Infreemation

Computer Security and The Human Factor Sicurezza dei sistemi informatici e il fattore umano

I recently read Recentemente ho letto The Human Factor Il fattore umano by engineering professor professore di ingegneria Kim Vincente Kim Vincente . This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. Si tratta di un occhio-apertura libro circa l'importanza di "adeguare la tecnologia alle persone" invece di "costringere le persone ad adattarsi alla tecnologia." Il campo di fattore umano Engineering ha apparentemente stato per un po 'intorno, ma la società non ha mai avuto bisogno di una maggiore : grazie ai personal computer e di Internet la maggior parte delle persone che conosco affrontare ogni giorno con la tecnologia che non riesce a riconoscere la natura umana.

Technology for Technology’s Sake Tecnologia per la tecnologia fine a se stessa

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. Kim afferma tecnologia è cresciuta troppo complessa perché "maghi della tecnologia" tendono a design per persone come loro o per il bene della tecnologia stessa, e perché non vi è una cultura del riduzionismo nella scienza che tende a favorire la progettazione dal basso verso l'alto, senza la comprensione proprietà emergenti del sistema, quando tutti i componenti sono collegati. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider Entrambi questi ha colpito una accordi con me: come scienziato ho cercato di nuotare contro la marea riduzionista, e come una rete e ingegnere del software I sforzano ogni giorno a prendere in considerazione “layer 8″ "Strato 8" of the dei network rete : the user. : L'utente.

Systems Analysis Analisi dei sistemi

Prioritizing Priorità systems analysis sistemi di analisi in a world of cheap (and quite effective) reductionism is not an easy sell. in un mondo di basso costo (e molto efficace) riduzionismo non è facile vendere. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. E 'complicato e costoso, che richiede un attento studio, l'analisi e il monitoraggio delle interazioni e interdipendenze. Where then are you likely to find such approaches? Dove si sono quindi in grado di trovare questi approcci? Typically when the loss of human life is the consequence of failure. In genere, quando la perdita di vite umane è la conseguenza del fallimento. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. Di particolare interesse per il libro di Kim sono stati i suoi studi di casi contrastanti sul trasporto aereo e industria medica di sicurezza.

When Death is on the Line Quando la morte è sulla linea

There was apparently a time when taking the plane was not safer than driving. Non vi è stato apparentemente un momento in cui il piano non è stato più sicuro che la guida. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. Secondo Kim, fino alla metà degli anni'70 "la FAA è stata simultaneamente il compito di ricevere informazioni su sfiorati, e reprimanding persone e le organizzazioni quando sono avvitati." Ovviamente, un sacco di questioni davvero grave non avere riportato a causa della potenziale responsabilità coinvolti E, spesso, i problemi non sarebbero destinatari fino a quando non vi è stato un incidente. Loss of life in aviation is high profile and can lose you customers quickly. Perdita della vita in materia di aviazione è di alto profilo e si può perdere clienti in modo rapido. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing Ovviamente questa situazione è insostenibile per l'industria e, infine, la FAA collaborato con la NASA nel derivanti per la sicurezza aerea Reporting System (ASRS) consentendo private reporting of incidents privato di segnalazione di incidenti . The details are all in the book which I encourage you to read but here is what seems to make the system work: I dettagli sono tutti nel libro che vi incoraggio a leggere, ma qui è ciò che sembra far funzionare il sistema:
1) voluntary 1) volontario
2) confidential 2) riservate
3) non-punitive 3) non punitivo
4) independent 4) indipendente
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! Costa 2 milioni di $ l'anno, si occupa di @ 40000 incidenti, e apparentemente non vi è mai stata una violazione della riservatezza delle relazioni! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. E grazie a ASRS in gran parte, l'aviazione è molto più sicuro di quanto non fosse negli anni'70.

