La nécessaire convergence de la sécurité physique et informatique

Professionnels de la sécurité d'entreprises se font un point d'étudier leur métier et apprendre des façons de contrer la menace en constante évolution. Méthodes d'intelligence d'entreprise ont besoin de continuer à suivre la technologie pour analyser et prévenir les influences internes et externes qui peuvent ruiner l'entreprise. Le visage menaces sociétés comprennent: le vol, le vandalisme, la violence au travail, la fraude et les attaques informatiques. Grâce à un système d'identification, d'analyse, d'évaluation des risques opération de sécurité et de prévention, les gestionnaires avisés peuvent atténuer les risques.

Vol affecte tous. En moyenne, la perte médiane de vol de la trésorerie et hors trésorerie est $ 223,000 (ACFE). Les coûts du vol sont répercutées sur les consommateurs à supporter le coût de la perte. Un moyen simple pour les entreprises de commerce de détail de revenir à une perte essentiel est de répercuter les coûts en augmentant sur la ligne supérieure. L'augmentation des prix est un symptôme de vol, mais ne guérit pas. Il ne fait rien par lui-même pour arrêter l'activité autre que punir l'innocent.

De nombreuses entreprises ont investi dans le personnel de sécurité. Ce personnel se concentre efforts pour identifier et prévenir le vol. De nombreuses entreprises ont créé des «prévention de la perte d'emplois". La carrière est orientée sur l'identification des comportements à risque, observant les autres, d'enquêter sur le vol, et de trouver des moyens de réduire les risques. Dans le détail, ils peuvent être acheteurs secrets; dans les transports, ils peuvent être de caméras de surveillance et les patrouilles de gardes, ou habillés en costumes d'affaires conseillant dans les salles de conseil d'administration.

Technologies de l'information (TI) et les leçons de business intelligence (BI) peut être appliqué à la détection et à la prévention du vol. Pour la menace interne, l'accès peut être commandé par un badge ou de biométrie. Capacités de ceux-ci peuvent limiter l'accès par employé, l'heure de la journée et certains jours de la semaine. Par exemple, les employés qui travaillent dans l'entrepôt peuvent accéder à leurs portes d'entrepôt, mais ne peut pas entrer au service d'approvisionnement. Ceux qui ont des privilèges d'entretien avec leurs cartes d'accès ne peut le faire pendant les heures de travail et non pas lorsque l'entreprise est fermée.

Autres aider IT comprend la télévision en circuit fermé (CCTV). Il s'agit d'une grande force de dissuasion et de détection à la fois la menace interne et externe. Les technologies actuelles permettent l'utilisation de l'inclinaison / panoramique / zoom des caméras qui peuvent enregistrer des données numériques depuis des mois. Ces données peuvent être examinés afin de voir les habitudes et les modes de clients suspects et les employés. Tout cela laisse une trace des données qui peuvent être mis dans un entrepôt de données. Outre la protection des employés et des rôles d'assistance, ces données peuvent être extraites à voir des tendances et reconnaître les traits de criminels potentiels. Par exemple, un bac d'alimentation dans un entrepôt peuvent souffrir de pénurie à chaque inventaire. L'installation d'un dispositif de vidéosurveillance fournira des informations numériques ou non les fournitures sont volées et qui fait le vol.

Sabotage et le vandalisme est une menace constante et peuvent être classés de la violence en milieu de travail, les activités intrusion criminelle, et l'espionnage industriel ou en conjonction avec un vol. Bien qu'il soit rare, ses coûts sont lourds et selon l'endroit où la chaîne d'approvisionnement du produit, la charge peut tomber sur l'entreprise ou le client. Ici, la chaîne d'approvisionnement est un terme générique, mais est utilisé pour identifier un outil informatique qui fournit et de suivi automatisé de l'inventaire et de l'information sur les pratiques commerciales. Ces pratiques peuvent inclure des campus, appartements, commerce de détail, le transport, les usines et autres industries.

Les solutions de sécurité pour détecter et prévenir incluent la surveillance du milieu de travail et éliminer la menace interne, renforcement de la sécurité en profondeur afin de prévenir la menace externe, la formation des employés en matière de sécurité de fonctionnement, et en utilisant des techniques de prévention des pertes. D'autres mesures efficaces pour lutter contre le vandalisme et le sabotage sont contingents de volontaires, les programmes d'intéressement des employés et d'autres organismes tels que les programmes de surveillance de quartier. L'industrie, des églises, des centres d'activités communautaires et des écoles ont appris la valeur de compter sur des bénévoles. Les bénévoles servent vigueur multiplie ce rapport d'activités criminelles telles que le vandalisme aux autorités compétentes.

