De Amerikaanse SOx (Sarbanes-Oxley) Act, 2002, behandelt een breed spectrum van fundamentele informatiebeveiligingsprincipes voor commerciële ondernemingen, en zorgt ervoor dat hun functies geworteld zijn en consequent worden toegepast, gebaseerd op concepten van CIA (Vertrouwelijkheid , integriteit en beschikbaarheid).
Het bereiken van deze doelen vereist inzet van vele individuen, waarvan iedereen zich bewust moet zijn; hun verantwoordelijkheden het handhaven van de veilige staat van de bedrijfsmiddelen, het begrijpen van beleid, procedures, normen, richtlijnen en de mogelijkheden van verliezen die verband houden met hun taken.
CIA streeft ernaar ervoor te zorgen dat de afstemming van de bedrijfsstrategie, doelen, missie en doelstellingen wordt ondersteund door beveiligingscontroles, goedgekeurd met inachtneming van de due diligence van het senior management, en tolerantie voor risico's en kosten.
PostgreSQL-databaseclusters
De PostgreSQL-server heeft een brede verzameling gratis functies, waardoor het een van de meest populaire DBMS (Database Management Systems) is, waardoor het kan worden gebruikt voor een breed scala aan projecten in verschillende sociale en economische sferen .
Het belangrijkste voordeel bij het gebruik ervan is de Open Source-licentie, waardoor zorgen over auteursrechtschendingen binnen een organisatie, mogelijk veroorzaakt door een IT-beheerder, worden weggenomen door onbedoeld het aantal toegestane licenties te overschrijden.
De implementatie van informatiebeveiliging voor PostgreSQL (vanuit een organisatorische context) zal niet succesvol zijn zonder zorgvuldig opgesteld en uniform toegepast beveiligingsbeleid en -procedures die alle aspecten van de planning van bedrijfscontinuïteit dekken.
BCP (Business Continuity Planning)
Leiderschap moet voorafgaand aan het starten van het BCP-programma akkoord gaan om ervoor te zorgen dat ze de verwachte resultaten begrijpen, evenals hun persoonlijke aansprakelijkheid (financieel en zelfs strafrechtelijk) als wordt vastgesteld dat ze niet de nodige zorgvuldigheid hebben betracht om adequaat te beschermen de organisatie en haar middelen.
De verwachtingen van het senior management worden gecommuniceerd via beleid, ontwikkeld en onderhouden door beveiligingsfunctionarissen, die verantwoordelijk zijn voor het vaststellen van procedures en het naleven van standaarden, baselines en richtlijnen, en voor het ontdekken van SPoF's (Single Points of Failure) die kunnen een heel systeem in gevaar brengen door veilig en betrouwbaar te werken.
De classificatie van deze potentieel verstorende gebeurtenissen wordt gedaan met behulp van BIA (Business Impact Analysis), een sequentiële benadering van; het identificeren van de activa en bedrijfsprocessen, het bepalen van de kriticiteit van elk, het schatten van MTD (Maximum Tolerable Downtime) op basis van hun tijdgevoeligheid voor herstel, en ten slotte, het berekenen van de hersteldoelstellingen; RTO (Recovery Time Objective) en RPO (Recovery Point Objective), rekening houdend met de kosten van het bereiken van de doelstelling, versus het voordeel.
Rollen en verantwoordelijkheden voor gegevenstoegang
Commerciële bedrijven huren vaak externe bedrijven in die gespecialiseerd zijn in antecedentenonderzoek om meer informatie over potentiële nieuwe werknemers te verzamelen, de wervingsmanager te helpen met solide werkgegevens, opleidingsgraden en certificeringen, criminele geschiedenis en referentie te valideren cheques.
Operationele systemen raken verouderd en slechte of opgeschreven wachtwoorden zijn slechts enkele van de vele manieren waarop onbevoegde personen kwetsbaarheden kunnen vinden en de informatiesystemen van een organisatie kunnen aanvallen, via het netwerk of social engineering.
Services van derden, ingehuurd door de organisatie, kunnen ook een bedreiging vormen, vooral als medewerkers niet zijn opgeleid om de juiste beveiligingsprocedures te gebruiken. Hun interacties moeten geworteld zijn in sterke beveiligingsfundamenten om openbaarmaking van informatie te voorkomen.
