Frage:
Warum sollte die Sicherheit Dinge wie Naturkatastrophen abdecken?
Celeritas
2016-01-10 07:02:02 UTC
view on stackexchange narkive permalink

Ich nehme an einem Kurs teil, der unter Berücksichtigung der CISSP-Zertifizierung konzipiert wurde. Obwohl die Klasse als Software-Engineering eingestuft ist, haben wir viel über physische Sicherheit und insbesondere über Überschwemmungen, Brände, Erdbeben und Autos gesprochen, die auf Dinge stoßen. Wie ist diese Sicherheit? Zum Beispiel wurde uns gesagt, dass Rechenzentren in der Mitte eines Gebäudes am sichersten sind, denn wenn das Dach undicht wäre, wäre die Oberseite nicht sicher, und das Wasser sinkt tendenziell, sodass die unteren Stockwerke als erste überflutet werden. P. >

Ist das wirklich ein Sicherheitsproblem? Wenn beispielsweise das Dach undicht ist, ist der Ingenieur schuld, nicht der Sicherheitsanalytiker. Sie würden keinen Sicherheitsanalysten beauftragen, um sicherzustellen, dass das Dach solide ist.

UPDATE: Wie ist diese Sicherheit, wenn Sie beispielsweise Poller um ein Gebäude haben, um Fußgänger vor Autos zu schützen? Das hat noch niemand wirklich erklärt. Mir wurde gesagt, dass die wertvollsten Vermögenswerte des Unternehmens seine Mitarbeiter sind, aber was ist mit dieser Argumentation nicht Sicherheit?

Wenn die Verfügbarkeit so umfassend ist, was ist dann nicht Teil der Sicherheit? P. >

