从哲学意义上说,异构安全是一种赋予人们更多自主权的系统,比一成不变的安全策略/程序更好?
我曾在一些办公室政治如此强烈的公司工作过,每个人都忙于遵循程序,以至于完全放弃了情报。例如,人们仍然会将机密文件存放在安全的废物处理装置中,即使它溢出了,任何路过的人都可以从垃圾桶盖内看到并抓住文件。这真的很糟糕,因为现在攻击者会知道去溢出的安全处置箱,因为他会在那里找到有价值的信息。
换句话说,什么时候有“严格的规则”比要求人们小心更糟糕?我想这与官僚作风有关,这似乎是在公司变大时发生的。
轶事:另一个好的是我开始工作的地方,电脑被严重锁定。要获得更改任何内容的权限,您需要 IT 人员输入密码。IT 人员完全不在乎他们为什么要输入密码,并且总是会为任何要求输入密码。
您所指的是向人们施加安全规则与让人们参与以获得更好的安全性之间的区别。
您可能会发现这个视频非常有趣。在浏览了与您提到的问题非常相似的问题之后,主持人(Jayson E. Street 以他的名字命名)最终谈到了积极执法。这使得一些管理人员绝望地试图让所有“愚蠢的用户”遵守强加的规则,而同一管理人员将其他员工视为同事,甚至是“人类 IDS ”。
这就是为什么安全文献坚持定期培训的作用,以教育人们。安全不是为了取悦管理层和审计员。安全的存在是为了确保公司、客户以及最终员工自身的安全。
通过定义总是更严格的规则并不能实现更好的安全性。通过让人们参与进来,可以实现更好的安全性。
有很多复杂的问题,主要与努力和信任动态有关,它们会破坏组织中的安全策略。虽然研究人员已经发现了个别因素,但目前还没有一个统一的理论来说明哪种安全管理方式更可取,或者在每个组织中实施哪些策略。
首先,所有体面的安全工程师都知道,有些风险最好忽略而不是处理,因为保护成本会高于违规造成的损失。同样,一些政策或机制对最终用户/员工的成本远高于它们为组织提供的价值,但许多组织尚未意识到这一点。您可以在 So long 中找到著名的、通用的网络钓鱼保护或 SSL 证书示例,不感谢Herley 的外部性。
在组织安全方面,Beautement 等人。合规预算中的解释使用与员工的定性访谈来确定是什么导致他们遵守。有四个因素起作用:员工合规的成本和收益,以及组织的成本和收益。本质上,员工在需要决定是否遵守安全措施时会进行成本/收益估算。
显然,没有接受过计算机安全培训的人缺乏关于安全工作原理的心智模型,并且错误地估计了他们所承担的风险。因此,员工不是根据实际成本和收益进行推理,而是根据他们对自己和组织的成本和收益的看法进行推理。这意味着平衡观念对于已经具有成本意识但遇到合规问题的组织来说是一种可能的行动方案。
合规预算模型背后的主要思想是,员工将容忍有限的日常工作/成本,以实现组织的利益。与个人利益(避免安全漏洞的后果和由于 Beautement 等人,被抓到绕过的制裁)。如果该模型是正确的,那么组织可以采取多种方式来提高员工的合规门槛:
既然已经制定了一般原则,还有其他研究可以解释典型的合规性流失因素,主要来自 Bartsch 和 Sasse 在用户如何绕过访问控制和为什么。以下是论文中一些相关观察的细分。
CISO 与所有人一样,都会犯错误和近似值,并且有时会部署与个别员工需求相冲突的政策并阻止工作完成。例如,数据加密策略可能会阻止销售人员使用方便的存储媒体向远程客户展示他们的产品。此外,随着工作实践的发展或新项目的出现,员工的需求会随着时间而变化。
员工通常需要等待很长时间才能实施政策变更,这严重损害了他们的生产力。例如,欢迎实习生的团队最终可能无法为他们提供工作,除非他们通过共享凭据或部署不受保护的共享存储介质来绕过访问控制。访问控制通常是自上而下而不是以更分散的方式管理的事实可能导致延迟和生产力死锁的存在。
具有讽刺意味的是,直接为他们的团队管理访问控制(有时在他们的组织之外)的员工可能会感到一种情感压力,需要授予他们的同事和下属访问权限,因为他们希望避免团队中的怨恨。Kirlappos 等人在“向影子安全学习”中极大地扩展了员工相互信任在安全决策制定中的作用。
在我看来,这两篇论文都倾向于这样一种观点,即安全可以由组织和担任安全决策职位的员工共同管理。在 Bartsch 和 Sasse 中,已经指出组织需要提供可以在本地文件共享系统中实施的高级安全策略,因为这可以解决安全心理模型的缺陷和访问的情感勒索问题。
有一些建议表明,就地、本地决策也更适合个人安全(反应式访问控制、自由放任文件共享)。
以上应该足以解释为什么会绕过严格的安全策略,并提供提高合规性和策略适用性的选项。尽管仍有大量研究要做,但学术文献中的这些主题并没有任何不一致之处,这会让我相信这些假设、模型和结果中的任何一个都是不正确的。它们可能是现在应用的最明智的策略。
没有组织的目标是“安全”。敏感信息的目的不是它本身的存在,而是它对组织目标的应用。这就是说,任何在安全方面的努力都会偏离真正的组织目标——这是有害的。
也就是说,让我直接关注你的问题。带着一个问题:“严格”以什么方式?听起来好像您在谈论机密性,但这只是安全方程式的一部分。
有一个古老的(对于 IT 而言)关于一个发展中国家的说法,其统治者将他们的武器库保存在带有数字锁的保险库中,并将保险库的数字密钥存储在 DOS 密码保管器中,其密码为少数人所知。在叛乱期间,少数人被杀,武器库无法使用,政权垮台。这些武器是安全的,但无法使用。
您还必须考虑可用性和完整性,即整个“安全三元组”。它们之间有一种内在的张力——你不能把它们都最大化。
我很欣赏引用培训的答案,因为敏感的组织数据被人们在其工作角色中使用,这意味着这些人正在频繁地决定处理它。但是,您也不应该向他们展示复杂或权衡的安全决策,以免您在实际使用信息来完成他们的工作时削弱他们。我知道安全顾问在帮助公司制定冗长而模棱两可的安全政策方面赚了更多的钱,而且还更多地培训员工在应用这些政策时焦虑和麻木的做法,但我认为这是他们和组织的不当行为实施此类政策的管理人员。