Question:
Comment une politique de bureau propre offre-t-elle des avantages en matière de sécurité?
Ay0
2013-03-06 20:01:20 UTC
view on stackexchange narkive permalink

Je commence à étudier pour Security + en utilisant le livre de Darril Gibson. J'ai passé le pré-examen et l'une des questions est «Quel est l'avantage de sécurité le plus important d'une politique de bureau propre?»

Les choix sont les suivants:

  • Prévenir les maladies en raison de virus et de bactéries
  • Présente une image positive aux clients
  • Garantit la sécurité des données sensibles et des mots de passe
  • Augmente l'intégrité des données

La réponse en gras est correcte, et l'explication de l'auteur est: Une politique de bureau propre oblige les utilisateurs à organiser leurs zones pour réduire le risque de vol de données et de compromission de mot de passe.

Quelqu'un peut-il expliquer ce qu'un bureau organisé a à voir avec la sécurité? Je pense que cette question ne s'applique que si l'utilisateur stocke son mot de passe au format papier.

Qu'en est-il des "murs propres"? [Le photographe du prince William a accidentellement exposé un mot de passe de la RAF] (http://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/)
Pensé pour créer un lien vers la [Politique de bureau propre / Personne ne me donnant une réponse claire lorsque je pose des questions sur les procédures de sécurité] (http://security.stackexchange.com/questions/31418/clean-desk-policy-no-one-giving-me -clear-answer-when-ask-about-security-proce) thread. Je me rends compte qu'il a été fermé car trop large, mais vous voudrez peut-être le lire quand même;)
Cinq réponses:
#1
+34
Xander
2013-03-06 20:03:42 UTC
view on stackexchange narkive permalink

Les politiques de nettoyage des bureaux sont plutôt littérales dans le sens où elles ne signifient pas que les papiers sur votre bureau doivent être organisés ... Ils signifient que vous n'êtes pas du tout autorisé à avoir des papiers sur votre bureau. Ainsi, pas de papiers non verrouillés sur un bureau signifie pas de papiers contenant des informations sensibles pour que les autres puissent les parcourir après les heures.

Les données sensibles n'incluent pas uniquement le mot de passe. Conception technique, communications sensibles, informations financières ... Il y a beaucoup de données qui pourraient être sur papier qu'une entreprise ne voudrait pas que n'importe qui les trouve.

@community veuillez vérifier ma modification sur la première phrase.
@Celeritas c'était incorrect. L'original était en fait ce que je voulais. Je l'ai fait reculer.
par curiosité pourriez-vous expliquer votre réflexion? S'il s'agissait * littéralement * d'un bureau propre, il serait exempt de germes, etc. Par exemple, dans ce contexte, si un employé laissait des miettes d'un sandwich sur son bureau, il ne violerait pas la politique à la sécurité).
@Celeritas Votre interprétation est trop pédante. La définition de Xander de «bureau propre» est plus littérale que celle de la question d'origine, donc «tout à fait littéral» est approprié, alors que «pas littéral» ne l'est certainement pas. Dans tous les cas, les modifications ne doivent pas tenter de modifier l'intention du message d'origine, ce que vous avez certainement fait.
Je ne suis pas d'accord. La politique de bureau propre n'a en fait rien à voir avec un bureau propre ou en désordre. J'ai à voir avec certaines informations (généralement des textes classés comme confidentiels ou protégés) qui ne sont pas laissées sur le dessus du bureau ou à la vue de tous. Quoi qu'il en soit, mon argument est que la première phrase pourrait être mieux formulée.
@Celeritas Je ne conteste pas votre conclusion selon laquelle la première phrase pourrait être mieux formulée. Je ne suis pas d'accord avec votre interprétation spécifique. Je vais réfléchir à la façon dont je peux clarifier.
#2
+32
Bruce Ediger
2013-03-06 20:54:18 UTC
view on stackexchange narkive permalink

Le livre de Trevor Paglen sur le secret du ministère américain de la Défense, Blank Spots on the Map , présente un incident révélateur. Pendant le projet Manhattan, un physicien de Los Alamos a eu des ennuis pour avoir laissé une orange sur son bureau après le déjeuner. Les responsables de la sécurité du projet Manhattan avaient pour politique de ne pas laisser les objets sphériques à l'air libre, probablement parce que la bombe atomique avait un noyau sphérique, mais qui sait? La politique d'objet anti-sphérique a vu le jour pour que les gardes n'aient pas à prendre de décisions sur ce qui est laissé de côté.

Une politique de bureau propre signifie que vous n'avez pas besoin d'avoir des responsables de l'application des règles qui connaissent tout ce que vous voulez garder caché. Paglen fait également valoir que, comme la paperasse, le secret s'étend pour occuper tout l'espace disponible.

Cette anecdote d'Orange est encore plus amusante si vous avez lu la section de Sûrement vous plaisantez M. Feynman où il décrit les systèmes de stockage de documents défectueux utilisés dans le projet: Verrouillage initial des classeurs avec dos ouvert; plus tard, les coffres-forts à serrure à combinaison qui, pour être plus conviviaux, ne nécessitaient que d'essayer 20 des 100 valeurs sur le cadran dans une recherche exhaustive et dont 2 des 3 valeurs pouvaient être trouvées en jouant avec le cadran alors qu'il était ouvert.
+1 pour avoir soulevé le fait que, essentiellement, la politique de bureau propre consiste à éviter les hypothèses. Il est plus sûr de ne laisser aucun indice dans la politique elle-même. Cela évite à la fois les fuites d'informations dans la politique et, dans le cas le plus simple, évite de faire des suggestions pour d'éventuelles méthodes non sécurisées de stockage d'informations sensibles.
+1 C'est peut-être la meilleure explication de la plupart des politiques de sécurité de l'entreprise que j'ai vues.
#3
+10
Lazarus
2013-03-06 22:09:30 UTC
view on stackexchange narkive permalink

Les données sensibles ne signifient pas seulement les mots de passe ou autres identifiants. Je travaille pour une entreprise de technologie médicale et il nous est possible d'avoir accès à des informations privilégiées sur les patients. Selon les normes HIPAA, toute information identifiable sur le patient peut constituer une violation. Travailler avec cela tous les jours, il est assez facile de le laisser assis quand il va déjeuner, prendre un café, ou ainsi de suite. Ajoutez un plan d'étage de bureau ouvert et les clients se dirigent vers la formation, et vous avez une violation de la loi HIPAA en attente.

#4
+7
tmacually
2013-03-06 20:08:42 UTC
view on stackexchange narkive permalink

Parce que dans un environnement de bureau, vous verrez souvent au moins quelques utilisateurs qui laisseront des documents et des notes partout sur leur bureau. Ces documents peuvent contenir n'importe quoi, des données client sensibles à une note autocollante avec leurs informations d'identification Windows.

Cette politique décrit une bonne pratique.

#5
+2
Saladin
2013-03-06 21:02:37 UTC
view on stackexchange narkive permalink

Le but principal est de réduire le risque que les fruits suspendus soient les plus bas pour un possible compromis.

Il n'y a pas non plus d'attaque plus accessible, capturable et faisable que de supprimer le pense-bête d'un opérateur de saisie de données clavier et lecture du mot de passe. J'ai vu cela se produire si souvent dans une organisation dans laquelle je travaille.

Il s'agit d'une phrase extrêmement générique qui pourrait s'appliquer à la moitié des politiques de sécurité existantes. Pourriez-vous expliquer en quoi cela se rapporte à une politique de bureau propre?
C'est légèrement amusant, "le fruit le plus bas" suite à une anecdote sur une orange.
La menace est en effet générique.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...