Persönliche Meinung, ich denke, es ist eine Möglichkeit für sie, Sie dazu zu bringen, sozusagen über den Tellerrand hinaus zu denken. Welches ist, was Sie in realen Szenarien tun müssten. Die Informationssicherheit beschränkt sich nicht nur auf den digitalen Schutz, sondern auch auf den physischen Schutz von Daten.
Sie wenden die Frage der physischen Sicherheit schnell auf einen "Analysten" an. Das CISSP richtet sich an Sicherheitsleute auf höherer Ebene als an Analysten. Möchten Sie wissen, warum das CISSP Naturkatastrophen umfasst oder warum sich ein Analyst darum kümmern sollte?
Wenn der Kurs auf CISSP ausgerichtet ist, handelt es sich nicht um einen Software-Engineering-Kurs. Informationssicherheit umfasst Papierunterlagen, persönliche Sicherheit, Verfügbarkeit von Diensten usw.
Interessiert es Sie wirklich, was Ihre Daten angreift? Macht es für Sie (und vor allem für Ihren Schutz) einen Unterschied, ob jemand Ihr Rechenzentrum absichtlich zerstört oder ob es sich um ein natürliches Wetterphänomen handelt?
"Wenn das Dach undicht ist, ist der Ingenieur schuld", aber wenn dies zu einem Sicherheitsproblem führt, ist der Sicherheitsanalytiker schuld. Das Ziel ist nicht, jemanden zu finden, der die Schuld trägt, sondern die Ressourcen verfügbar und sicher zu halten. Ihr Ziel sollte es sein, * jede * Möglichkeit in Betracht zu ziehen. Wenn das Dach undicht ist, sollten Sie entweder irgendwo geschrieben haben, dass dies ein Risiko ist, das das Unternehmen zu akzeptieren bereit ist, oder Abhilfemaßnahmen treffen. Aber auf jeden Fall ist es Ihre Aufgabe, darüber nachgedacht zu haben!
@Josef 1) Ich würde es nicht als Schuld bezeichnen, ich würde es als vernünftig bezeichnen. 2) Es war überhaupt keine Sicherheitsmaßnahme, ein nicht undichtes Dach zu haben, also wäre es nicht die Schuld des Sicherheitsanalysten. 3) Darin spüren, was nicht Sicherheit wäre?
Ich denke, mein Punkt ist in einem praktischen Szenario, was ein Unternehmen eher tun würde: Stellen Sie sicher, dass es ein Dach von guter Qualität hat, oder zahlen Sie für wasserdichte Computer? Mit der Sicherheitsperspektive scheinen wir über Letzteres zu sprechen, was nicht kosteneffektiv ist.
Natürlich sorgen sie für ein qualitativ hochwertiges Dach. Aber es liegt in Ihrer Verantwortung als Sicherheitsanalytiker, sicherzustellen, dass das Dach gut ist. Mit CISSP haben Sie ** keinen ** Computertyp_ gegessen. Sie sind für die ** Sicherheit ** verantwortlich und das Dach, die Türen, die Wände ... sind Teil davon!
@Josef würde das nicht einen Hintergrund in Schreinerei oder Bauingenieurwesen erfordern und am besten diesen Arten von Fachleuten überlassen werden? Sie können auch keine Ausrufezeichen und fett gedruckten Buchstaben mehr verwenden.
@Celeritas Nein. So funktioniert Management nicht! Sie müssen entscheiden, wie das Dach sein muss, bei Bedarf Feedback von Spezialisten einholen und dann einen Spezialisten damit beauftragen! Wenn Sie eine neue Internetverbindung benötigen, bekommen Sie auch nicht Ihre Schaufel, oder? Sie entscheiden, wie es sein muss (Bandbreite, Technologie, zwei Kabel in verschiedene Richtungen für Redundanz ...) und bezahlen dann jemanden, der gräbt und das Kabel einsteckt! Aber du rufst auch nicht einfach einen zufälligen Typen an und sagst ihm "Hol mir mit deinem Bagger das Internet".
@Celeritas, um das klar zu machen: Mit "Stellen Sie sicher, dass das Dach gut ist" meine ich nicht, dass Sie auf das Dach steigen und darauf hämmern oder Wasser gießen und sehen sollten, ob es leckt. Normalerweise würden Sie einen Fachmann einstellen, der Ihnen (in einem schriftlichen Vertrag) garantiert, dass das Dach bestimmten Standards entspricht und bestimmte Regenmengen aushält und was nicht. Es ist jedoch Ihre Aufgabe, das Problem anzusprechen, und das Management entscheidet anhand Ihrer Eingaben, welche Standards das Dach einhalten muss. Oder sie sagen dir, dass es ihnen egal ist. Dann schreibst du das auf.
@Celeritas die Poller sind, um das Gebäude zu schützen, Fußgängersicherheit ist ein glückliches Nebenprodukt. Es gibt eine Art von Verbrechen, das "Ram Raiding" genannt wird.
** Bei Sicherheit geht es nicht nur um "Bewachen" im Sinne von "Wachmann" **
@Burgi das habe ich mir gedacht, aber als ich sagte, dass im Unterricht alle lachten und sagten, es sei für die Sicherheit der Fußgänger.
Dies könnte Ihrer Argumentation helfen: http://www.marshalls.co.uk/commercial/street-furniture/products/anti-ram-supermarket-bollard-webfa100039
Sie könnten versuchen, die Dinge aus Sicht eines Arbeitgebers zu betrachten. Wenn Sie sich weigern, Dinge zu tun, von denen der Arbeitgeber glaubt, dass sie in Ihrer Verantwortung liegen, werden Sie bald ein ehemaliger Mitarbeiter.
@gnasher729 Sie missverstanden: Ich sagte, ein Arbeitgeber ist weniger wahrscheinlich, einen Sicherheitsberater höher zu stellen als eine Art Bauarbeiter für Dinge wie das Dach oder den Brandschutz.
@Celeritas Natürlich ist es am besten, einen Bauarbeiter für die Gebäudesicherheit, einen Psychiater für die psychologische Profilerstellung von Mitarbeitern und hundert weitere Fachkräfte einzustellen. Aber wer stellt diese Leute ein? Das höhere Management möchte nicht über hundert Szenarien nachdenken und herausfinden, welche Personen sie benötigen. Sie haben keine 100 Probleme, sie haben eine einzige Anforderung "99,9% Verfügbarkeit" und sie werden einen einzigen Mann einstellen, der dies garantiert. Es ist die Aufgabe dieses Mannes, alle möglichen Dinge zu finden, die schief gehen könnten, und Spezialisten einzustellen. Und dieser Typ ist der Sicherheitsmanager ;-)
Nehmen wir an, ein Meteorit trifft das Gebäude und zerstört es vollständig. Ihr Client hätte erwartet, dass Sie sich auf eine solche Eventualität vorbereiten (z. B. mit Remote-Backups). Wenn Sie sagen "Ah ja, Ihre Daten sind für immer verschwunden, aber technisch gesehen handelt es sich nicht um ein Sicherheitsproblem", wie wird Ihre Reaktion Ihrer Meinung nach aussehen? Meins wäre "Nun, es scheint nicht so, als ob du in Sicherheit bist, wenn es jetzt für immer weg ist".
Kategorien existieren in der Natur nicht, sie werden von Menschen für Menschen geschaffen. Die Katastrophenplanung gehört zur Sicherheit, da die zur Minderung erforderlichen Maßnahmen gut zu den zur Sicherheit erforderlichen Maßnahmen passen (und in einigen Fällen dieselben Maßnahmen sind).
Neun antworten:
Deer Hunter
2016-01-10 16:22:13 UTC
view on stackexchange narkive permalink

