信息安全，选择权还是义务？

摘要

二十年前，企业家需要采取的唯一保护资产的措施就是保管现金箱，库存，基础设施，机器和其他资产。

当前，对于许多公司而言，主要资产并不是真正有形的东西，它们不是有价值的结构或办公楼，而是它们处理的信息。

当我们谈论信息时，我们几乎总是谈论工作场所中的信息系统。这要归功于技术和计算带来了用于数据处理，存储和信息管理的强大工具。

正如已经出现了伟大而新颖的发明一样，值得一提的是，万物始终存在对立。正是在这里出现了一些恶意的想法，并希望其中的一些想法能够窃取或破坏不属于它们的信息。因此，需要保护自己，保护我们的业务，客户和公司的未来，从而保证信息的安全。

方法

本文是我本人和其他人在与信息安全相关的所有方面的经验的产物。此外，还参考了经验丰富的公司的建议，这些公司的观察对本文具有重要的价值。

使用的书目来源是：互联网上的官方出版物。

文字完整

安全公司卡巴斯基（Kaspersky）在内容丰富的文章中指出（（2013年，使用针对金融数据盗窃的恶意程序进行的计算机攻击数量增长了27.6％，达到2840万。受攻击的用户数量为380万，年增长率为18.6％； 2013年，遭受恶意程序财务攻击的用户数量占被攻击用户总数的6.2％。 2012年，该指数增长了1.3个百分点。

在金融恶意软件中，与比特币相关的工具最为活跃，但仍然起着主导作用，即从银行账户中窃取资金，例如Zeus恶意软件。

这些数据显示出不断增长的趋势，但是，这并不表示计算机安全公司没有开展工作，因为这些恶意实体始终可以被检测和消除，但是缺点是它们不断发展和持久化。

Karspesky的指标还表明，这些攻击中的许多攻击都不是具有广泛的黑客知识，而是使用用户可以学习使用的恶意软件（malware）。这表明有些人能够利用他们的编程知识来创建有害的应用程序，邪恶的工具。

因此，如果您要保护企业免受内部和外部攻击，则应该在公司中考虑一些建议，这些建议不应视为可选的。首先是在技术领域拥有合适的人员，该领域必须有专门的计算机安全委员会。

这是任何公司都需要保护的两个环境：

个人保护

组织内的每个流程都必须保留一个审计记录，该记录存储着谁，何时何地在系统中进行了移动或交易的日志。为此，软件开发人员必须确保在数据库表中进行的每个INSERT操作中，审计表中还包含一个INSERT记录用户名，时间和其他数据，计算机设备必须通过以下方式进行配置：配置文件和角色，同样是在这些计算机上运行的系统，根据责任级别仅提供访问权限。这意味着，接待员不必访问TOAD（数据库管理器），或者营销经理的秘书也不能访问公司的财务报表。公司的每位员工都必须签署一份保密协议，根据该协议，该协议表明公司已接受有关处理机密信息的政策，信息安全人员必须具有监视或审核信息安全的能力。定期进行团队协作（如果他们的活动暗示着对信息有些敏感，这并不意味着您应该始终对公司的同事团队进行审查，因为这会造成不必要的不适和不信任感）。为此，您可以与网络管理员合作，后者必须具有适当的监视工具。根据公司现行的机密信息处理政策表明接受。计算机安全人员必须具有定期监视或审核设备的能力（如果他们的活动暗示了某些敏感性）作为参考，这并不意味着您应该始终检查公司同事的团队，因为这会造成不必要的不适和不信任感。为此，您可以与网络管理员合作，后者必须具有适当的监视工具。根据公司现行的机密信息处理政策表明接受。计算机安全人员必须具有定期监视或审核设备的能力（如果他们的活动暗示了某些敏感性）作为参考，这并不意味着您应该始终检查公司同事的团队，因为这会造成不必要的不适和不信任感。为此，您可以与网络管理员合作，后者必须具有适当的监视工具。计算机安全人员必须具有定期监视或审核设备的能力（如果他们的活动暗示对信息有某种敏感性，这并不意味着他们应该始终在检查公司同事的设备。造成不必要的不适和不信任感）。为此，您可以与网络管理员合作，后者必须具有适当的监视工具。计算机安全人员必须具有定期监视或审核设备的能力（如果他们的活动暗示对信息有某种敏感性，这并不意味着他们应该始终在检查公司同事的设备。造成不必要的不适和不信任感）。为此，您可以与网络管理员合作，后者必须具有适当的监视工具。