it-swarm-es.com

¿Qué rasgos y características personales buscas en un Pro Security Pro?

Los profesionales de seguridad de TI son personas muy inteligentes que necesitan dar su entorno con el respeto y la atención que requiere el negocio.

parte 1

  • ¿Cuáles son los rasgos que busca en un empleado antes de aprobarlos para el acceso confidencial (contraseñas de la raíz, administrador de dominio, etc.)?

  • ¿Qué señales de advertencia cuida que pueda darle preocupación?

Esta persona de la que estamos hablando puede ser cualquier persona de un empleado interno, un auditor externo, o incluso un proveedor/tercero con el que hace negocios.

parte 2

  • ¿Alguno de estos cambios si la persona en cuestión tiene habilidades únicas que nadie (incluido usted mismo) tiene, y puede tener la capacidad de superar a los auditores que puedan estar observando?
4

La autorización de seguridad de los empleados es un problema importante para las organizaciones, y aún más en posiciones de sensibilidad, como los roles de administración, raíz o súper usuario. Mi pulgar habitual, es asumir que estos roles pueden hacer mucho más daño que un usuario normal, por lo que protege mucho a su organización de ellos. Sin embargo, los rasgos pueden ser la palabra incorrecta, ya que muchos rasgos de profesionales altamente calificados son los mismos que los delincuentes altamente calificados.

En algunos países, esto es más fácil que otros, pero las autorizaciones básicas de seguridad incluyen los controles de crédito y criminales (si un individuo está en gran medida en deuda, se vuelven más susceptibles de persuasión de elementos delictivos, y una historia penal debe descartar a los individuos por roles sensibles, especialmente si Fue un delito asociado con el fraude.) También se deben investigar a los asociados conocidos.

Para los roles altamente sensibles, se pueden requerir vueltas regulares. ¡Y una conciencia de su comportamiento de los empleados podría ser un valor agregado! También se deben revisar los salarios: los roles subyacentes son un objetivo directo para el soborno y la corrupción.

Esto no cambia realmente si los individuos tienen habilidades únicas, ya que las roles subyacentes deben ser una infraestructura que impide el uso indebido, por ejemplo, restringir los derechos administrativos a los necesarios, debe ser un dado. Para la mayoría de las plataformas, no se requiere acceso a la raíz o administrador, por lo que se debe usar un usuario de alimentación o inferior relevante, y la raíz debe restringirse a ocasiones de emergencia, donde requiere entrada de dos individuos:

un ejemplo:

Los administradores de la base de datos a menudo exigen derechos de superusuario completo, pero esto casi nunca es necesario. Existen muchos tipos de rol de administración que se pueden asignar según corresponda, y la raíz puede ser una función de vidrio de rotura que requiere recuperación de una contraseña de una caja fuerte, o de dos individuos que tienen la mitad.

Para resumir, sí, los gurús son esenciales pero peligrosos; Protéjase de ellos con controles técnicos y procesales, investigue sus antecedentes y use sus habilidades para agregar valor.

6
Rory Alsop

A un control de antecedentes mínimos. Después de eso, busco instancias donde necesiten tomar decisiones difíciles, mirando específicamente cómo manejan la autoridad y el poder. Dado que no tengo interés en la gestión de Micro a alguien, necesito a alguien que no vaya a tratar de ser Napoleón.

Si alguien hace muchas excusas, comenzaría a preocuparse. Quiero a alguien que tenga información sobre los errores que hacen y mueven la conversación hacia adelante. Ninguna de mis puntos de vista lo cambiaría, la persona tenía habilidades únicas, ya que no tenemos miedo de entrenar a las personas. Es común que nos enviemos a alguien a la capacitación para la certificación con nuestro EMR (registro médico electrónico) justo después de que comenzaron.

2
Wayne