Alle anderen Antworten sind in Ordnung. Ich werde Ihnen eine klassische Sicherheitsperspektive anbieten.

  • Das Starten eines Feuers / einer Flut ist ein Lehrbuchszenario für die physische Penetration / Exfiltration. Menschen unter Stress sind weniger geneigt, Fremde herauszufordern.

  • Ein Feuer kann verwendet werden, um forensische Beweise zu zerstören, insbesondere wenn Insider beteiligt sind.

  • Ein Erdbeben oder eine Naturkatastrophe (wie Buschbrände) ist eine potenzielle Komplikation für die Sicherheit, da Recht und Ordnung zusammenbrechen und Plünderungen ihren hässlichen Kopf aufrichten.

  • Perimetersicherheit gegen SVBIEDs ist in bestimmten Ländern und Bedrohungsumgebungen eine notwendige Überlegung. Wenn ein Selbstmordattentäter nahe an die Wände Ihres Rechenzentrums fahren kann, ist dies Ihr Versagen als Sicherheitsberater. Daher Poller, Blumenbeete und Betonbarrieren.

  • Sicherheit ist eine ganzheitliche Disziplin. Jeder Spezialist kümmert sich um Teile des Unternehmens und verliert durch die Notwendigkeit des Lebens das Ganze aus den Augen. Es sollte mindestens eine Person da draußen geben, die an das Verhalten des Gegners denkt und nicht an seine eigene Schublade. Dies ist übrigens die Stellenbeschreibung eines Sicherheitsberaters.

Besonders Fremde in gelben Trenchcoats, die mit legitimen Feuerwehrleuten hereinkamen.
Ich bin mir ziemlich sicher, dass dies ein so häufiger Anwendungsfall ist, dass es sogar ein tvtrope ist. Aber ich möchte nicht in dieses Loch gesaugt werden, also werde ich nicht nach einem Link suchen;)
Nobeater
2016-01-10 07:19:56 UTC
view on stackexchange narkive permalink

Es kommt auf die klassische Sicherheitstriade an; Integrität, Vertraulichkeit und Verfügbarkeit. Die letzte davon könnte sicherlich unter jeder Art von Naturkatastrophe leiden, weshalb Sie sie in Ihren Kontinuitätsplan aufnehmen müssen.

