2.4. Certifications Information Sec

2.4. Certifications Information Security is not a regulated profession and therefore there is no requirement for any form of certification. Where information security is critical, it may be justified to Information security for non-technical managers require such certifications. These fall in three categories: organisational, professional and personal. Organizational certifications include, for example, compliance with ISO 27001 “Information Security Management System” and the U.S. Federal Information Security Management Act (FISMA). Some may be optional (ISO 27001) while others may be mandatory in specific fields of activity such as the Payment Card Industry Data Security Standard (PCI-DSS). Professional certifications are optional for individuals but employers may choose to make them a requirement. There are several certifications, such as those from the Information Systems Audit and ControlAssociation(ISACA):CISA:CertifiedInformationSecurityAuditor,CISM:CertifiedInfor mation Security Manager and CRISC: Certified in Risk and Information System Control. There are also those of the International Information Systems Security Certification Consortium (ISC2), including CISSP: Certified Information Systems Security Professional and CSSLP: Certified Secure Software Lifecycle Professional and other. In addition, vendors and training companies also offer various certifications. Figure 1: example of a personal certification The third category is equivalent to a driving license and requires individuals to complete a training or awareness programme and pass a test. Such certifications have been developed and tested over many years by several organisations. One example is the Security in the Field certificate that the United Nations requires those who travel to a field location to have. This particular certification is valid for three years after which the course and test have to be retaken. 2.5. Asymmetries and consequences It should have become apparent that, when it comes to information insecurity, attackers have clear advantages: • No need to be physically present at the location to carry out an attack: Information security for non-technical managers • There are exceptions – e.g. when the target is not connected to a global network such as the Internet. This was the case in Natanz, Iran, where the systems controlling the enrichment centrifuges were isolated from the Internet and where the malware was introduced using a flash memory device. • No penalty for failure: every interaction with the defences of a computer network or system provides the attacker with insights that help prepare subsequent attacks. • No administrative obstacles to overcome: the attackers’ key resource is knowledge and their requirements for tools and technology are modest. Their acquisition process is certain to be simpler than corporate procurement, necessitating various levels of approval. • Those responsible for maintaining the security of information assets are often handicapped by other factors, notably: • Pressure to contain or reduce costs • Inability to develop strong business cases for expenditure and resources.

2.4. Bảo mật thông tin xác nhận không phải là một nghề nghiệp quy định và do đó không có yêu cầu đối với bất kỳ hình thức xác nhận. Nơi an ninh thông tin là rất quan trọng, nó có thể được biện minh về an ninh thông tin cho các nhà quản lý không kỹ thuật đòi hỏi phải xác nhận như vậy. Những rơi vào ba loại: tổ chức, chuyên nghiệp và cá nhân. Giấy xác nhận của tổ chức bao gồm, ví dụ, phù hợp với tiêu chuẩn ISO 27001 "Hệ thống quản lý an ninh thông tin" và Đạo luật Quản lý An ninh Thông tin Liên bang Mỹ (FISMA). Một số có thể được tùy chọn (ISO 27001), trong khi những người khác có thể được bắt buộc trong các lĩnh vực cụ thể của hoạt động như thanh toán thẻ Dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI-DSS). Chứng chỉ chuyên môn là tùy chọn cho các cá nhân sử dụng lao động nhưng có thể chọn để làm cho họ một yêu cầu. Có một số chứng nhận, chẳng hạn như những người từ Kiểm toán Hệ thống thông tin và ControlAssociation (ISACA): CISA: CertifiedInformationSecurityAuditor, CISM: CertifiedInfor thông Security Manager và CRISC: chứng nhận về rủi ro và hệ thống thông tin điều khiển. Ngoài ra còn có những người của Certification Consortium an ninh hệ thống thông tin quốc tế (ISC2), bao gồm CISSP: Certified Information Systems Security Professional và CSSLP: Chứng nhận an toàn phần mềm Lifecycle chuyên nghiệp và khác. Ngoài ra, các nhà cung cấp và các công ty đào tạo cũng cung cấp xác nhận khác nhau. Hình 1: Ví dụ của một chứng thực cá nhân Loại thứ ba là tương đương với một giấy phép lái xe và yêu cầu cá nhân để hoàn thành một chương trình đào tạo nâng cao nhận thức và vượt qua một bài kiểm tra. Chứng nhận như vậy đã được phát triển và thử nghiệm trong nhiều năm qua bởi một số tổ chức. Một ví dụ là an ninh trong giấy chứng nhận Dòng rằng Liên Hiệp Quốc đòi hỏi những người đi du lịch đến một địa điểm trường để có. Cấp giấy chứng nhận đặc biệt này có giá trị trong ba năm sau khi mà các khóa học và kiểm tra phải được thực hiện lại.
2.5. Bất đối xứng và hậu quả đó nên đã trở nên rõ ràng rằng, khi nói đến thông tin bất an, kẻ tấn công có lợi thế rõ ràng: • Không cần phải là chất hiện diện tại vị trí để thực hiện một cuộc tấn công: An ninh thông tin cho các nhà quản lý không kỹ thuật • Có những ngoại lệ - ví dụ như khi mục tiêu không được kết nối với một mạng lưới toàn cầu như Internet. Đây là trường hợp ở Natanz, Iran, nơi mà các hệ thống kiểm soát các máy ly tâm làm giàu được phân lập từ Internet và các phần mềm độc hại mà đã được giới thiệu cách sử dụng một thiết bị bộ nhớ flash. • Không có hình phạt cho thất bại: mọi tương tác với hệ thống phòng thủ của một mạng máy tính hoặc hệ thống cung cấp cho các kẻ tấn công với những hiểu biết đó giúp chuẩn bị các cuộc tấn công tiếp theo. • Không có trở ngại hành chính để vượt qua: tài nguyên quan trọng của kẻ tấn công là kiến thức và yêu cầu của họ cho các công cụ và công nghệ là khiêm tốn. Quá trình mua lại của họ chắc chắn sẽ được đơn giản hơn so với việc mua sắm của công ty, cần phải có mức độ khác nhau của chính. • Những người chịu trách nhiệm cho việc duy trì sự an toàn của tài sản thông tin thường bị trói tay bởi các yếu tố khác, đáng chú ý là: • Áp lực phải chứa hoặc giảm chi phí • Không có khả năng phát triển các trường hợp kinh doanh mạnh mẽ cho các chi phí và nguồn lực.