Teoria chata de segurança cibernética: ética (faça sua escolha)

Ética em segurança são diretrizes para tomar decisões apropriadas como profissional de segurança. Ser ético exige que os profissionais de segurança permaneçam imparciais e mantenham a segurança e a confidencialidade dos dados privados. Ter um forte senso de ética pode ajudá -lo a navegar suas decisões como profissional de segurança cibernética, para que você possa mitigar ameaças representadas pelos atores de ameaças em constante evolução táticas e técnicas. Neste artigo, você explorará princípios éticos essenciais que o ajudarão a tomar decisões informadas, legais e responsáveis ao enfrentar ataques – não apenas para proteger os sistemas, mas para proteger as pessoas. Mas mais do que isso, este artigo convida você a refletir sobre uma pergunta mais profunda: – que decisão você tomará? – porque na cibersegurança, suas ações – e a ética por trás deles – moldam não apenas o seu impacto no mundo, mas também o tipo de profissional que você se torna. Com grande poder, vem grande responsabilidade. – Como o querido tio Ben disse uma vez, Spider -Man (2002) preocupações éticas e leis relacionadas a contra -ataques agora que você explorou como os ataques funcionam – e que um dia você pode ter as habilidades, acesso e autoridade para responder a eles – é hora de falar sobre algo mais controverso: contra -ataques. A idéia de revidar pode parecer tentadora. Afinal, se alguém invadir seu sistema, você não deve ter o direito de revidar? Mas na segurança cibernética, as coisas raramente são tão simples. O que pode parecer que a justiça poderia rapidamente se tornar um campo minado legal ou ético. Portanto, antes de buscar sua espada digital, vamos dar uma olhada no que realmente significa um contra -ataque – e por que, na maioria das vezes, os profissionais escolhem a defesa sobre a vingança. Ponto de vista dos Estados Unidos sobre contra -ataques Você não pode combater fogo com fogo. – “The Dark Knight” (2008) nos EUA, a implantação de um contra -ataque em um ator de ameaças é ilegal por causa de leis como a Lei de Fraude e Abuso de Computador de 1986 e a Lei de Compartilhamento de Informações sobre Segurança Cibernética de 2015, entre outros. Você só pode defender. O ato de contra -ataque nos EUA é percebido como um ato de vigilantismo. Um vigilante é uma pessoa que não é membro da polícia que decide parar um crime por conta própria. E como os atores de ameaças são criminosos, os contra -ataques podem levar a uma maior escalada do ataque, o que pode causar ainda mais danos e danos. Por fim, se o ator de ameaças em questão for um hacktivista patrocinado pelo Estado, um contra-ataque poderá levar a sérias implicações internacionais. Um hacktivista é uma pessoa que usa hackers para atingir um objetivo político. O objetivo político pode ser promover a mudança social ou a desobediência civil. Por esses motivos, os únicos indivíduos nos EUA que têm permissão para contra -atacar são funcionários aprovados do governo federal ou militar. O ponto de vista internacional sobre contra -ataques do Tribunal Internacional de Justiça (ICJ), que atualiza sua orientação regularmente, afirma que uma pessoa ou grupo pode contra -atacar se: o contra -ataque afetará apenas a parte que atacou primeiro. O contra -ataque é uma comunicação direta, pedindo ao invasor inicial que pare. O contra -ataque não aumenta a situação. Os efeitos de contra -ataque podem ser revertidos. A maioria das organizações evita contra -ataque – e por boas razões. Não é apenas uma questão de recuar. Os limites legais são confusos, os riscos são altos e, uma vez que você dispara esse tiro digital, nem sempre pode controlar onde ele chega. Há muita incerteza em definir o que é legal e o que é imprudente. Na maioria dos casos do mundo real, tentar “recuar” leva a mais problemas – técnico, legal e reputação. Em 2006, a empresa israelense Blue Security lançou um serviço criativo anti-spam. Quando os usuários receberam spam, o sistema envia automaticamente solicitações de opção de opção para os spammers – efetivamente sobrecarregando -os com o tráfego. Funcionou – por um momento. Mas então um grande spammer retaliou com um enorme ataque de DDoS, não apenas visando a segurança azul, mas também atingindo seu provedor de DNS. O ataque interrompeu vários sites não relacionados. Algumas semanas depois, a segurança azul fechou as operações completamente. O custo do contra -ataque mostrou -se muito alto. Na segurança cibernética, a defesa inteligente supera a retaliação arriscada – sempre. Para saber mais sobre cenários específicos e preocupações éticas de uma perspectiva