web-dev-qa-db-fra.com

Comment créer une culture d'entreprise soucieuse de la sécurité des informations?

Les serveurs renforcés, les IPS, les pare-feu et toutes sortes de défenses ne peuvent pas résoudre les problèmes de sécurité si les gens divulguent des informations sans le savoir simplement parce qu'ils sont mal orientés.

J'ai déjà essayé de les instruire mais ils s'en moquent tout simplement, ils ne peuvent pas se considérer comme une partie importante de notre système de prévention des intrusions.

L'entreprise traite des informations sensibles, mais elle préfère ne pas y penser. Nos politiques sont l'une des meilleures que j'ai jamais vues, mais personne ne les suit, sauf l'équipe de sécurité.

Que devrais-je faire? Dois-je jeter sur leurs visages les journaux du nombre d'attaques auxquelles mon équipe est confrontée parce que les employés contournent toute la sécurité?

Si mon équipe tombe en panne, le système de télécommunications de mon pays peut être complètement affecté. Je pensais que c'était une motivation pour prendre soin de la sécurité, mais personne ne s'en soucie à part nous parce que c'est notre travail.

Quelqu'un a-t-il déjà fait face à une telle situation? Devrais-je abandonner?

96
RF03

Culture de haut nivea

D'après mon expérience, le changement d'une culture de sécurité prend 3 étapes:

  1. Obtenez l'adhésion de la direction pour faire les choses différemment
  2. Obtenez un engagement de gestion personnel pour montrer la voie sur ce qui est important
  3. Donner le ton à travers la formation, les médias et les événements en personne que "des gens comme nous font des choses comme ça"

Voici la chose: la gestion a pour mener la charge à ce sujet, avec l'aide des champions de la sécurité. La direction doit vouloir et encourager les contrôles techniques à s’appliquer à elle-même. Si la direction obtient des conditions spéciales, game over.

Demandez à un manager, plus haut, mieux c'est, d'exprimer personnellement et publiquement son désir de participer à un environnement correctement sécurisé. Demandez-leur aussi d'exprimer leurs frustrations et leurs inconvénients. Mais communiquez également que les inconvénients sont importants pour la santé de l'entreprise.

"Je grogne le matin quand je suis invité à changer mon mot de passe. Je pense que je l'ai changé il y a juste [1 | 3] mois! Mais, je sais que lorsque je le fais, je coupe la route d'un pirate informatique mes informations d'identification pour me nuire et cette entreprise "

[oui, je suis conscient de la controverse sur les changements fréquents de mot de passe, mais roulez avec l'exemple pendant une seconde]

Ensuite, une fois que vous avez cette excellente base, commencez à transmettre ce message au niveau personnel à tout le monde.

Apprenez-leur à se sécuriser

Il peut être facile pour les gens de voir la politique de l'entreprise comme déconnectée de la réalité (avez-vous rempli vos rapports TPS?). Donc, pousser dur sur la sécurité de l'entreprise peut être une bataille perdue. Envisagez plutôt d'enseigner aux gens comment se protéger eux-mêmes et leur famille. Montrez comment les pirates informatiques ont compromis et compromettent les ordinateurs personnels et les appareils mobiles. En faisant cela, vous leur faites vraiment voir les dangers impliqués. Une fois que vous avez ce buy-in, il est beaucoup beaucoup plus facile de se concentrer sur les dangers au travail.

Obtenez quelques dents

Si tout le monde s'entend avec les politiques, c'est parfait, mais vous avez besoin d'avoir des conséquences pires pour les personnes qui ne se conforment pas. C'est un sujet délicat et vous devez travailler avec les RH, le GRC et la direction pour que cela fonctionne.

59
schroeder

Considérez vos utilisateurs comme des clients. Vous les aidez à répondre à leurs besoins commerciaux pour sécuriser les données. Cela signifie que c'est votre travail de garder les exigences qui leur sont imposées aussi raisonnables, justifiées et limitées que possible. C'est l'ingénierie UX.

Exemples:

  • si vous ne parvenez pas à obtenir une connexion correcte sur un système, les groupes de travail partageront les mots de passe sur des post-its ou des tableaux blancs.

  • ' théâtre de sécurité ' réduira la confiance dans le concept selon lequel des précautions sont nécessaires (obliger les gens à faire changer les mots de passe de 20 caractères chaque semaine juste pour lire l'intranet de l'entreprise).

  • si l'armée allemande de la Seconde Guerre mondiale ne pouvait pas obliger ses opérateurs à suivre les instructions de sécurité (comme changer fréquemment les paramètres du rotor Enigma), et étant donné qu'ils pouvaient tirer sur les gens pour désobéissance, quelle chance avez-vous avec une simple hectoring?