Ist das nicht eine zu pedantische Sicht der Verfügbarkeit? Wenn jemand einen Computer verwendet, auf dem Sie arbeiten müssen, würden Sie nicht sagen, dass dies ein Sicherheitsproblem ist.
@Celeritas: Wenn Sie einen Computer mit jemandem teilen, ist die Sicherheitsstufe ziemlich niedrig. Verfügbarkeit ist in dieser Situation nicht so kritisch. Aber wenn Sie ein Unternehmen sind, in dem Ihre Integrität und Verfügbarkeit wirklich wichtig sind, können Naturkatastrophen Sie ruinieren. Stellen Sie sich vor, Ihre Bank ist überflutet und sie hat Ihr gesamtes Geld verloren (oder Sie haben über einen sehr langen Zeitraum den Zugang zu Ihrem Geld verloren). Oder stellen Sie sich vor, Sie sind ein E-Mail-Anbieter und ein Auto stürzt in Ihr Gebäude: Ihre Benutzer werden in Schwierigkeiten geraten, wenn Sie dadurch ihre Daten verlieren (oder den Zugriff über einen längeren Zeitraum verhindern).
@Celeritas Ich würde sagen, dass es aus Geschäftszielen heraus kommt. Es gibt eine große Überschneidung zwischen der Gewährleistung von Vertraulichkeit, Ganzzahl und Verfügbarkeit und "reinen Sicherheits" -Aufgaben, aber wie Sie sagen, gibt es auch Unterschiede. Letztendlich ist es jedoch die * totale * CIA, die zählt. Es reicht nie aus, nur die Softwaresicherheit zu behandeln. Daher muss das Unternehmen sie sowieso alle planen und ausführen. Aufgrund der großen Überschneidungen ist es oft effizient, sie abzuwickeln von denselben Prozessen und Personen, anstatt Software-Sicherheit von physischer Sicherheit und Katastrophenhilfe zu trennen.
Wäre die Integrität nicht möglicherweise auch von einer Naturkatastrophe betroffen?
@ToddWilcox Ich denke, Integritätsverletzungen sind Fälle, in denen Sie weiterhin auf die Daten zugreifen können, diese jedoch geändert wurden (oder hätten geändert werden können), ohne dass Sie dies bemerken. Ich bezweifle, dass eine Naturkatastrophe diese Wirkung haben würde. Ich denke, man könnte so etwas wie einen streunenden kosmischen Strahl zählen, der auf RAM trifft und das Ergebnis einer kritischen Berechnung verändert, aber es ist ein bisschen schwierig, das als Katastrophe zu betrachten! (Obwohl es sich bis zu einem gewissen Grad immer noch lohnt, sich dagegen zu schützen.)
@ToddWilcox-Risiken für Integrität und Vertraulichkeit werden sehr wahrscheinlich von * Ihrer Reaktion * auf eine Naturkatastrophe beeinflusst. Wenn beispielsweise ein Büro oder Rechenzentrum aufgrund einer Naturkatastrophe physisch nicht verfügbar ist, arbeiten die meisten Unternehmen weiterhin mit vertraulichen Daten und treffen vertrauliche finanzielle Entscheidungen, unabhängig davon, was passiert, selbst wenn die normale sichere Umgebung nicht verfügbar ist oder einige normalerweise obligatorische Überprüfungen durchgeführt werden werden einfach übersprungen, da die benötigten Daten oder Systeme nicht verfügbar sind. Sie müssen auch Ihre Failover-Prozesse / -Verfahren sichern, nicht nur das normale Geschäft.
Dies. Das Thema ist nicht die Sicherheit Ihrer Computer, sondern die Sicherheit Ihrer Daten. Wenn Sie nicht (vorübergehend oder dauerhaft) auf die Daten zugreifen können, ist dies ein Problem.
Alles, was die Verfügbarkeit beeinträchtigen würde, ist also ein Sicherheitsproblem? Etwas scheint eher ein Usability-Problem zu sein, beispielsweise wenn der Benutzer nicht weiß, wie er den Computer einschalten oder das Medium einlegen soll.
@Celeritas: Der Denial-of-Service-Angriff ist ein häufiges Beispiel für ein Verfügbarkeitsproblem bei der Sicherheit.
@Celeritas: Es ist nicht "* irgendetwas *, das die Verfügbarkeit behindert, ein Sicherheitsproblem". Wenn Amazon zu Weihnachten einige Sekunden langsamer ist, ist dies eine akzeptable Verschlechterung des Dienstes und daher kein Sicherheitsproblem. 600 Sekunden für die Bereitstellung einer Seite zu benötigen, ist für Amazon zweifellos ein Denial-of-Service. Irgendwo im Spektrum zwischen 1 und 600 kommt ein Punkt, an dem Sie aufhören, es als etwas unangenehm für Ihre Kunden zu betrachten, und anfangen, es als Verlust Ihrer Kunden zu betrachten.
Man muss die Dinge immer aus der Sicht des Unternehmens sehen. Ob ein Benutzer einen Computer einschalten kann oder nicht, ist nicht wichtig. Wichtig ist, dass die Mitarbeiterin die Aufgaben erfüllen kann, die das Unternehmen von ihr benötigt! Wenn die Aufgabe der Person darin besteht, das Tor zu bewachen und eingehende Personen zu überprüfen, ist dies sicherlich ein großes Sicherheitsproblem, wenn sie den Computer nicht einschalten kann, um die Liste der zulässigen Mitarbeiter zu erhalten, und nicht weiß, wie ein Ausweis gescannt werden soll. Wenn es darum geht, vertrauliche Informationen zu schreiben, die nicht auf dem sicheren Computer, sondern auf Papier landen, liegt ein Sicherheitsproblem vor ...
Naturkatastrophen können auch I betreffen, nicht nur A. Haben Sie genug UPS-Zeit, um sicherzustellen, dass alle Transaktionen auf die Festplatte geschrieben und die Dinge ordnungsgemäß ausgeführt werden, oder müssen Sie sich mit der Wiederherstellung einer abgestürzten Datenbank befassen? Und wenn dies Ihr DBA war, der vom Auto angefahren wurde, haben Sie jemanden vor Ort, der eine Wiederherstellung durchführen kann, oder müssen Sie jemanden von einem anderen Standort oder jemanden hinzuziehen, der nicht von Ihrem Unternehmen überprüft wurde ?
limbenjamin
2016-01-10 17:20:50 UTC
view on stackexchange narkive permalink

