The United States SOx (Sarbanes-Oxley) Act, 2002, omhandler et bredt spektrum af grundlæggende informationssikkerhedsprincipper for kommercielle virksomheder, og sikrer, at deres funktioner er forankret og anvendes konsekvent, baseret på CIA-koncepter (Fortrolighed). , Integritet og Tilgængelighed).
Opnåelse af disse mål kræver engagement fra mange individer, som alle skal være opmærksomme på; deres ansvar for at opretholde den sikre tilstand af virksomhedens aktiver, at forstå politikker, procedurer, standarder, retningslinjer og mulighederne for tab i forbindelse med deres opgaver.
CIA sigter mod at sikre, at tilpasningen af forretningsstrategien, målene, missionen og målene understøttes af sikkerhedskontroller, godkendt under hensyntagen til den øverste ledelses due diligence og tolerance over for risici og omkostninger.
PostgreSQL-databaseklynger
PostgreSQL-serveren har en bred samling af funktioner, der tilbydes gratis, hvilket gør den til en af de mest populære DBMS (Database Management Systems), som muliggør dens adoption på en bred vifte af projekter inden for forskellige sociale og økonomiske sfærer .
Den største fordel ved dens vedtagelse er Open Source-licensen, der fjerner bekymringer omkring krænkelse af ophavsret inden for en organisation, muligvis forårsaget af en it-administrator, der utilsigtet overstiger antallet af tilladte licenser.
Implementeringen af informationssikkerhed for PostgreSQL (Fra en organisatorisk kontekst) vil ikke være vellykket uden omhyggeligt konstruerede og ensartet anvendte sikkerhedspolitikker og -procedurer, som dækker alle aspekter af forretningskontinuitetsplanlægning.
BCP (Business Continuity Planning)
Lederskab skal acceptere, inden de starter BCP-programmet for at sikre, at de forstår de forventede resultater, såvel som deres personlige ansvar (økonomisk og endda kriminelt), hvis det fastslås, at de ikke har udvist den fornødne omhu for at beskytte tilstrækkeligt. organisationen og dens ressourcer.
Den øverste ledelses forventninger kommunikeres gennem politikker, udviklet og vedligeholdt af sikkerhedsofficerer, ansvarlige for at etablere procedurer og overholdelse af standarder, basislinjer og retningslinjer og for at opdage SPoF'er (Single Points of Failure), der kan kompromittere et helt system fra at fungere sikkert og pålideligt.
Klassificeringen af disse potentielle forstyrrende hændelser udføres ved hjælp af BIA (Business Impact Analysis), som er en sekventiel tilgang af; identifikation af aktiverne og forretningsprocesserne, bestemme kritikaliteten af hver enkelt, estimere MTD (Maximum Tolerable Downtime) baseret på deres tidsfølsomhed for inddrivelse, og endelig beregne genopretningsmålene; RTO (Recovery Time Objective) og RPO (Recovery Point Objective), i betragtning af omkostningerne ved at nå målet, kontra fordelen.
Dataadgangsroller og -ansvar
Kommercielle virksomheder ansætter almindeligvis eksterne firmaer, der specialiserer sig i baggrundstjek for at indsamle mere information om potentielle nye medarbejdere, hjælpe ansættelseslederen med solide arbejdsregistre, validere uddannelsesgrader og certificeringer, kriminel historie og reference checks.
Operationelle systemer bliver forældede og dårlige eller nedskrevne adgangskoder er blot et par af de mange måder, hvorpå uautoriserede personer kan finde sårbarheder og angribe en organisations informationssystemer via netværket eller social engineering.
Tredjepartstjenester, hyret af organisationen, kan også udgøre en trussel, især hvis medarbejdere ikke er uddannet til at bruge korrekte sikkerhedsprocedurer. Deres interaktioner skal være forankret i et stærkt sikkerhedsgrundlag for at forhindre videregivelse af oplysninger.
