Specjaliści ds. bezpieczeństwa dbają o ochronę danych. Jest to często określane jako triada bezpieczeństwa CIA lub czasami triada CIA. To nie jest CIA jak Centralna Agencja Wywiadowcza. Oznacza poufność, integralność i dostępność [ang.] Twoich danych. Rozbijmy to. Dodamy do tego czwarty element zwany prywatnością, ale zacznijmy od poufności. Przede wszystkim musimy upewnić się, że dane są poufne. Innymi słowy, nieuprawnieni użytkownicy nie mają dostępu do danych. Zrobimy to za pomocą różnych mechanizmów, których już doświadczyłeś. Poprosimy Cię o zalogowanie się przy użyciu nazwy użytkownika i hasła, coś, co znasz. Przyjrzymy się również szyfrowaniu tych danych. Na przykład, jeśli ktoś ukradnie twój laptop, może nie mieć twojego hasła, ale jeśli wyciągnie dysk twardy, może być w stanie wyciągnąć z niego dane. Cóż, nie, jeśli zaszyfrujemy również te dane, a to wymaga przeszkolenia, a dobrym przykładem są drukarki. W biurze, jeśli miałeś zadanie drukowania, wydrukowałeś coś i zapomniałeś o tym i zostawiłeś na drukarce. Cóż, wyobraź sobie przez chwilę, że wydrukowałeś poufne informacje, które zostawiłeś na drukarce i każdy, kto podszedł do drukarki, mógł je nagle zobaczyć. Poufność jest bardzo ważnym elementem ochrony danych, ale nie jest to jedyny element. Jest też uczciwość. Integralność oznacza, że same dane są dobre. Jest spójny i dokładny i możemy ufać danym. Innymi słowy, nikt lub żadne złośliwe oprogramowanie nie dostało się i nie uszkodziło tych danych lub je zmieniło, a my robimy to, przeprowadzając audyt danych, śledząc zmiany w danych i sprawdzając, kto jest ostatnią osobą, która dokonała w nich zmian? Oprócz integralności innym ważnym aspektem jest dostępność. Chcemy mieć pewność, że dane są dostępne dla uprawnionych użytkowników, gdy potrzebują dostępu do tych danych, co oznacza, że możemy mieć pewne zabezpieczenia przed awariami lub redundancję, o których będziemy mówić później, aby zapewnić, że dane są dostępne. Jeśli stracimy serwer, nadal będę mógł uzyskać dostęp do tych danych. Z dostępnością będzie wymagać ciągłej konserwacji, takiej jak tworzenie kopii zapasowych i aktualizacji, plany odzyskiwania po awarii, ale dostępność jest ważna i dotyczy to nawet Twojego życia osobistego, kiedy zaczynamy mówić o jednym rodzaju złośliwego oprogramowania o nazwie ransomware. Twoje dane tam są, nie są dla Ciebie dostępne i możesz ich potrzebować. To również prowadzi nas do prywatności. To jest czwarta część z trzech odnóg triady CIA, a prywatność odnosi się do Ciebie i Twoich danych osobowych lub PII. Dzieje się tak niezależnie od tego, czy znajduje się w witrynie biznesowej, czy jest z Tobą osobiście, Twoimi danymi osobowymi, Twoją dokumentacją medyczną lub numerem ubezpieczenia społecznego. Być może nie chcesz, aby ludzie znali Twój adres. Cokolwiek to jest, jest z tobą lub może być z firmą, z którą robiłeś interesy, jeśli kupiłeś produkty. Te informacje muszą być chronione. Nie wszystko, ale rzeczy, które chcemy chronić. Ponadto organizacje mogą mieć bardzo specyficzne wymagania prawne. Kilka z nich to powszechnie znana ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych lub HIPAA dla instytucji medycznych w celu ochrony dokumentacji pacjentów. Również branża kart płatniczych dla kart kredytowych i kart debetowych. Istnieją poziomy zgodności dotyczące sposobu przeprowadzania tych transakcji. Czy można przechowywać numery kart kredytowych? A co z informacjami o osobie? Produkty, które kupili, daty, godziny, kiedy otrzymali te produkty, jak to jest przechowywane i czy jest dostępne dla każdego i dla kogo jest to upoważnione? Łączą się one w sposób, w jaki myślimy o ochronie danych. Poufność, integralność, dostępność i prywatność. Specjaliści ds. bezpieczeństwa nie myślą tylko o danych. Innymi słowy, czy dane są poufne? Czy ma integralność? Czy jest dostępny? Myślą też o tym, jak chronić te dane. Wyobraź sobie, że masz jakieś ważne poufne informacje na kartce papieru i wkładasz ją do zamkniętego sejfu. Cóż, sejf to jeden mechanizm, ale jeśli masz dobrego bezpiecznego crackera, dość łatwo jest dostać się do tego sejfu i ukraść te informacje. Koncepcja jest taka. Czy możemy budować warstwy bezpieczeństwa i to jest określane jako obrona dogłębna. Korzystanie z wielu procesów bezpieczeństwa w celu ochrony tych danych. Pomyśl o tym w ten sposób. Masz ten zamknięty sejf, ale powiedzmy, że umieściłeś go w pokoju, który jest również zamknięty, który wymaga skanera linii papilarnych, aby się do niego dostać, a ten pokój znajduje się w budynku, w którym są ochroniarze, którym muszą zeskanować odznakę zobacz, czy możesz się połączyć. Widzisz, jak budujemy na tym warstwy? To jest to, co specjalista ds. bezpieczeństwa chce zrobić z danymi i jest to ta sama rzecz, w której możesz pomóc w swojej firmie, co możesz zrobić również w swoim życiu osobistym. Dlatego specjaliści ds. bezpieczeństwa spędzają dużo czasu na organizowaniu, planowaniu i szukaniu sposobów łagodzenia różnych ataków. Mogą robić rzeczy zwane testami penetracyjnymi lub pentestami , które testują własne środowisko, aby sprawdzić, czy istnieją punkty ataku, które mogą zrobić. Opracują również plany odzyskania, analizy i naprawy sytuacji po ataku. Działy bezpieczeństwa będą również oferować szkolenia pracowników i zachęcam do sprawdzenia, czy to robią. Jeśli tak, skorzystaj z tego, ponieważ masz największy wpływ. Możesz poszerzyć swoją wiedzę i wykonywać zadania związane z bezpieczeństwem, które pomagają w sytuacji zarówno w Twojej firmie, jak i w domu. Co najważniejsze, zaczniesz zauważać, że coś jest nie tak, a potem możesz dać znać komuś innemu, o czym porozmawiamy na końcu tej książki. Do kogo możesz iść i wyjaśnić, że może być problem? To wszystko to bezpieczeństwo w biznesie. Jak myśleć o swoich danych? Czy dane są naprawdę bezpieczne przed nieautoryzowanymi użytkownikami? Czy jego integralność jest dobra? Jak możesz chronić się przed tymi danymi? Cóż, teraz nadszedł czas, aby w końcu się zagłębić i zacząć sprawdzać, przed czym go chronisz, różne rodzaje zagrożeń i exploitów, z którymi możesz się zmierzyć.