32
Rich

C'est un problème vraiment difficile, mais si vous avez la possibilité de changer les choses, vous devriez tout donner.

Vous ne pouvez pas changer une culture du jour au lendemain. Cependant, vous pouvez prendre certaines mesures pour commencer à changer la culture pour le mieux.


L'application de la politique

C'est le premier sur ma liste. Je suis entièrement d'accord ici pour dire que vous devez appliquer les politiques de sécurité et discipliner ceux qui ne les respectent pas. Cela inclut tout le monde de haut en bas.

Préférez-vous mettre l'entreprise en danger en laissant ceux qui continuent de bousiller à plusieurs reprises ... eh bien, continuer à bousiller à plusieurs reprises? N'exposez pas votre entreprise à des dangers inutiles.

Les gens qui sont malhonnêtes dans les petites choses sont malhonnêtes dans les grandes choses et ne valent pas le temps qu'il faut pour les discipliner. Ces gens sont en haut de ma liste de recommandations de licenciement. Quiconque est honnête sur ce qu'il a fait de mal serait au pire suspendu, à moins qu'il ne cesse de répéter les mêmes erreurs.

Si quelqu'un a un désaccord, donnez-lui un endroit pour exprimer son opinion, mais ne vous contentez pas de rouler pour lui. Expliquez doucement pourquoi ... certains utilisateurs ont besoin de savoir pourquoi, c'est juste comment ils pensent. Ces utilisateurs demandent presque toujours pourquoi ils devraient faire quelque chose. Soyez prêt à leur enseigner.

Si quelqu'un refuse de suivre les politiques de sécurité, vous devez trouver des employés qui le feront. C'est vraiment aussi simple que cela.


Cependant, personne n'a le temps pour une liste géante de règles

Je suis d'avis que le fait d'avoir trop de règles nuit à ceux qui font leur travail. C'est pourquoi vous devriez avoir quelques règles spécifiques pour tout le monde, puis créer des règles spécifiques au rôle.

Bobby en comptabilité n'est pas orienté client. Je n'ai pas besoin de lui enseigner les dépassements de tampon, les injections SQL, xss, csrf, peu importe. Cathy en Finance n'a pas besoin de connaître les techniques de renforcement des serveurs.

Mais Buff Markalo en ingénierie a certainement besoin de savoir. Et il doit comprendre les politiques qui lui sont enseignées.


Rendez la formation facile à digérer et simple à comprendre

Vous devez connaître votre public avant même de commencer, ou vous êtes condamné avant de commencer.

N'oubliez pas que les exemples sont SUPER utiles pour faire comprendre aux gens ce qu'ils lisent. Je vais énumérer quelques sujets super basiques pour vous aider à démarrer. N'hésitez pas à les ajouter, mais ne les rendez pas envahissants.

  1. Développeurs.
    • Rendez-le spécifique à la plate-forme et donnez des exemples spécifiques à la plate-forme.
    • Vous pouvez le rendre court et simple. Vous pouvez même développer des vidéos faciles à digérer qui ne durent qu'environ 5 minutes pour chacune des vulnérabilités OWASP Top 10.
    • .gitignore, ne stocke pas les mauvais trucs sur GitHub, etc.
    • Tout ce qui concerne votre environnement.
  2. Employés en contact avec le client
    • Non au stockage de carte de crédit, ou vous êtes viré.
    • À faire et à ne pas faire.
  3. Tout le monde
    • Explication du phishing/chasse à la baleine/ingénierie sociale et de leur fonctionnement.
    • Tout ce qui concerne leur rôle. Face à la clientèle? Ne touchez en aucune façon les données du titulaire de la carte.
    • Ne partagez pas vos mots de passe/comptes
    • Ne configurez pas de ressources non autorisées (serveurs, machines virtuelles, etc.).
  4. Administrateurs Sys
    • Procédures de durcissement appropriées
    • Urgence de mettre à niveau les composants vulnérables
    • Tout ce qui concerne leur environnement.

Et mettez toujours à jour chaque fois que vous trouvez un problème qui n'existait pas auparavant. Vous n'obtiendrez jamais tout , mais vous pouvez obtenir le plus .


Orientation de la sécurité des nouveaux employés

Cela va sans dire. Vous devez vous assurer que toutes les embauches subissent une orientation de sécurité. Si vous créez un package d'apprentissage digestible qui suppose que tout le monde a une courte durée d'attention, vous aurez beaucoup plus de succès que des vidéos de sécurité de plus de 2 heures avec un gars bourdonnant d'une voix sérieuse. Je ne veux même pas regarder cette merde.


