden, IT-sjef ved en høyskole for videreutdanning: “Jeg er enig i at omdømme skader kan være en god spak for å prøve å få organisasjoner til å endre sikkerhetspolitikk En måte være at regjeringen skal kreve at offentlige organer implementerer BS7799?”

Han fortsetter: “Så vidt jeg er klar over er det ikke noe spesifikt krav. Det betyr selvfølgelig ikke at det vil bli brukt, derav min støtte til å kriminalisere slike sikkerhetsbrudd, dobbelt så hvis du vet hva du burde ha gjort.”Glenn selv adresserer problemet ved å bruke det han ser på som en mellomløsning, UCISA Information Security Handbook (www.Ucisa.Ac.Storbritannia/publikasjoner/ist.ASPX) som grunnlag for lokal politikk. Dette dokumentet er basert på BS7799 og dekker rundt 90% av kravene, men det kan ikke på magisk vis gi tiden til å gjøre det mulig. Jeg er den eneste som kjører dette frem for øyeblikket, derav den langsomme fremgangen.”Glenn legger til:“ Implementeringstid med håndboken ville være raskere hvis den faktisk ble presentert som en full policy med revisjonssjekklister, så det var nærmere et sluttresultat. I tillegg ville en personalveiledning for hvorfor sikkerhet var viktig være nyttig, men ser ut til å være savnet.”

Noe som ber meg om å spørre deg, leseren, implementerer du BS7799/ISO27001, og i så fall hvordan har du det og hvilke ressurser har du funnet mest nyttig? Hvilke fallgruver har du møtt? Avhengig av svarene dine kan jeg bruke en hel kolonne på dette.

Inn i de brune tingene

Det årlige InfoSecurity Europe -showet er nå godt og virkelig bak oss, men arven fra pressemeldinger, undersøkelser og forskningsrapporter henger på som en dårlig lukt. Hvis noe blir beregnet for å øke blodtrykket mitt til farenivå, er det den årlige undersøkelsen arrangørene av denne showoppførselen under oppkjøringen, uten tvil for å offentliggjøre hendelsen så vel som sikkerhetsbevissthet generelt, og som alltid ser ut til å involvere sjokolade. Det er ikke selve undersøkelsen som avvikler meg, men måten det tydeliggjør manglende evne til den store britiske offentligheten til å få hodet rundt konseptet om at dataene deres er verdifulle og at de trenger å spille en rolle i å beskytte dem.

Derfor ble jeg hyggelig overrasket over resultatene fra den siste avstemningen, som fant sted utenfor en travel London -jernbanestasjon og involverte en gruppe pene damer som stilte upassende spørsmål om personlige IT -sikkerhetsproblemer i bytte mot en sjokoladebar. Den gode nyheten er at ting faktisk har blitt bedre, eller slik vil det se ut, siden bare 21% av de som ble spurt var forberedt på å avsløre passordene sine for sjokolade i år, sammenlignet med enorme 64% i fjor. Interessant nok, (selv om det knapt er overraskende gitt at min kone og alle vennene hennes virker avhengige av tingene) var kvinner fire ganger mer sannsynlig å gi etter for denne spesielle formen for bestikkelser enn menn.