Innhold
- Hvordan designer jeg informasjonssikkerhetssystemet mitt?
- Hva er CIA-triaden?
- CIA-triaden ødelagt
- konfidensialitet
- Integritet
- Tilgjengelighet
- Hvordan kan CIA Triad hjelpe deg?
- 1. Konfidensialitet og dine data
- 2. Atferdsendringer for dataintegritet
- Hvordan hackere får tilgang til informasjonen din via passordet ditt
- Passordstyrke
- 3. Tekniske og fysiske tilgjengelighetsløsninger
- Administrativt
- Teknisk
- Fysisk
- Datasikkerhet er et livsstilsvalg
Erin studerer cybersikkerhet. Hun tenker bredt på teknologirelaterte emner og hvordan de påvirker hverdagen vår.
Vår personlige informasjon er nøkkelen til eiendelene våre. Hvordan kan du holde informasjonen din privat i det daglige? Mens internett tilbyr mange tips og triks for å holde informasjonen din trygg, er det også nyttig å ha et rammeverk for å forstå hvorfor det er nyttig å utføre disse anbefalingene. Inc.com's Brian Scudamore anbefaler å drive livet ditt som en bedrift fordi "... når du begynner å se på hvert aspekt av livet ditt som et distinkt system, blir det lettere å identifisere, adressere og strømlinjeforme for fremtiden" (Scudamore, 2018) . Bruk dette på informasjonssikkerheten din, og vel - du har en infrastruktur som er vanskelig å trenge gjennom.
Hvordan designer jeg informasjonssikkerhetssystemet mitt?
Når bedrifter designer informasjonssikkerhetssystemer, følger de et tredelt rammeverk kjent som CIA-triaden. Jeg anbefaler deg å gjøre det samme.
Hva er CIA-triaden?
CIA-triaden er delt opp som følger:
- konfidensialitet
- Integritet
- Tilgjengelighet
Formålet bak triaden er enkelt; de tre veiledende prinsippene er ryggraden i retningslinjer for akseptabel bruk og andre retningslinjer som brukes på informasjonssikkerhetssystemer.
CIA-triaden ødelagt
Jeg oppfordrer enkeltpersoner til å adoptere CIA-triaden som en mentalitet i hverdagen.
konfidensialitet
Konfidensialitet er definert av Merriam-Webster som "privat eller hemmelig". Konfidensialitet i en informasjonsteknologiinnstilling må være robust nok til å opprettholde personvernet til kunde- og ansattdata. Personvernlover som HIPPA (Health Insurance Portability and Accountability Act of 1996) og GLBA (Gramm-Leach-Billey Act) krever at data fra kunder og ansatte forblir konfidensielle.
Integritet
Målet med integritet er å sikre at data ikke blir oppfanget eller manipulert i lagring, transitt eller etter og under bruk. Data i en organisasjon, særlig personlig informasjon, må holdes borte fra faktorer og enkeltpersoner som kan endre eller bruke dataene av andre årsaker enn den tiltenkte bruken.
Tilgjengelighet
Tilgjengelighet dikterer sikker tilgjengelighet av data og tjenester. Vedlikehold av systemer og beskyttelsesmetoder som inneholder viktige data, nemlig gjennom oppdatering av operativsystemer og distribusjon av de mest passende sikkerhetsmetodene, er avgjørende for ethvert selskap. For eksempel gjorde et DDoS (distribuert denial-of-service) -angrep på Sundance Film Festival 2017 alle nettverk og derfor billettkontorer utilgjengelige. Dette er et eksempel på mislykket tilgjengelighet. Tilgjengeligheten opprettholdes med tre typer kontroller:
- Administrativt kontrollene bestemmer hvem som har tilgang og hvor mye informasjon de har tilgang til.
- Teknisk kontroller er ting som DMZ (demilitariserte soner), brannmurer, kryptering og passordpolicyer som forhindrer uvedkommende å få tilgang til nevnte data.