Quiz them

Vous devrez voir s'ils comprennent réellement ce qu'ils apprennent. Faites en sorte que tout le monde passe un quiz annuel et ne permettez pas à ceux qui échouent de continuer à travailler à moins de réussir.

Les tests de renforcement et les tests de compétences générales sont également utiles.

N'oubliez pas de connaître votre public cible. Si votre public cible aime l'humour immature, utilisez-le dans les quiz.


Traquer les problèmes de sécurité et affronter ceux qui les causent

Vous avez un chasseur? Demandez-leur de rechercher les problèmes de sécurité sur votre ou vos propres réseaux et expliquez-les en détail aux équipes responsables de ces failles. Documentez tout ce qu'ils ont fait de mal et approchez-vous d'eux et dites-leur que cela doit être corrigé.

S'ils refusent de corriger ou de modifier, voir Application de la politique ci-dessus.

Ne croyez pas ce que les utilisateurs vous disent. Vérifiez toujours ce qu'ils disent. Les personnes honnêtes sont les personnes les plus faciles à travailler avec le monde. Les gens malhonnêtes créent beaucoup plus de problèmes qu’ils n’en aident.


Résumer

  1. L'application de la politique
  2. Pas de règles dominantes. N'empêchez pas les gens de faire leur travail.
  3. Rendez-le facile à digérer et simple à comprendre. KISS fonctionne vraiment bien.
  4. Orientation de la sécurité des nouveaux employés.
  5. Quiz-les.
  6. Traquez les problèmes de sécurité et affrontez ceux qui les ont créés.

Avec le temps, les gens changeront. C'est parfois une bataille difficile, mais il vaut la peine de se battre.

13
Mark Buffalo

Je vais faire un petit détour et répondre à la question impliquée par cette partie:

mais ils s'en moquent

La réponse de @ shroeder couvre déjà le point de départ qui est d'avoir la gestion de votre côté. Et enseigner aux gens comment se sécuriser est une très bonne idée de la façon d'effectuer l'endoctrinement, mais je vais l'étendre. Voyons comment vous pouvez motiver les employés de l'entreprise à être plus conscients de la sécurité.

En général, concernant l'évolution des habitudes de travail, vous rencontrerez trois types de personnes. En offrant des incitations à chaque type, vous augmenterez vos chances de réussir la mise en place d'une culture de la sécurité. Vous pouvez rencontrer:

  1. L'homme de carrière: Le plus souvent représenté par des cadres intermédiaires ou des chefs de projet. Leur objectif est de documenter leurs capacités, et vous allez l'explorer. Fournissez-leur la formation en sécurité lors des sessions officielles avec certificats d'achèvement.

    Un certificat signifie peu en termes de connaissances réelles, mais vous pouvez effectuer un examen pour délivrer réellement les certificats. Vous pouvez les faire étudier par eux-mêmes.

  2. Le geek: Personnel technique, personnel d'exploitation (selon l'entreprise), et souvent d'autres membres du personnel qui peuvent essayer d'évoluer dans leur carrière. Leur objectif est la curiosité. Pour un geek, vous pouvez montrer un exemple de débogage d'un logiciel malveillant ou expliquer un débordement de tampon et à partir de là étendre les politiques que vous souhaitez mettre en œuvre. Donnez-leur des faits curieux, puis reliez-les à plusieurs reprises à la sécurité de l'entreprise.

  3. Le drone: Certaines personnes ne veulent tout simplement pas changer. Ils veulent simplement être informés de chaque détail de ce qu'ils doivent faire, et ne jamais faire plus que cela. On les retrouve à chaque endroit et à chaque niveau d'une entreprise. Et il n'y a pas de règle magique ici, vous devez leur faire face à des conséquences s'ils ne respectent pas les politiques. Souvent, vous devez appliquer ces conséquences très impitoyablement pour vous assurer que d'autres drones s'y adaptent.

5
grochmal

Il s'agit d'une situation difficile à résoudre si vous êtes déjà configuré pour avoir une relation antagoniste avec les autres départements.

Il va y avoir tout un tas d'hypothèses dans cette réponse. Ce ne sont que quelques réflexions basées sur mes propres expériences. YMMV.

