IT biztonság: Maximális korú

Roger G. Johnston Ph.D., az Argonne Nemzeti Laboratórium Nukleáris Mûszaki Osztályának a sebezhetõségértékelõ csoportját (ÁFA) vezeti. A csoport feladata fizikai biztonsági eszközök, rendszerek és programok kutatásának elvégzése:

"A HÉA széles körűen működött a termékek hamisításának megakadályozása, a hamisítás és behatolás észlelése, a rakomány biztonsága, a nukleáris biztosítékok, valamint az ipari és szervezeti pszichológia eszközeit használó biztonsági tényezők területén."

A problémák újra felmerülnek

Los Angeles-i és Argonne-i hivatali ideje alatt dr. Johnston jelentős tapasztalattal rendelkezik a biztonsági kérdések felkutatásában és megoldásában. Ennek során valami rájött:

"A fizikai biztonság sérülékenységértékelõje eléggé cinikussá válik. Vagy lehet, hogy cinikusnak kell lennie, hogy láthassa a biztonsági problémákat. Vagy valószínûleg mindkettõ igaz. Mindenesetre ezeket a csúcsokat részben a csalódottságból fejlesztették ki, amikor ugyanazokat a problémákat látják, és újra."

Dr. Johnston küldetése

Tehát, Dr. Johnston elkészítette a biztonsági maximumok listáját. Személy szerint még nem hallottam a "biztonsági maximális" kifejezést, ezért szeretném megbizonyosodni arról, hogy egyetértünk-e annak jelentésével:

  • Maxim : Egy általános igazság vagy elv kifejezése. Magatartási alapelv vagy szabály.

Dr. Johnston tovább kvalifikálja a definíciót azzal, hogy elismeri, hogy biztonsági maximumai nem tételek vagy abszolút igazság:

"A biztonsági csúcsok tapasztalatunk szerint alapvetően az idő 80–90 százaléka érvényesek a fizikai biztonságra és a nukleáris biztonsági intézkedésekre."

Kezdetben nem gondoltam, hogy Dr. Johnston a fizikai biztonságra összpontosított. Egyszerűen azért, mert ő legjobban illeszkedik az informatikai biztonság világába. Legalább ez a véleményem, tudassa velem, egyetért-e vagy sem.

Kedvenc biztonsági maximok

Az alábbiakban választottam a számos biztonsági szempontból, amelyeket Dr. Johnston felhalmozott:

  • Infinity Maxim : Egy adott biztonsági eszköz, rendszer vagy program számára korlátlan számú biztonsági rés van, amelyek többségét soha nem fedezik fel (a jó fiúk vagy a rossz fiúk).

Dr. Johnston megjegyzései:

"Úgy gondoljuk, hogy azért mindig találunk új sebezhetőségeket, amikor ugyanazt a biztonsági eszközt, rendszert vagy programot vizsgáljuk másodszor vagy harmadik alkalommal, és mert mindig találunk olyan biztonsági réseket, amire mások hiányoznak, és fordítva."

  • Köszönet Nothin 'Maxim-nek : A sebezhetőségi értékelés, amely nem talál semmilyen sebezhetőséget, vagy csak néhányat, értéktelen és rossz.
  • Arrogancia Maxim : A biztonsági berendezés vagy rendszer legyőzésének egyszerűsége arányos azzal, hogy a tervező, gyártó vagy felhasználó mennyire magabiztos / arrogáns és hogy milyen gyakran használ olyan szavakat, mint a "lehetetlen" vagy a "hamisításbiztos".
  • Tehát egyetértésben vagyunk : Ha elégedett a biztonságával, akkor a rossz fiúk is.

Örülök, hogy Dr. Johnston humorérzéke van.

  • A tudatlanság a Bliss Maxim : Az emberek bizalma a biztonságban fordítva arányos azzal, hogy mennyit tudnak róla.

Dr. Johnston megjegyzése:

"A biztonság egyszerűnek tűnik, ha soha nem vett időt arra, hogy alaposan átgondolja."

  • Leggyengébb link : A biztonság hatékonyságát inkább az határozza meg, amit rosszul tesznek, mint azt, amit helyesen végeznek.

Ez a maximális tény mindenkor igaz. Dr. Johnston megjegyzései:

"Mivel a rossz fiúk általában szándékosan és intelligensen, nem véletlenszerűen támadnak."

A következő néhány következtetést von Dr. Johnston felső vezetésével kapcsolatos tapasztalataira:

  • Az Atya ismeri a legjobbakat : Az az összeg, amelyet bármely szervezet (nem biztonsággal foglalkozó) vezetője tud a biztonságról, fordítottan arányos azzal, hogy (1) mennyire gondolja biztonságot és (2) mennyivel fogják mikrobiztonságot kezelni és önkényesen feltalálni szabályokat.
  • Big-Heads Maxim : Minél távolabb található a parancsnokláncon egy (nem biztonsági) menedzser, annál valószínűbb, hogy azt gondolja, hogy (1) megértik a biztonságot és (2) a biztonság egyszerű.
  • Huh Maxim : Amikor egy (nem biztonsági) magas rangú vezető, hivatalnok vagy kormányzati tisztviselő nyilvánosan beszél a biztonságról, általában valami ostoba, irreális, pontatlan és / vagy naivist mond.

Személyes kedvencem:

  • Voltaire's Maxim : A józan ész problémája az, hogy nem egészen annyira általános.

A következő példa magyarázza, hogy a biztonsági kérdések miért oldódnak meg lassan:

  • Show-Me Maxim : Semmilyen komoly biztonsági rést, ideértve a nyilvánvalóan nyilvánvaló biztonsági réseket sem kezelünk mindaddig, amíg nem állnak rendelkezésre hatalmas bizonyítékok és széles körű elismerés, hogy az ellenfelek már katasztrófaellenesen kihasználták azt. Más szavakkal: "Jelentős pszichológiai (vagy szó szerinti) károkra van szükség, mielőtt bármilyen jelentős biztonsági változást megtennének".
  • Felelőtlenség Maxim : Gyakran "felelőtlennek" kell tekinteni a biztonsági réseket (ideértve az elméleti esélyt is, hogy létezhetnek), ám ritkán hívják fel felelőtlennek, ha figyelmen kívül hagyják vagy lefedik őket.
  • Maximálisan hátrafelé : A legtöbb ember úgy véli, hogy minden biztonságban van, amíg erõs bizonyítékot nem nyújt az ellenkezőjére, pontosan hátra, ésszerű megközelítés alapján.
Végső gondolatok

Dr. Johnstonnak sokkal több biztonsági maximuma van. Ha talál egy oldalt, amelyet már említettem volna, kérjük, mutassa rá.

© Copyright 2021 | mobilegn.com