Minder privilege verwijst naar het verlenen van alleen toegang aan gebruikers die ze nodig hebben om hun werk te doen, meer niet. Terwijl sommige werknemers (op basis van hun functie) een hogere "need-to-know"-toegang hebben. Daarom moeten hun werkstations continu worden gecontroleerd en up-to-date zijn met beveiligingsnormen.
Enkele bronnen die kunnen helpen
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
Opgericht in 1985, om de Amerikaanse (Verenigde Staten) Nationale Commissie voor Frauduleuze Financiële Rapportage te sponsoren, die oorzakelijke factoren bestudeerde die leiden tot frauduleuze financiële rapportering, en aanbevelingen deed voor; openbare bedrijven, hun auditors, de SEC (Securities Exchange Commission), andere regelgevers en wetshandhavingsinstanties.
ITIL (Information Technology Infrastructure Library)
ITIL is gebouwd door het Stationary Office van de Britse overheid en is een raamwerk dat is samengesteld uit een reeks boeken, die best practices demonstreert voor specifieke IT-behoeften van een organisatie, zoals het beheer van de belangrijkste operationele processen, incidenten en beschikbaarheid, en financiële overwegingen.
COBIT (Control Objectives for Information and Related Technology)
COBIT, uitgegeven door het ITGI (IT Governance Institute), is een raamwerk dat een algemene structuur biedt voor IT-controles, inclusief onderzoek naar efficiëntie, effectiviteit, CIA, betrouwbaarheid en compliance, in overeenstemming met de zakelijke behoeften. ISACA (Information Systems Audit and Control Association) geeft uitgebreide instructies over COBIT, evenals wereldwijd erkende certificeringen, zoals CISA (Certified Information Systems Auditor).
ISO/IEC 27002:2013 (International Organization for Standardization/International Electrotechnical Commission)
De ISO/IEC 27002:2013, voorheen bekend als ISO/IEC 17799:2005, bevat gedetailleerde instructies voor organisaties over informatiebeveiligingscontroles, zoals; beleid, naleving, toegangscontrole, operaties en HR (Human Resources) beveiliging, cryptografie, beheer van incidenten, risico's, BC (Business Continuity), activa en nog veel meer. Er is ook een voorbeeld van het document.
VERIS (woordenschat voor het opnemen van gebeurtenissen en het delen van incidenten)
VERIS is beschikbaar op GitHub en is een project in voortdurende ontwikkeling, bedoeld om organisaties te helpen bij het verzamelen van nuttige incidentgerelateerde informatie en deze anoniem en verantwoord te delen, waardoor de VCDB (VERIS Community Database) wordt uitgebreid. De medewerking van gebruikers, resulterend in een uitstekende referentie voor risicomanagement, wordt vervolgens vertaald in een jaarverslag, de VDBIR (Verizon Data Breach Investigation Report).
OESO-richtlijnen (Organisatie voor Economische Samenwerking en Ontwikkeling)
De OESO promoot, in samenwerking met partners over de hele wereld, RBC's (Responsible Business Conduct) voor multinationale ondernemingen, waarbij de privacy van individuen wordt gewaarborgd op hun PII (Persoonlijk Identificeerbare Informatie), en stelt principes vast over hoe hun gegevens moeten worden bewaard en onderhouden door ondernemingen.
NIST SP 800-serie (speciale publicatie van het National Institute of Standards and Technology)
Het Amerikaanse NIST biedt op zijn CSRC (Computer Security Resource Center), een verzameling publicaties voor Cybersecurity, die allerlei onderwerpen bestrijkt, inclusief databases. De belangrijkste, vanuit databaseperspectief, is de SP 800-53 Revisie 4.
Conclusie
Het bereiken van SOx-doelen is een dagelijkse zorg voor veel organisaties, zelfs degenen die niet beperkt zijn tot boekhoudkundige werkzaamheden. Er moeten kaders zijn met instructies voor risicobeoordeling en interne controles voor beveiligingsbeoefenaars van ondernemingen, evenals software om vernietiging, wijziging en openbaarmaking van gevoelige gegevens te voorkomen.