Il est difficile de conduire un changement culturel, et le plus souvent, vous devrez changer plusieurs groupes pour vous soucier de la sécurité différemment:

  • Département de sécurité:
    • Il faudra que la sécurité se soucie moins de la sécurité pour la sécurité.
    • Des discussions informées sur les "risques acceptables" peuvent devoir avoir lieu. Il y aura des moments où le produit aura la priorité.
    • Arrêtez de présenter une culture du "non".
    • Facilitez les tests de conformité de sécurité "de base". (Intégrez des tests de sécurité dans les pipelines CI/CD, par exemple.)
  • Équipes de développement:
    • Vous devrez convaincre d'autres équipes de considérer la sécurité dès le départ, comme une caractéristique essentielle du produit.
    • Cela devra être une considération continue; du temps doit être alloué à l'avance sur une base récurrente (sprint, semaine, mois, etc.) pour évaluer les versions de plateforme/framework/plugin pour les correctifs de sécurité. Faites-en relativement peu de temps, mais assurez-vous que 4 heures-personnes par sprint sont pré-allouées pour l'hygiène.
  • Systèmes/Opérations
    • Rappelez-leur que vous êtes là pour les aider. (Stick and Carrot ne fonctionne pas si vous n'avez pas de carotte.)
    • Travailler avec Systèmes/Ops pour automatiser les correctifs de sécurité, les rapports de conformité.
    • Cela prend du temps, alors faites de votre mieux pour ne pas les surprendre avec un avis de slap down sans heads-up si possible. Les équipes Sys/Ops n'apprécient pas d'être jetées sous un bus lorsque, par exemple, un rapport d'examen de la sécurité est remis à la direction.
    • Aidez-les à intégrer les tests de sécurité à la surveillance opérationnelle
    • Par exemple, ils peuvent avoir un moniteur https qui s'éteint avant l'expiration du certificat, mais ils sont moins susceptibles d'en avoir un pour les chiffrements faibles.

Enfin, il y a beaucoup d'informations à tirer de conférence DevOpsDaysMSP 2014 de Ben Hughes "Handmade Security at Etsy" , où il discute de ce sujet.

3
gWaldo

D'accord, vous ne devriez essayer ceci que si RIEN NE FONCTIONNE D'AUTRE. Vous avez été averti.
.

Leur montrer le nombre d'attaques que vous avez empêchées n'aidera pas. Ils seraient encore plus sûrs que vous pouvez résister à n'importe quelle attaque. Ce dont vous avez besoin est une attaque réussie. Ou du moins donner l'impression que l'on a réussi.

Alors ... En vacances ou quelque chose du genre, faites comme si votre réseau était ciblé et compromis. Rendez-le convaincant. Mettez les lecteurs réseau hors ligne pendant une heure ou deux. Et puis dites que vous avez réussi à tout récupérer, mais l'attaque a été causée parce que quelqu'un a laissé traîner des informations d'identification confidentielles importantes ou que son compte s'est connecté sur un PC public. Si cela ne fonctionne pas, rien d'autre ne fonctionnera . J'ai fait ça une fois à mon équipe, et croyez-moi, ils ont perdu toute leur insouciance. Le choc d'avoir éventuellement perdu le projet sur lequel ils travaillaient depuis des mois les rendait vraiment sérieux pour la sécurité.

Cependant, vous devez garder à l'esprit quelques éléments:

  • Votre patron/personnes âgées devrait être au courant de cette attaque par étapes. Dites-leur que c'est le seul moyen de protéger l'organisation contre une attaque grave plus tard dans le futur. MAIS DITES-LES . Vous ne voulez vraiment pas être renvoyé parce que vous avez essayé d'enseigner à quelqu'un l'importance d'être prudent avec ses mots de passe.

  • Vos collègues pourraient ne pas bien réagir s'ils se rendent compte que tout l'incident a été organisé. Réfléchissez bien avant de leur en parler. Mon équipe a compris pourquoi j'ai fait ça. Ce n'est peut-être pas le cas.

S'IL VOUS PLAÎT PENSEZ BEAUCOUP AVANT D'AVANCER AVEC CECI.

2
undo

Le problème que vous décrivez s'applique également aux chiens renifleurs de drogues et de bombes.

Peu importe combien vous leur hurlez dessus et les menacez, les chiens renifleurs de drogues et de bombes peuvent se désintéresser très rapidement s'ils ne trouvent pas ce qu'ils recherchent malgré tout le travail qu'ils font.

C'est pourquoi le dresseur doit constamment cacher de fausses drogues ou de fausses bombes pour garder le chien engagé dans son activité. Et oui, le formateur utilisera des friandises au départ, pour s'associer à la recherche de quelque chose et pour renforcer la récompense, mais ce qui finalement maintient le chien engagé est l'élément de jeu et l'idée que le chien cherche quelque chose qui est très susceptible d'être trouvé (même si l'objet trouvé doit être truqué la plupart du temps pour garder le chien intéressé).