…Culture Matters Cultura materia…

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. Kim anche studi negli Stati Uniti dove ospedali 44000-98000 persone muoiono ogni anno da cause prevenibili. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. Questa orribile situazione non sembra avere attenzione proporzionale alla statistica e questo non sembra essere il miglioramento veloce. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. Assunzione di responsabilità per il azioni è fondamentale per la cultura della medicina e si potrebbe pensare questo sarebbe una ricetta per eccellenza. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. Ma il timore di reprimenda, perdita di posti di lavoro, perdita di reputazione, e gli Stati Uniti altamente Processuale ambiente medico sono incentivi nei confronti di denunciare gli episodi e gli incidenti. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. Cospirazioni di tecnologia imperfetta, ridicolmente lunghi turni, e queste più complesse questioni sociali agire come una "mano invisibile" che guida il sistema per generare più errori. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. Kim afferma coraggiosamente che il sistema sanitario sta per guadagnare un sacco da fattore umano di ingegneria e fornisce alcuni esempi eccellenti.

Have a Safe Compute! Hanno una cassetta di sicurezza Calcola!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. Sembra che tutti possano beneficiare di lettura ciò che Kim ha da dire e ad applicarlo ai loro campi. I certainly want to try. Certamente vogliamo provare. I want to follow up on a conversation I had with Voglio dare seguito a una conversazione che ho avuto con Adam .

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. Abbracciando l'utilizzo di Internet è un costo di entrata, anche se molto basso a prima vista, di fare affari nel mondo di oggi. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! Il vero costo di computer, su Internet è probabilmente molto elevato se i rischi sono correttamente tuttavia questo è un compito difficile, si dovrebbe sapere se avete mai provato a ottenere un bilancio approvato di sicurezza! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. Adam mi assicura questo è un problema non risolto, perché molti più computer o incidenti di sicurezza non dichiarata andare (se qualcuno ha qualsiasi stime fatemelo sapere e io link al loro qui) che porta a una mancanza di dati che permettano di valutare i rischi.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: Questo mi ha ricordato i problemi di Kim discusso in materia di aviazione e medicina, dal momento che la ragione principale che non sappiamo di più su violazioni della sicurezza è che ci sono sanzioni in caso di divulgazione:
-security staff may face reprimand or loss of job and reputation - il personale di sicurezza possono trovarsi di fronte a biasimo o la perdita di posti di lavoro e la reputazione
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - una organizzazione non a rischio la pubblicazione di analisi forense di incursioni e dei risultati dei controlli di protezione per ovvi motivi
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - le imprese non vogliono ammettere il risarcimento danni finanziari causati da violazioni della sicurezza per i loro azionisti e mostrare la debolezza del mercato

Can a CSRS help us design more secure products? Può un CSR aiutarci a progettare prodotti più sicuri?

Would it be possible to have an effective “Computer Security Reporting System”? Sarebbe possibile disporre di un efficace "Computer Security Reporting System"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? Sarebbe una organizzazione non-profit, adeguatamente finanziato, essere in grado di raccogliere dati precisi e produrre significative relazioni e le raccomandazioni per l'industria CIO architetti e simili? Could they protect the identities of participants and the information that belongs to them? Essi potrebbero proteggere l'identità dei partecipanti e le informazioni che appartiene a loro? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? Sarebbe saremo in grado di generare costi informazioni chiave da questi dati che potrebbero servire per educare nel contempo creare prodotti migliori e di sicurezza bilanci? Has this already been done and does it meet the aforementioned key criteria? Questo è già stato fatto e lo fa incontrare i principali criteri di cui sopra? I found something Ho trovato qualcosa here qui , but government related agencies don’t seem to meet the “independent” criterion. , Ma le agenzie collegate governo non sembrano soddisfare i "indipendente" criterio.

Perhaps it is not feasible to have a CSRS: Forse non è possibile avere un CSR:
1) too many players and technologies involved 1) troppi giocatori e le tecnologie coinvolte
2) security, while expensive, is not usually “life and death” 2) la sicurezza, mentre costoso, di solito non è "la vita e la morte"
3) too big a problem - too expensive to be cost effective 3) troppo grande di un problema - troppo costosi per poter essere efficace

I’m not a security insider so I will “ask the audience” on this one. Io non sono un abuso di informazioni privilegiate di sicurezza così io "chiedere al pubblico" a questo. I know you’re out there! So che stai là fuori!