- Fysisk tilgang til privat informasjon kan føre til at informasjon blir kompromittert.
Hvordan kan CIA Triad hjelpe deg?
Har en arbeidsgiver noen gang bedt deg om å dele bankkontoinformasjonen og rutingnummeret ditt slik at du kan motta et direkte innskudd? Har du noen gang blitt stjålet kredittkortinformasjon fra deg uten å miste lommeboken? Har en bekjent noen gang stilt deg et personlig spørsmål som i ettertid kan føre dem til å vite ting om deg som kan kompromittere eiendelene dine? Målene og ideene bak konfidensialitet, integritet og tilgjengelighet kan hjelpe. Jeg går over:
- Konfidensialitet og dine data
- Atferdsendringer for dataintegritet
- Tekniske og fysiske tilgjengelighetsløsninger
1. Konfidensialitet og dine data
Folk kompromitterer sin personlige informasjon daglig, inkludert:
- Kredittkort
- bankkonto
- Personnummer
- Passord til bankkontoer og eiendeler
Én og (eller alle disse) er nøkkelen til å få tilgang til varer som tilhører deg, enten det er kredittpoeng eller penger. Konfidensialitet er kunsten å minimere eksponeringen av informasjonen din for utenforstående. Mens god integritets- og tilgjengelighetspraksis (nedenfor) i stor grad øker din evne til å holde dataene dine konfidensielle, er det noen få gjeldende mentaliteter for å herde konfidensialiteten din.
- Hold tilgangspunkter hemmelige. Hvis du fysisk har tilgang til informasjonen din, kan det også gjøre noen andre. Uansett hvilken sikkerhetsmekanisme du har brukt for å sikre informasjonen din, er tilgjengelig, så hold hvordan og hvor du holder informasjonen stille og sikker.
- Ikke selvsabotasje ved å stole på gale mennesker. Den uheldige sannheten er at du ikke kan stole på alle. Reflektere over bruk av andres enheter før du får tilgang til kontoer, og vurder hvor du lagrer viktige dokumenter, for eksempel trygdekortet ditt.
- Vær kunnskapsrik om alternativene dine. Ha tillit til å undersøke på egen hånd for å finne løsninger for lagring av informasjonen din.
2. Atferdsendringer for dataintegritet
Noen få enkle atferdsendringer kan redusere sannsynligheten for å kompromittere informasjonen din, nemlig:
- Unngå offentlig WiFi,
- og bruk passordstyling.
Mens mange kontoer tilbyr totrinnsgodkjenning og noe strenge passordkrav, forstår ikke mange hvor viktig et langt passord er for å beskytte kontoene dine.
Hvordan hackere får tilgang til informasjonen din via passordet ditt
Passord kan knekkes ved hjelp av verktøy som kalles regnbuebord. En regnbuetabell er et sett med hash-verdier som samsvarer med hashes oversatt fra passord med ren tekst. Når et passord skrives inn og sendes til et nettsted slik at du kan få tilgang, blir selve passordet sendt som hasj, ikke i ren tekst. Rainbow-tabeller gjør det mulig for hackere å kryssreferanse hasjen med en hashtabell for å dekryptere passordet ditt. Jo lengre og mer variert passordet ditt er, jo vanskeligere er det å knekke.
Rainbow-tabeller er en av mange grunner til at enkeltpersoner ikke skal få tilgang til passordbeskyttede identitetsdata over offentlige WiFi-nettverk.
Noen gode tommelfingerregler for din personlige passordpolicy er følgende:
- Bruk aldri det samme passordet for flere systemer
- Passord skal aldri inneholde ord, slang eller akronymer
- Sett kontoene dine slik at de blir sperret etter et visst antall mislykkede forsøk på å skrive inn passord
- Bruk forskjellige karaktertyper (store og små bokstaver, tall, symboler)
- Gjør passordet ditt langt (lengre enn 8 tegn)
- Husk å endre passordene dine etter et brudd hvis du delte en datamaskin med noen
Passordstyrke
3. Tekniske og fysiske tilgjengelighetsløsninger
Som nevnt ovenfor kan tilgjengelighetsaspektet av CIA-triaden deles inn i tre hoveddeler: administrativt, teknisk og fysisk.