C'est pourquoi votre entreprise doit mettre en place un programme régulier de tests de pénétration et d'attaques d'ingénierie sociale, puis revoir régulièrement ses résultats avec toutes les personnes impliquées. Il n'y a vraiment aucun substitut à ce genre de chose.

Le fait est que vos serveurs peuvent être constamment martelés par les scanners de ports, mais cela n'a pas d'importance pour vos dirigeants ou vos réceptionnistes. Ce qu'ils doivent voir, ce sont des attaques réelles qui les affectent, ou auxquelles ils n'ont pas pensé, et la meilleure façon de le faire est de tenter ces attaques contre eux dans l'environnement auquel ils sont habitués.

Cela soulage également le fardeau de la maladresse sociale lorsque l'on confronte ou bloque quelqu'un d'autorité supérieure ou égale perçue. Sur mon lieu de travail, nous avions une politique stricte de ne laisser personne que nous ne connaissions pas nous suivre après avoir utilisé notre carte RFID pour entrer. Mais bien sûr, les stagiaires du collège et les concierges de nuit ne demanderaient jamais les informations d'identification de quelqu'un qui semble pouvoir travailler là-bas. Pour qu'ils fassent quelque chose comme ça, ils devaient penser qu'il y avait une chance raisonnable que ce soit un test ou un exercice, car la probabilité réelle que ce soit un méchant/gal était en fait très faible comparativement.

Et s'il vous plaît, ne pensez pas que je blâme simplement les concierges et les stagiaires, ils ne sont pas les seuls à casser le protocole simplement parce qu'ils sont trop gentils ou parce qu'ils recherchent les solutions les plus pratiques. Les employés, les cadres et bien d'autres feront la même chose.

2
Stephan Branczyk

Simplicité et cohérence

Les politiques de sécurité doivent être faciles à suivre pour les gens. De nombreuses organisations ont des politiques qui ne reflètent pas la réalité, sont contradictoires et que les gens doivent rompre pour faire leur travail. La solution consiste à simplifier les politiques et à accepter les commentaires des utilisateurs.

L'application doit être cohérente. Si certaines personnes enfreignent les politiques et que rien ne se passe, cela en encourage d'autres. Utiliser la technologie pour appliquer les politiques dans la mesure du possible, en s'appuyant sur des utilisateurs individuels comme contrôle de sécurité devrait être un dernier recours. De plus, la meilleure façon d'empêcher les gens de divulguer des informations est de ne pas leur en donner en premier lieu.

D'autres ont mentionné avoir besoin d'un "bâton" d'application pour les personnes qui ne se conforment pas. Je pense que c'est contre-productif et décourage les gens de parler ouvertement.

Classification

Vous devez déterminer quels éléments de votre opération sont essentiels. Tout dans les affaires est important dans une certaine mesure, mais certains bits sont "régulièrement importants" et d'autres sont "super critiques".

Les bits super critiques pour lesquels vous devez disposer de contrôles très puissants. Et les bits réguliers que vous avez des contrôles sont un équilibre entre la sécurité et la convivialité.

Je pense que beaucoup de problèmes dans la sécurité de l'entreprise sont l'échec de cela. Le service de sécurité essaie de faire fonctionner l'ensemble de l'entreprise au niveau "super critique" - ce qui n'est pas réaliste.

1
paj28

Montrez le POURQUOI

Il y a déjà de très bonnes réponses à cela mais permettez-moi d'apporter ce petit détail:

Pour que vos utilisateurs soient de votre côté, montrez-leur POURQUOI toutes ces exigences de politique sont essentielles!

Voici un exemple très basique: Donnez-leur des exemples de la façon dont les mauvais mots de passe rapides peuvent être exploités.

1
G.Sch.

Le plus gros problème de sécurité est en fait le pool d'utilisateurs.

Aucune sécurité ne peut vaincre la stupidité de l'utilisateur (comme cliquer sur un script reçu par un e-mail aléatoire).

Qu'as tu besoin de faire:

  • présenter les risques pour la direction

  • présenter des exemples de mauvaises choses qui se sont produites

  • présenter un plan de contre-mesures (technique)

  • demander d'avoir des règles obligatoires pour tout le monde et appliquer votre politique de sécurité (créez-en une si vous n'en avez pas déjà)

  • demander la création d'un système de sanctions pour ceux qui ont enfreint les règles à plusieurs reprises

  • faire en sorte que la direction organise une formation avec les utilisateurs - c'est le plus important - la formation doit contenir tout, des problèmes de sécurité plus complexes qui peuvent être évités par la conformité des utilisateurs à la simple liste des choses à ne pas faire (c'est-à-dire ne pas cliquer sur les liens dans les e-mails)

1
Overmind