CISSP ist eine Zertifizierung für Informationssicherheit und keine Zertifizierung für Computersicherheit .

Informationssicherheit befasst sich mit dem Schutz der Vertraulichkeit, Integrität, Verfügbarkeit von Informationen im Allgemeinen . Informationen werden nicht nur auf Computern gespeichert. Sie werden ausgedruckt und in Aktenschränken aufbewahrt. Sie werden gespeichert und im Gehirn Ihres Mitarbeiters gespeichert. Daher müssen Sie nicht nur sicherstellen, dass Ihre Computernetzwerke sicher sind, sondern auch die physische Sicherheit Ihrer Räumlichkeiten gewährleisten. Wenn diese vertraulichen Dokumente bei einer Katastrophe gestohlen oder zerstört werden, ist dies auch ein Verlust der Verfügbarkeit. Wenn Ihre Mitarbeiter die Informationen an einen Wettbewerber verkaufen, gilt dies als Verlust der Vertraulichkeit. Aus diesem Grund sind Richtlinien und physische Sicherheitsmaßnahmen wichtig.

das macht für mich mehr sinn :)
Genau! CISSPs Aufgabe ist es, die Sicherheit der Informationen zu gewährleisten. Und wenn es leckt, können Sie nicht herumtanzen und das Schuldspiel spielen. Es liegt in Ihrer Verantwortung, die Sicherheit zu gewährleisten, und wenn dies fehlschlägt, sind Sie schuld. Deshalb erhalten Sie eine schöne Entschädigung.
David Z
2016-01-10 11:56:00 UTC
view on stackexchange narkive permalink

