Pentru a înțelege dacă sunteți în siguranță și ce tipuri de metode ar trebui să utilizați pentru a vă proteja, ați putea, de exemplu, să vă creați un plan propriu de securitate. Într-un astfel de plan, ar trebui să evaluați ce tip de informații aveți în format electronic și cum ați dori să le protejați.
Definiți activul pe care-l doriți protejat.
Evaluați riscul de înțelegere a nivelului de protecție necesar (confidențialitate, integritate, disponibilitate).
Gândiți-vă la apărare în profunzime și adăugați protecții.
În general, o modalitate bună de a vă gândi la securitate este să utilizați triada CID despre care am învățat în primul capitol al cursului. Triada CID este alcătuită din trei laturi ale aceluiași aspect:
Confidențialitate
Integritate
Disponibilitate
Pentru a vedea ce înseamnă gândirea care conștientizează securitatea, să parcurgem un exemplu:
Tina utilizează Google Mail ca principalul ei serviciu de email. Ea își folosește adresa de email de la @gmail.com pentru a se înregistra pentru majoritatea celorlalte servicii pe care le utilizează.
Mai întâi să ne gândim care este cu adevărat activul.
Conține toate emailurile ei personale.
Se poate utiliza pentru furtul de identitate și pentru ca cineva să pretindă că este Tina în online.
Conține informații personale de la toate tipurile de servicii, adrese, numere de telefon, posibil, numere de securitate socială și chiar informații privind cărți de credit.
Se poate utiliza drept adresa de email pentru recuperarea majorității conturilor pe care le utilizează.
După cum puteți vedea, adresa de email nu este doar o adresă de email, ci poate fi cu mult mai mult. Cum ați defini riscul pentru acest cont? Pentru ce tipuri de protecție ar trebui folosit?
Probabil că ați evaluat că riscul de pierdere a contului este ridicat. Bine, acum să ne gândim la ce putem face pentru a proteja contul să nu fie abuzat.
Parola pe care o utilizează ar trebui să aibă multă entropie, prin urmare trebuie să utilizeze o parolă lungă.
Parola nu ar trebui stocată nicăieri ca text.
Conturile Google permit utilizarea autentificării cu mai mulți factori, ceea ce adaugă un strat suplimentar de securitate pentru cont.
Există mai multe modalități de abordare a securității în cazul Tinei. Însă cum putem echilibra cel mai bine securitatea prin comparație cu modul de utilizare? Cum își accesează Tina emailul?
O modalitate destul de bună de a proteja contul este cu ajutorul unei parole lungi de cel puțin 15 semne. Aceasta poate fi memorată sau stocată într-un manager de parole sau pe o bucată de hârtie într-un seif. Se poate activa autentificarea cu mai mulți factori și, cu ajutorul serviciilor Google, puteți folosi aplicația Google a acestora ca un token suplimentar. Este mult mai sigur decât să utilizați SMS-ul și nu mai este nevoie de nimic altceva în afara aplicației Google în scopuri de autentificare.
Cu toate acestea, dacă Tina își folosește aplicația de email pe telefonul mobil, emailul este la fel de sigur cum este accesul la telefonul ei. Așadar, dacă i se fură telefonul, iar atacatorul îi cunoaște codul PIN, poate abuza în mai multe moduri de contul Tinei. Pentru a atenua utilizarea inadecvată a contului ei de email, Tina și-ar putea folosi contul doar prin intermediul unui browser și ar trebui mereu să iasă din cont după ce-l folosește. Aceasta este o lovitură enormă asupra modului de utilizare și i-ar fi mult mai bine Tinei dacă nu ar partaja codul PIN cu nimeni altcineva. De dumneavoastră ține să vă decideți cum abordați această chestiune a modului de utilizare prin comparație cu securitatea.
Dacă își folosește telefonul ca token pentru autentificarea cu mai mulți factori, Tina ar trebui, într-adevăr, să permită realizarea de copii de rezervă pentru telefonul ei pentru a obține din nou acces rapid în cazul în care i se strică sau își pierde telefonul. Este esențial să existe alte modalități de accesare a contului în plus față de telefon. Majoritatea site-urilor care oferă autentificarea cu mai mulți factori vă oferă coduri de rezervă în cazul în care se pierde tokenul. Aceste tokenuri cu utilizare unică se pot folosi pentru a vă recupera contul dacă nu mai aveți acces la software-ul tokenului sau la acest dispozitiv. Copiile de rezervă protejează partea de Disponibilitate din triada CID. Dacă vi se strică hardul și nu aveți o copie de rezervă actualizată, nu există Disponibilitatea datelor.
Google oferă un serviciu denumit Google Advanced Protection (Protecţie avansată Google) care vă permite să vă înregistrați în contul dumneavoastră Google doar cu tokenurile de securitate ale hardware-ului sau cu ajutorul aplicației Google Smart Lock.
Cu toate acestea, nu am terminat, deoarece trebuie să ne gândim și la sistemul utilizat de către Tina pentru a-și accesa contul. Ar trebui instalate toate actualizările de software pentru a vă asigura că nu există nicio deficiență cunoscută în sistemul de operare sau în software-ul utilizat de Tina. De asemenea, ea ar trebui să se asigure că rulează un scaner de virusuri care are definiții actualizate ale virusurilor.
În plus, Tina ar trebui să aibă obiceiul de a evalua ce tip de rețea utilizează pentru a-și accesa contul ei de email. Dacă se conectează la o rețea publică fără fir, își poate proteja traficul de rețea cu ajutorul unui software de VPN.
Nick Rosener a scris un post pe blog cu adevărat bun, referitor la propria sa abordare față de securitatea cibernetică personală.
Dacă nu utilizați serviciile Google, nu vă faceți griji. Majoritatea celorlalte servicii vă oferă niveluri asemănătoare ale opțiunilor de securitate. În același mod, majoritatea soluțiilor de software menționate în curs au alternative care ar putea funcționa mai bine pentru dumneavoastră.
Până la urmă, depinde de dumneavoastră să vă decideți cât de multă securitate doriți, însă ideea este că această decizie ar trebui să fie luată în cunoștință de cauză, nu doar ca prima decizie posibilă.
Pentru a recapitula, contul de email al Tinei este un activ foarte important deoarece pentru ea ar fi un risc ridicat dacă și-ar pierde accesul la acest cont sau dacă un atacator ar dobândi acces la conținutul acestuia. Ar trebui să folosească o abordare de apărare în profunzime pentru măsurile de securitate în straturi, cu ajutorul celor trei elemente din triada CID:
Confidenţialitate: Parole puternice, criptare cât timp datele sunt în tranzit, autentificarea cu mai mulți factori.
Integritate: Doar Tina ar trebui să aibă acces la cont și nu ar trebui să partajeze cu nimeni informațiile privind contul ei.
Disponibilitate: Faceți copii de rezervă ale datelor care permit accesul în cont.
După finalizarea capitolului 4, ar trebui să puteți:
să dobândiți o înțelegere elementară a modului în care funcționează rețelele
să înțelegeți importanța unei conexiuni securizate și a motivului pentru care criptarea este un pas important în acest sens
să înțelegeți cum interacționează dispozitivele și hardware-ul cu problemele de securitate a rețelei
să explicați elementele de bază ale securizării dispozitivelor și hardware-ului dumneavoastră