internacional, revise as atualizações fornecidas no Manual Tallinn online. Princípios e metodologias éticos porque os contra -ataques geralmente são desaprovados ou ilegais, o campo de segurança criou estruturas e controles – como a Triad da CIA e outros discutidos anteriormente nos artigos – para abordar questões de confidencialidade, proteções de privacidade e leis. Para entender melhor a relação entre essas questões e as obrigações éticas dos profissionais de segurança cibernética, vamos revisar os seguintes conceitos -chave relacionados ao uso da ética para proteger as organizações e as pessoas que eles servem. Confidencialidade significa que apenas usuários autorizados podem acessar ativos ou dados específicos. A confidencialidade no que se refere à ética profissional significa que precisa haver um alto nível de respeito pela privacidade para proteger ativos e dados privados. Proteção à privacidade significa proteger as informações pessoais de uso não autorizado. Informações pessoalmente identificáveis (PII) e informações pessoais sensíveis (SPII) são tipos de dados pessoais que podem causar danos às pessoas se forem roubados. Os dados do PII são qualquer informação usada para inferir a identidade de um indivíduo, como seu nome e número de telefone. Os dados do SPII são um tipo específico de PII que se enquadra em diretrizes mais rigorosas de manuseio, incluindo números de previdência social e números de cartão de crédito. Para proteger efetivamente os dados do PII e do SPII, os profissionais de segurança têm uma obrigação ética de garantir informações privadas, identificar vulnerabilidades de segurança, gerenciar riscos organizacionais e alinhar a segurança com as metas de negócios. As leis são regras reconhecidas por uma comunidade e aplicadas por uma entidade governante. Como profissional de segurança, você terá uma obrigação ética de proteger sua organização, sua infraestrutura interna e as pessoas envolvidas com a organização. Para fazer isso: você deve permanecer imparcial e conduzir seu trabalho honestamente, com responsabilidade e com o maior respeito pela lei. Seja transparente e justo e confie em evidências. Certifique -se de investir constantemente no trabalho que está fazendo, para que você possa abordar de maneira adequada e eticamente problemas que surgem. Mantenha -se informado e se esforce para promover suas habilidades, para que você possa contribuir para a melhoria da paisagem cibernética. Digamos que você trabalhe para a equipe de TI de um hospital. Certa manhã, você descobre que um funcionário enviou acidentalmente uma planilha com dados do paciente – incluindo diagnósticos e prescrições – para o endereço de email errado. Opa. Agora, legalmente (graças à HIPAA), isso conta como uma violação de informações de saúde protegidas (PHI). Mas, além dos deveres legais, também há uma pergunta ética: você gostaria que alguém lhe digasse se suas informações médicas pessoais pousaram na caixa de entrada erradas? Claro que você faria. É aí que seu papel como profissional de segurança cibernética se torna mais do que apenas técnico. Você não está apenas evitando incidentes – está se certificando de que sua organização faça a coisa certa quando as coisas dão errado. Isso inclui ter erros, notificar pacientes afetados e ajudar a reconstruir a confiança. Como futuro profissional de segurança, a ética desempenhará um papel importante em seu trabalho diário. Conhecer a ética e as leis relevantes o ajudarão a tomar as decisões certas se e quando você enfrentar uma ameaça à segurança ou um incidente que resulte em uma violação.

Fonte

Techloop

Teoria chata de segurança cibernética: ética (faça sua escolha)

Publicar comentário Cancelar resposta

Você pode ter perdido

Rivian processa para vender seus EVs diretamente em Ohio

Amazon nega o relatório que está fechando o Wearky Podcast Studio

Mobilidade do TechCrunch: Gambit de Holding de Tesla

Perplexidade acusada de raspar sites que bloquearam explicitamente a REI raspando

Conversação de chatgpt vazada mostra o usuário identificado como advogado perguntando como “deslocar uma pequena comunidade indígena amazônica de seus territórios para construir uma barragem e uma planta hidrelétrica”

OpenAI diz que o ChatGPT está a caminho de chegar a 700m de usuários semanais

A verdade sobre invadir a tecnologia agora

Rod Stewart revive Ozzy Osbourne, que empunhava o bastão de selfie em um vídeo nojento da AI

Elon Musk diz que está trazendo de volta o arquivo de Vine

Retornos mensuráveis encontrados para grandes telecomunicações além da economia de custos

Related Posts

Publicar comentário Cancelar resposta

Você pode ter perdido