Mindste privilegium henviser til kun at give brugere den adgang, de har brug for for at udføre deres job, intet mere. Mens nogle medarbejdere (baseret på deres jobfunktioner) har en højere "need-to-know"-adgang. Derfor skal deres arbejdsstationer overvåges løbende og opdateres med sikkerhedsstandarder.
Nogle ressourcer, der kan hjælpe
COSO (Committee of Sponsoring Organisations of the Treadway Commission)
Dannet i 1985 for at sponsorere USA's (USA) National Commission on Fraudulent Financial Reporting, som undersøgte årsagsfaktorer, der fører til svigagtig finansiel rapportering, og udarbejdede anbefalinger til; offentlige virksomheder, deres revisorer, SEC (Securities Exchange Commission), andre tilsynsmyndigheder og retshåndhævende organer.
ITIL (Information Technology Infrastructure Library)
Bygget af den britiske regerings stationære kontor, ITIL er en ramme sammensat af et sæt bøger, som demonstrerer bedste praksis for specifikke behov for IT i en organisation, såsom styring af kernedriftsprocesser, hændelser og tilgængelighed og økonomiske overvejelser.
COBIT (Kontrolmål for information og relateret teknologi)
Udgivet af ITGI (IT Governance Institute), COBIT er en ramme, der giver en overordnet struktur for it-kontroller, herunder undersøgelse af effektivitet, effektivitet, CIA, pålidelighed og compliance, i overensstemmelse med virksomhedens behov. ISACA (Information Systems Audit and Control Association) giver dybe instruktioner om COBIT, såvel som certificeringer, der er anerkendt globalt, såsom CISA (Certified Information Systems Auditor).
ISO/IEC 27002:2013 (International Organisation for Standardization/International Electrotechnical Commission)
Tidligere kendt som ISO/IEC 17799:2005, ISO/IEC 27002:2013 indeholder detaljerede instruktioner til organisationer, der dækker informationssikkerhedskontroller, såsom; politikker, compliance, adgangskontrol, drift og HR-sikkerhed (Human Resources), kryptografi, håndtering af hændelser, risici, BC (Business Continuity), aktiver og mange flere. Der er også en forhåndsvisning af dokumentet.
VERIS (Vokabular for hændelsesoptagelse og hændelsesdeling)
Tilgængelig på GitHub, VERIS er et projekt i kontinuerlig udvikling, beregnet til at hjælpe organisationer med at indsamle nyttige hændelsesrelateret information og dele dem anonymt og ansvarligt, udvide VCDB (VERIS Community Database). Brugernes samarbejde, hvilket resulterer i en fremragende reference til risikostyring, omsættes derefter til en årlig rapport, VDBIR (Verizon Data Breach Investigation Report).
OECD-retningslinjer (Organisationen for Økonomisk Samarbejde og Udvikling)
OECD promoverer i samarbejde med partnere over hele kloden RBC'er (Responsible Business Conduct) for multinationale virksomheder, sikrer privatlivets fred for enkeltpersoner på deres PII (Personally Identificable Information), og fastlægger principper for, hvordan deres data skal opbevares og vedligeholdes af virksomheder.
NIST SP 800-serien (Særlig publikation National Institute of Standards and Technology)
Den amerikanske NIST leverer på sit CSRC (Computer Security Resource Center), en samling af publikationer til Cybersikkerhed, der dækker alle slags emner, inklusive databaser. Den vigtigste, set fra et databaseperspektiv, er SP 800-53 Revision 4.
Konklusion
Opnåelse af SOx-mål er en daglig bekymring for mange organisationer, også dem, der ikke er begrænset til regnskabsaktiviteter. Rammer, der indeholder instruktioner til risikovurdering og interne kontroller, skal være på plads for virksomhedens sikkerhedspersonale, samt software til at forhindre ødelæggelse, ændring og videregivelse af følsomme data.