Auch wenn Sie die Computersicherheit nur auf absichtliche böswillige Angriffe beschränken, stellt jede Art und Weise, in der Ihr System für eine Naturkatastrophe anfällig ist, eine Möglichkeit dar, wie ein gut ausgerüsteter (oder kluger) Angreifer könnte Ihren Dienst stören. Wenn ein Rechenzentrum beispielsweise anfällig für Überschwemmungen ist, kann jemand, der es offline schalten möchte, eine Sprinklerleitung im Gebäude abschneiden. Daher ist es sinnvoll, sich im Rahmen eines umfassenden Sicherheitsplans vor Naturkatastrophenszenarien zu schützen.

Whome
2016-01-10 07:22:53 UTC
view on stackexchange narkive permalink

Katastrophen sind ebenso ein Sicherheitsproblem wie die Abschwächung von Denial-of-Service-Angriffen. In den ISC2 (CISSP) -Dokumenten wird Sicherheit häufig durch die CIA-Triade dargestellt: Vertraulichkeit, Integrität und Verfügbarkeit. Disaster Recovery-Strategien und DDOS-Minderung betreffen sowohl die Einrichtung als auch die Aufrechterhaltung der Verfügbarkeit.

schroeder
2016-01-12 01:58:10 UTC
view on stackexchange narkive permalink

Ich werde mein 2c einwerfen und etwas erwähnen, das andere nicht ausdrücklich erwähnt haben: Business Continuity Plans

BCP ist eine wichtige Funktion des Jobs eines Sicherheitsanalysten und als Daher bietet das CISSP einen umfassenden Überblick über die Probleme, die sich auf Katastrophen und Ausfälle auswirken können. Die Kenntnis dieser allgemeinen Details hilft dem CISSP, eine Grundlage für Wissen und die für BCP erforderlichen Denkweisen zu schaffen.

Bitte beachten Sie, dass das CISSP-Material einen umfassenden Überblick über die Themen bietet. Es gibt viel, viel mehr, was ein Sicherheitsprofi wissen und berücksichtigen muss, um ein BCP-Programm ordnungsgemäß zu erstellen und zu verwalten.

paj28
2016-01-12 02:37:35 UTC
view on stackexchange narkive permalink

Wenn wir in ein Wörterbuch schauen, ist eine der sekundären Bedeutungen von "Sicherheit":

die Tatsache, dass etwas wahrscheinlich nicht fehlschlägt oder verloren gehen

Während wir Informationssicherheit oft als Wachen, Waffen und Hacker in dunklen Gläsern betrachten, geht es wirklich um den Schutz von Informationen vor Bedrohungen. Diese Bedrohungen können sein:

  • Externe Angreifer - Hacker
  • Böswillige Insider
  • Naturkatastrophen
  • Technische Probleme - Lecks, Stromversorgung Ausfälle
  • Ehrliche Fehler - wie der Verlust einer CD voller Daten
  • Viel mehr!

Der Grund, warum CISSP all dies abdeckt, ist, dass eine Organisation braucht jemanden, der sich um diese Probleme kümmert. Es stellt sich heraus, dass die Art und Weise, wie Sie sich gegen die Bedrohungen verteidigen, ziemlich ähnlich ist. Daher ist es sinnvoll, dass sich eine Abteilung um sie kümmert.

Greenstone Walker
2016-01-13 17:43:23 UTC
view on stackexchange narkive permalink

Ich werde es umdrehen:

Katastrophenplanung ist nicht Teil der Sicherheit, da Sicherheit Teil der Katastrophenplanung ist.

Katastrophenplanung, aus der besteht Disaster Prevention und Disaster Recovery decken eine Reihe von Themen ab (z. B. Redundanz, Backups), einschließlich Sicherheit.

