作为一名安全顾问, 我有机会评估各种客户的安全姿势. 这些澳门赌场官方下载的规模各不相同,有的只有五个人的初创公司,所有的安全(和信息技术)都由一个人处理,有的财富500强公司拥有独立的安全部门,由几个人负责处理应用程序安全, 供应商的安全, 物理安全, 等. 这篇文章主要是基于我与小客户打交道的经验.
云计算无疑彻底改变了公司开展业务的方式. 它不仅允许公司通过外包底层it基础设施(以及相关问题)的主要部分来关注核心竞争力。, 它还允许将沉重的资本支出转换为可伸缩的运营支出,可以根据需要调高或调低. 后者对于现在可以访问以前只有拥有百万美元IT预算的澳门赌场官方下载才能使用的技术的小型公司特别有帮助.
信息安全是这种转变真正产生影响的一个领域. 像亚马逊这样的公司, b谷歌和微软不断更新他们的云环境,使其更加安全, 许多安全责任可以移交给云提供商. 这也包括人身安全, 随着澳门赌场官方下载不再需要保护他们昂贵的数据中心.
然而, 这并不意味着在操作环境中对物理安全性的需求消失了. 我曾经有位客户的首席执行官对我说,我逐字逐句地引用他的话 “Everything is in the cloud; why do I need 物理安全?我回答道, “Let’s consider a hypothetical scenario: you’re logged into your AWS admin account on your laptop and step away for a cup of coffee; I walk in and walk away with your laptop. 这对你来说是个安全问题吗?” 考虑到这个客户有多个入口进入办公室却没有接待员, 保安人员或带牌入场, 我认为这种情况是现实的,而不仅仅是假设.
我访问了客户所在地, 用我的名字和我要见的人在平板电脑上签到, 这个人被通知了, 随后我被护送进去. 请注意,在这个过程中,我没有被要求验证我是谁. 考虑到IAAA(身份识别), 身份验证, 授权, 审计模型, 我提供了一个身份, 但它没有经过鉴定. 事实上, 如果有人用我的名字签了名, 考虑到客户联系人在等我,他们应该可以进入设施, 或者是和我同名的人, 在那个时候出现.
让我们再看一个例子. 我的一个客户,处理敏感化学品,装了门警报和闭路电视监控. 然而, 他们的窗户无人看守, 结果,一个瘾君子破门而入,偷走了价值几千美元的材料.
预算较少的小公司显然希望限制他们在安全方面的支出. 以及他们在云端的生产环境, 办公室环境的物理安全是他们最不关心的事情. 然而, 他们中的大多数都有宝贵的实物资产, 即使他们没有意识到, 这可以通过最低限度的支出来实现. 以下是一些建议:
- 确保在正常操作期间只有一个入口点. 然而,强烈建议设置一个警报紧急出口.
- 确保上述入口点有摄影机覆盖. 如果实时监控饲料太昂贵, 确保带时间戳的录像被储存在现场之外,并保留至少三个月,以便在发生事故时可以查看.
- 在窗户上安装玻璃破碎报警器. 安装运动传感器.
- 除了强行进入的警报, 如果门开着超过30秒,警报器就会响起. 培训员工防止追尾.
- 要求员工和承包商明显佩戴身份标识.
- 在允许进入前核实所有客人和供应商的身份. 打印出不同颜色的徽章,并鼓励员工在没有徽章的情况下说出来.
- 建立并执行清晰的屏幕、桌面和白板政策.
- 把碎纸箱放在打印机旁边. 在营业结束时将内容和无人看管的文件撕碎.
- 强制使用笔记本电脑锁.
请注意,上述建议的实施成本并不高. 而有些是基于流程的,需要对员工进行培训, 大多数需要在现成的设备上投入最少的资金. 当然, 例如,有不同程度的实现, 与供应商签订合同来监控警报并采取行动的成本将不仅仅是发出警报.
总之, 虽然通过迁移到云,物理安全需求确实减少了, 相信他们已经消失是鲁莽的. 某些公司对物理安全的相对忽视, 和更多的, 我即将召开的会议的主题是 亚特兰大的ISACA极客周.
你认为还有哪些物理安全措施经常被公司忽视,但很容易实施? 请在下面的评论中回复.
