Infreemation

Computer Security and The Human Factor Segurança informática e ao factor humano

I recently read Li recentemente The Human Factor O factor humano by engineering professor pelo professor de engenharia Kim Vincente Kim Vincente . This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. Este é um olho-abertura livro sobre a importância de se "adaptar a tecnologia para as pessoas" em vez de "forçar as pessoas a adaptar a tecnologia." O domínio do factor humano Engenharia foi aparentemente em torno de algum tempo, mas nunca esteve em sociedade tem necessidade de uma maior ela: graças aos computadores pessoais e da Internet a maioria das pessoas eu sei lidar diariamente com a tecnologia que deixa de reconhecer a natureza humana.

Technology for Technology’s Sake Tecnologia para a Tecnologia da Sake

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. Kim diz que a tecnologia tem crescido muito complexo, porque "tecnologia wizards" tendem a concepção de pessoas como eles próprios ou por razões de a tecnologia em si, e porque há uma cultura de reducionismo na ciência que tende a favorecer a concepção de baixo para cima, sem a compreensão as propriedades emergentes do sistema quando todos os componentes estão conectados. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider Ambas estas atingiram um acordes com me: como cientista eu tentei nadar contra a maré reducionista, e, como engenheiro de software de rede e me esforçar diariamente a considerar “layer 8″ "Camada 8" of the do network rede : the user. : O usuário.

Systems Analysis Análise de Sistemas

Prioritizing Priorizar systems analysis análise de sistemas in a world of cheap (and quite effective) reductionism is not an easy sell. em um mundo de mais barato (e bastante eficaz) reducionismo não é fácil vender. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. É complicado e caro, que exige estudo cuidadoso, ensaios e de acompanhamento de interacção e interdependência. Where then are you likely to find such approaches? Onde estão, então provavelmente você a encontrar essas abordagens? Typically when the loss of human life is the consequence of failure. Normalmente quando a perda de vidas humanas é a consequência do fracasso. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. De especial interesse no livro Kim's eram suas contrastantes estudos de caso sobre a segurança da aviação e da indústria médica registros.

When Death is on the Line Quando a Morte é a Linha

There was apparently a time when taking the plane was not safer than driving. Houve uma altura em que aparentemente tendo o avião não era mais segura do que conduz. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. De acordo com Kim, até meados dos anos 70s "a FAA foi responsável por receber simultaneamente perto de informações sobre acidentes, e reprimanding pessoas e organizações quando eles aparafusada para cima." Obviamente uma série de questões realmente sérias não recebi relatados devido à responsabilidade potencial envolvidos , E, muitas vezes, os problemas não seriam abordados até houve um acidente. Loss of life in aviation is high profile and can lose you customers quickly. Perda da qualidade de vida na aviação é um perfil elevado e você pode perder clientes rapidamente. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing É evidente que esta situação era insustentável para a indústria e, finalmente, do FAA colaborou com a NASA, resultando em Aviation Safety Reporting System (ASRS) permitindo private reporting of incidents privado da comunicação de incidentes . The details are all in the book which I encourage you to read but here is what seems to make the system work: Os detalhes estão todos no livro que eu encorajo-vos a ler aqui, mas é o que parece estar a fazer funcionar o sistema:
1) voluntary 1) voluntárias
2) confidential 2) confidencial
3) non-punitive 3) não punitivo
4) independent 4) independente
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! Não custa US $ 2 milhões anuais, com promoções @ 40000 incidentes, e aí tem aparentemente nunca foi uma violação da confidencialidade dos relatórios! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. E graças a ASRS, em grande parte, a aviação é muito mais seguro do que era nos anos 70.

…Culture Matters … Cultura Matéria

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. Kim também estudos E.U. hospitais onde 44000-98000 pessoas morrem anualmente de causas evitáveis. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. Esta situação não parece horrível para obter atenção proporcional a esta estatística e não parece estar a melhorar rapidamente. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. Tendo as acções da responsabilidade de uma é central para a cultura de Monitorización e você ia pensar que isto seria uma receita para a excelência. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. Mas medo de repreensão, perda de emprego, perda de reputação, e os médicos altamente litigiosos E.U. ambiente são os incentivos relatórios contra incidentes e acidentes. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. Conspirações de tecnologia imperfeita, ridiculamente longos turnos, e estes mais complexas questões sociais agir como uma "mão invisível" que orienta o sistema de gerar mais erros. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. Kim afirma que os médicos corajosamente sistema ficará a ganhar um lote de factor humano de engenharia e fornece alguns exemplos excelentes.

Have a Safe Compute! Ter um seguro Compute!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. Parece que todos possam beneficiar de ler o que Kim tem a dizer e aplicando-a para os seus campos. I certainly want to try. Eu certamente querem experimentar. I want to follow up on a conversation I had with Gostaria de dar seguimento a uma conversa que tive com Adam .

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. Abraçando internet é usar um custo de entrada, ainda bastante baixo, à primeira vista, para fazer negócios no mundo de hoje. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! O verdadeiro custo da computação na Internet é bastante elevada quando os riscos são devidamente contabilizados no entanto esta é uma tarefa difícil, você poderia saber se você nunca tentou obter uma segurança orçamento aprovado! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. Adam assegurou-me este é um problema não resolvido, porque muitos ou a maioria não declarada ir incidentes de segurança informática (se alguém tiver alguma estima por favor me avise e eu vou ligar para eles aqui) que conduzem a uma falta de dados com os quais a fim de avaliar os riscos.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: Isso fez-me lembrar dos problemas discutidos na aviação e Kim Monitorización, uma vez que a principal razão não sabemos mais sobre violações de segurança é que existem sanções para revelação:
-security staff may face reprimand or loss of job and reputation - segurança pessoal pode enfrentar repreensão ou perda de emprego e de reputação
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - uma organização não corre o risco de publicar análise forense de incursões e os resultados das auditorias de segurança por razões óbvias
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - as empresas não querem reconhecer os prejuízos financeiros causados por violação de segurança para os seus accionistas e mostrar a debilidade do mercado

Can a CSRS help us design more secure products? CSRs pode ajudar-nos a uma concepção mais segura produtos?

Would it be possible to have an effective “Computer Security Reporting System”? Seria possível ter uma efectiva "Computer Security Reporting System"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? Seria uma organização sem fins lucrativos, devidamente financiada, ser capaz de coletar dados precisos e elaborar relatórios e recomendações significativas para a indústria arquitetos e CIOs iguais? Could they protect the identities of participants and the information that belongs to them? Eles poderiam proteger as identidades dos participantes e à informação que pertence a eles? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? Será que ser capaz de gerar informações essenciais custo a partir destes dados que servem para educar ao mesmo tempo ajudar a construir melhores produtos e orçamentos de segurança? Has this already been done and does it meet the aforementioned key criteria? Este já tenha sido feito eo que é que satisfazem os referidos critérios-chave? I found something Encontrei alguma coisa here aqui , but government related agencies don’t seem to meet the “independent” criterion. , Mas agências governamentais relacionadas parecem não cumprir os "independentes" critério.

Perhaps it is not feasible to have a CSRS: Talvez não seja viável a ter um CSRs:
1) too many players and technologies involved 1) demasiados jogadores e as tecnologias envolvidas
2) security, while expensive, is not usually “life and death” 2) segurança, enquanto a cara, não é usualmente "vida e morte"
3) too big a problem - too expensive to be cost effective 3) um problema muito grande - demasiado caro para ser economicamente rentável

I’m not a security insider so I will “ask the audience” on this one. Não sou um conhecedor de segurança pelo que vou "pedir à platéia" por este. I know you’re out there! Eu sei que você está lá!