Pourquoi la sécurité couvrirait-elle des choses comme les catastrophes naturelles?

Cela revient à la triade de sécurité classique; Intégrité, confidentialité et disponibilité. La dernière d'entre elles pourrait certainement souffrir de tout type de catastrophe naturelle, c'est pourquoi vous devez l'inclure dans votre plan de continuité.

CISSP est une certification sécurité de l'information et non une certification sécurité informatique.

Sécurité de l'information concerne la protection de la confidentialité, de l'intégrité et de la disponibilité des informations en général. Les informations ne sont pas uniquement stockées sur des ordinateurs. Ils sont imprimés et stockés dans des classeurs, ils sont mémorisés et stockés dans le cerveau de votre employé. Par conséquent, en plus de garantir la sécurité de vos réseaux informatiques, vous devez assurer la sécurité physique de vos locaux. Si ces documents confidentiels sont volés ou détruits lors d'une catastrophe, il s'agit également d'une perte de disponibilité. Si vos employés vendent les informations à un concurrent, cela est considéré comme une perte de confidentialité. C'est pourquoi les politiques et les mesures de sécurité physique sont importantes.

Même si vous considérez la sécurité informatique comme étant limitée à la gestion des attaques malveillantes intentionnelles, toute façon dont votre système est vulnérable à une catastrophe naturelle représente également un moyen par lequel un attaquant bien équipé (ou intelligent) pourrait perturber votre un service. Par exemple, si un centre de données est vulnérable aux inondations, quelqu'un qui souhaite le mettre hors ligne peut couper un tuyau d'arrosage dans le bâtiment. Il est donc logique de se protéger contre les scénarios de catastrophe naturelle dans le cadre d'un plan de sécurité global.

Les catastrophes sont autant un problème de sécurité que l'atténuation des attaques par déni de service. Dans les documents ISC2 (CISSP), la sécurité est souvent représentée par la triade CIA: confidentialité, intégrité et disponibilité. Les stratégies de reprise après sinistre et l'atténuation DDOS concernent toutes deux l'établissement et le maintien de la disponibilité.

Je vais lancer mon 2c et mentionner quelque chose que d'autres n'ont pas spécifiquement mentionné: Plans de continuité des activités

Le BCP est une fonction importante du travail d'un analyste de sécurité, et en tant que tel, le CISSP fournit un large aperçu des problèmes qui peuvent avoir un impact sur les catastrophes et les pannes. La connaissance de ces détails de haut niveau aide le CISSP à jeter les bases des connaissances et des mentalités nécessaires pour effectuer le BCP.

Veuillez noter que ce qui est couvert dans le matériel CISSP est un large aperçu de haut niveau des sujets. Il y a beaucoup, beaucoup plus qu'un pro de la sécurité a besoin de connaître et de considérer pour créer et gérer correctement un programme BCP.

Je vais inverser la tendance:

La planification des catastrophes ne fait pas partie de la sécurité, car la sécurité fait partie de la planification des catastrophes.

La planification des catastrophes, qui comprend la prévention des catastrophes et la récupération après sinistre, couvre un éventail de sujets (par exemple, la redondance, les sauvegardes), y compris la sécurité.

Si nous regardons dans un dictionnaire une des significations secondaires de "sécurité" est:

le fait que quelque chose ne risque pas d’échouer ou de se perdre

Bien que nous considérions souvent la sécurité de l'information comme des gardes, des armes à feu et des pirates dans des lunettes noires, il s'agit vraiment de protéger les informations contre les menaces. Ces menaces pourraient être:

• Attaquants externes - pirates
• Initiés malveillants
• Catastrophes naturelles
• Problèmes techniques - fuites, coupures de courant
• Erreurs honnêtes - comme perdre un CD plein de données
• Beaucoup plus!

Le CISSP couvre tout cela parce qu'une organisation a besoin de quelqu'un pour s'occuper de ces problèmes. Il s'avère que le genre de choses que vous faites pour vous défendre contre les menaces est assez similaire, il est donc logique qu'un seul ministère s'en occupe.

La sécurité des informations consiste à protéger l'intégrité, la confidentialité et la disponibilité des informations. Sans pouvoir protéger les informations et les mettre à la disposition de ceux qui en ont besoin, même en cas de catastrophe naturelle, cela pourrait entraîner la fin d'une entreprise.

J'ai aidé à développer des plans de continuité des activités où l'une des exigences essentielles était que certaines informations devaient (selon la loi) être disponibles 24 heures par jour, 7 jours par semaine, 365 jours par an. Il n'y avait aucun temps d'arrêt autorisé, même pendant une catastrophe naturelle comme un horrible tremblement de terre.

Il n'y avait pas de solution simple - une analyse d'impact sur les entreprises devait être réalisée. Les informations ne sont pas uniquement stockées sur des ordinateurs. Il est souvent dispersé et ne se trouve pas seulement dans un emplacement centralisé. Il est très difficile d'identifier les informations critiques nécessaires au bon fonctionnement de l'entreprise. Une fois que l'identification des systèmes et composants critiques est terminée et examinée. Une évaluation des risques supplémentaire doit être effectuée.

Lors de grandes catastrophes naturelles, telles que des tremblements de terre ou de grandes tornades, il y a une forte probabilité que les locaux physiques soient hors service pendant un certain temps. Il y avait même des exemples où il n'y avait plus de bâtiment ou où l'équipe avait un accès limité (15 à 20 minutes) pour rassembler ce qui était nécessaire avant que personne ne soit jamais autorisé à retourner dans le bâtiment. De plus, vous pouvez prévoir des retards, car il fallait déterminer que les bâtiments étaient suffisamment solides pour que quiconque y ait accès.

S'il s'agit d'une grande catastrophe, où allez-vous ou comment la continuité des opérations est-elle réalisée? Les employés locaux vont certainement être également touchés par la catastrophe. Il pourrait s'écouler des semaines avant qu'ils ne soient en mesure de reprendre le travail. Dans le cas d'un BCP sur lequel j'ai travaillé, les employés ont également été confrontés à la destruction totale de leurs maisons ou n'ont eu que quelques minutes pour entrer chez eux et récupérer leurs affaires. Beaucoup m'ont dit qu'ils avaient attrapé des vêtements, des brosses à dents et des documents d'identité et qu'ils avaient dû laisser d'autres objets personnels.

Une partie de la stratégie technique peut donc consister à développer une multitude d'options en fonction de l'évaluation des risques. Il peut y avoir des plans pour les sites froids, les sites chauds et les sites chauds en fonction du budget. Stratégies pour protéger les serveurs et le matériel critiques identifiés avec RAID, la mise en cluster et l'équilibrage de charge, en se concentrant sur la tolérance aux pannes. Bien sûr, les données sont protégées par des sauvegardes et des plans pour restaurer les données critiques et les mettre à disposition pour être utilisées par les sites froids, les sites chauds et les sites chauds, garantissant que les documents confidentiels sont protégés et disponibles pour ceux qui ont besoin des informations sur chaque fois.

Une fois en place, toutes ces stratégies, plans et politiques doivent être revus, maintenus et vérifiés. Cela nécessite beaucoup de personnel pour être impliqué et conscient. La seule chose constante est le changement. De nouvelles solutions matérielles et logicielles sont mises en œuvre. Les exigences commerciales et les lois sont en cours de modification. Je peux certainement comprendre pourquoi il est mentionné. La sécurité des informations consiste à protéger l'intégrité, la confidentialité et la disponibilité des informations.