EBM
2016-06-24 07:54:10 UTC
view on stackexchange narkive permalink

Bei der Informationssicherheit geht es um den Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen. Ohne die Informationen schützen und denjenigen zur Verfügung stellen zu können, die sie auch während einer Naturkatastrophe benötigen, könnte dies das Ende eines Unternehmens bedeuten.

Ich half bei der Entwicklung von Business Continuity-Plänen, bei denen eine der entscheidenden Anforderungen darin bestand, dass bestimmte Informationen (gesetzlich) 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr verfügbar sein mussten. Selbst während einer Naturkatastrophe wie einem schrecklichen Erdbeben gab es keine zulässigen Ausfallzeiten.

Es gab keine einfache Lösung - es musste eine Analyse der Geschäftsauswirkungen durchgeführt werden. Informationen werden nicht nur auf Computern gespeichert. Es ist oft verstreut und nicht nur an einem zentralen Ort zu finden. Es ist sehr schwierig, die kritischen Informationen zu ermitteln, die für die Aufrechterhaltung des Geschäftsbetriebs erforderlich sind. Sobald die Identifizierung kritischer Systeme und Komponenten abgeschlossen und überprüft ist. Es muss eine zusätzliche Risikobewertung durchgeführt werden.

Bei großen Naturkatastrophen wie Erdbeben oder großen Tornados besteht eine hohe Wahrscheinlichkeit, dass die physischen Räumlichkeiten für einige Zeit außer Betrieb sind. Es gab sogar Beispiele, bei denen kein Gebäude mehr vorhanden war oder das Team nur eingeschränkten Zugang hatte (15 bis 20 Minuten), um zu sammeln, was benötigt wurde, bevor niemand mehr in das Gebäude zurückkehren durfte. Sie konnten auch einige Verzögerungen einplanen, da festgestellt werden musste, dass die Gebäude solide genug waren, damit jeder darauf zugreifen konnte.

Wenn es sich um eine große Katastrophe handelt, wohin gehen Sie oder wie wird die Kontinuität der Operationen erreicht? Die Mitarbeiter vor Ort werden sicherlich auch von der Katastrophe betroffen sein. Es kann Wochen dauern, bis sie wieder arbeiten können. Bei einem BCP, an dem ich gearbeitet habe, waren die Mitarbeiter auch damit konfrontiert, dass ihre Häuser völlig zerstört wurden, oder sie hatten nur wenige Minuten Zeit, ihre Häuser zu betreten und Hab und Gut zu sammeln. Viele sagten mir, sie hätten Kleidung, Zahnbürsten und Ausweispapiere gepackt und müssten andere persönliche Gegenstände zurücklassen.

Ein Teil der technischen Strategie kann daher in Abhängigkeit von der Risikobewertung eine Vielzahl von Optionen entwickeln. Je nach Budget können Pläne für kalte, warme und heiße Standorte vorliegen. Strategien zum Schutz identifizierter kritischer Server und Hardware mit RAID, Clustering und Lastausgleich mit Schwerpunkt auf Fehlertoleranz. Natürlich gibt es einen Schutz der Daten durch Sicherungen und Pläne zur Wiederherstellung kritischer Daten und zur Bereitstellung für die Nutzung durch kalte, warme und heiße Standorte, um sicherzustellen, dass vertrauliche Dokumente geschützt und für diejenigen verfügbar sind, die die Informationen unter benötigen jederzeit.

Sobald alle diese Strategien, Pläne und Richtlinien vorhanden sind, müssen sie überprüft, gepflegt und verifiziert werden. Es erfordert viel Personal, um involviert zu sein und sich dessen bewusst zu sein. Die einzige Konstante ist die Veränderung. Neue Hardware- und Softwarelösungen werden implementiert. Geschäftsanforderungen und Gesetze werden geändert. Ich kann sicher verstehen, warum es erwähnt wird. Bei der Informationssicherheit geht es um den Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...