Академический Документы
Профессиональный Документы
Культура Документы
Complete the following access control matrix so that it enables each employee to
perform those specific activities
P8-4)
a) An employee’s laptop was stolen at the airport. The laptop contained personally
identifying information about the company’s customers that could potentially be
used to commit identity theft
• Preventive: Kebijakan yang melarang penyimpanan informasi sensitif pada
laptop dan mensyaratkan bahwa jika ada informasi tersebut harus ada pada
laptop yang dienkripsi. Pelatihan tentang cara melindungi laptop saat
bepergian untuk meminimalkan risiko pencurian.
• Corrective: Pemasangan perangkat lunak "telepon rumah" dapat membantu
organisasi memulihkan laptop atau menghapus informasi yang dikandungnya
dari jarak jauh.
b) A salesperson successfully logged into the payroll system by guessing the payroll
supervisor’s password.
• Preventive: Persyaratan kata sandi yang kuat seperti panjang minimal 8
karakter, penggunaan beberapa tipe karakter, karakter acak, dan
mengharuskan kata sandi sering diganti.
• Detective: Mengunci akun setelah 3-5 kali gagal login; karena ini adalah
serangan "tebakan", mungkin diperlukan lebih dari beberapa upaya untuk
masuk.
e) A company’s programming staff wrote custom code for the shopping cart
feature on its web site. The code contained a buffer overflow vulnerability that
could be exploited when the customer typed in the ship-to address.
• Preventive: Ajari programmer mengamankan praktik pemrograman, termasuk
kebutuhan untuk memeriksa semua input pengguna dengan cermat.
Manajemen harus mendukung komitmen untuk mengamankan praktik
pengkodean, bahkan jika itu berarti keterlambatan dalam menyelesaikan,
menguji, dan menggunakan program baru.
• Detective: Pastikan program diuji secara menyeluruh sebelum mulai
digunakan. Apakah auditor internal secara rutin menguji perangkat lunak yang
dikembangkan sendiri.
i) Once an attack on the company’s website was discovered, it took more than 30
minutes to determine who to contact to initiate response actions.
• Preventive: Dokumentasikan semua anggota CIRT dan informasi kontak
mereka. Praktikkan rencana respons insiden.