Administrativt
Den beste måten å holde informasjonen din privat er å få tilgang til verdisaker bare på sikkerheten til et privat, pålitelig WiFi-nettverk; ideelt sett din egen. Det er viktig å håndheve ditt personlige WiFi-nettverk med de samme strenge passordretningslinjene som du gjør for de andre kontoene dine. Endre navnet på nettverket ditt slik at hackere ikke kan bruke standard nettverksnavnet til å bryte krypteringen.
Noen potensielle trusler mot dine elektroniske eiendeler når du får tilgang til dem fra ditt eget hjem, er gardister. Wardriving, også kjent som tilgangspunktkartlegging, er handlingen med å kartlegge trådløse tilgangspunkter for lokalnettverk (eller LAN) og bruke dem hemmelig, og av og til, ondskapsfullt. Et sterkt passord reduserer sannsynligheten for tilgang fra ubudne parter etter forslagene ovenfor.
Teknisk
Først og fremst er det viktigste du kan gjøre å aktivere WPA2 trådløs kryptering.
I tillegg, hvis du er bekymret for at du vil oppleve overvåking fra lokomotivførere, eller hvis du rett og slett ikke er interessert i at internettleverandøren din vet hva du holder på med, lønner det seg å installere et VPN. Det er noen gode artikler om VPN-er her:
Hvordan sette opp ekstern VPN-tilgang ved hjelp av pfSense og OpenVPN
VPN-er med den beste innsatsen for å beskytte personvernet ditt
Fysisk
Visse dokumenter som inneholder personlig informasjon er viktig å oppbevare. Lønnsstammer brukes for eksempel ofte til å verifisere inntekt når du søker om lån, leiligheter eller andre ting som krever at innehaveren vurderer din økonomiske situasjon. Hold disse og tingene som trygdekort, selvangivelser, fødselsattester og til og med ekstra kontanter låst i en brannsikker boks. Andre ting, som kontoutskrifter eller kvitteringer, regninger eller andre dokumenter som inneholder personlig informasjon, bør makuleres.
Datasikkerhet er et livsstilsvalg
For noen måneder siden var jeg i en matbutikk Starbucks i det sørvestlige USA, og baristaen handlet mistenkelig. Først tok jeg hans vanskelige vennlighet for nervene; han klarte ikke å ringe meg for latte og bare belastet meg for melkeskiftet uten melk ($ 0,79). Jeg varslet ham om hans feil, og han svarte sauelig "unnskyld", og korrigerte problemet.
Senere den dagen varslet banken meg at de hadde sperret et gebyr fra Best Buy i North Carolina for $ 1.300. Jeg hadde fremdeles kredittkortet mitt, og jeg har en lommebok med RFID-blokkeringsteknologi (radiofrekvensidentifikasjon), så jeg eliminerte fysisk tyveri og (mest sannsynlig) RFID-skimming som mulig angrep. Dette etterlot kloning gjennom EMV-chipleseren (det jeg hadde brukt til å betale for latte på Starbucks) som den sannsynlige metoden for å stjele kortinformasjonen min. Retrospektivt var dette fornuftig fordi barista (gjerningsmannen / kortkopimaskinen) prøvde å underbelaste meg, noe som ville ha etterlatt mer likvid kreditt på kontoen min.
Realiteten er at du ikke kan forutse alle situasjoner der identiteten din kan bli kompromittert. Det beste du kan gjøre er å forstå sårbarhetene dine og bruke så mange taktikker som ovenfor for å beskytte dataene dine. Hold deg trygg der ute!