La violence au travail des employés fait les manchettes énormes pour une très bonne raison. Il s'agit d'un comportement choquant avec les événements les plus graves donnant lieu à de multiples décès. Ces incidents conduire à poursuites judiciaires, le moral bas, une mauvaise réputation pour l'entreprise et laisse les familles et les victimes dévastées. En 2003, la violence au travail a conduit à 631 décès, la troisième cause de décès liés à des blessures d'emploi (BLS).

Il s'agit d'actes de violence physique ou verbale qui est prise sur les employés, les clients ou d'autres personnes à un lieu d'affaires. Aux fins du présent document, le lieu de travail est considéré comme un bâtiment d'entreprise, entrepôt, station-service, restaurant, école, taxi ou tout autre endroit où les gens s'engagent dans les affaires.

Pas toute violence en milieu de travail à la fin dans la mort. Elles vont de simples voies de fait à bien pire. Quel que soit le niveau de la criminalité, des innocents sont attaqués au poste de travail. Dans le monde de l'entreprise ce qui peut être choquant. Dans d'autres industries telles que l'application des lois, les ventes au détail et les systèmes de soins de santé, il est très différent. Ces trois ont le plus d'incidents. Le département américain de la Justice a mené une étude sur la violence en milieu de travail de 1993 à 1999. Dans cette étude, ils ont constaté que 1,7 millions de travailleurs ont été victimes de nombreux types de crimes non mortels. Ces crimes comprennent, de viol, d'agression, de vol et d'agression sexuelle. Ces études ne signifie pas toujours employé sur la violence à l'employé, mais comprennent étranger sur la violence à l'employé et vice versa (DETIS).

En ce qui concerne les homicides au travail, il est très coûteux. Pour le risque de paraître froide, le coût moyen moyenne d'un homicide travaux connexes de 1992 à 2001 était un round $ 800.000. Le coût total d'homicides au cours de ces années a été de près de 6,5 milliards (ASIS). Ces faits durs froids issus de l'Institut national de la sécurité et santé au travail (NIOSH) sont ce que l'industrie doit faire face à la création de leur plan de gestion des risques. Il est un mal difficiles mais nécessaires qui doivent être calculées.

Lorsque vous traitez avec ces faits et la création d'un plan d'atténuation, l'industrie doit faire des choix pour protéger le lieu de travail. La société a deux obligations. La première comprend la responsabilité légale de l'employeur de protéger et de protéger contre les dommages évitables. Cela inclut tous ceux qui travaillent ou séjournent dans le lieu de travail. La deuxième responsabilité est de gérer les incidents et les enquêtes, la discipline et d'autres processus de manière appropriée (ASIS). Il est aussi important de respecter les droits de toutes les personnes impliquées dans le processus de prévention et d'enquête.

Tous les départements de l'entreprise sont impliqués dans la prévention et la détection. Tous peuvent contribuer à la conception, la construction et l'utilisation de l'entrepôt de données nécessaires à l'exécution de ce type de prévention et de détection. Chaque partie pourrait maintenir un data mart à l'exploitation minière des hauts dirigeants de l'entrepôt. Dans ce scénario, tous les membres de l'équipe se construire une base de données avec des fonctions discriminantes. Seul, ces caractéristiques ne serait probablement pas dire grand-chose, mais les comportements ou habitudes lorsqu'ils sont combinés, peuvent identifier un agresseur.

Les discriminateurs plus graves seraient identifiés et "non" embaucher critères. Par exemple, un discriminateur qui empêche une personne d'obtenir un emploi serait une histoire de violence. Ce seraient identifiés dans la phase de dépistage préalable à l'emploi salarié. Une autre serait de questions précises sur les performances lors de l'entrevue qui pourrait indiquer propension à la violence ou ne pas être capable de bien travailler avec les autres.

En construisant ces règles, toutes les sources pourrait contribuer à la base de données pour identifier les personnes à haut risque à travers l'emploi. Règles d'entrée pourrait être violé que lorsque, pourrait aider la direction à prendre une décision qui pourrait être d'une menace à l'harmonie dans le lieu de travail. Par exemple, les résultats peuvent RH entrée de vérifications d'antécédents pré-emploi, les dossiers d'entrevue d'emploi et des mesures disciplinaires au sein de l'entreprise. Les gestionnaires pourraient fournir des informations à partir des examens du rendement sur les commentaires discutables. Les employés pourraient faire renseignements anonymes au sujet d'autres employés au sujet de leur comportement.

Employés »ne peut être la menace. Nature des clients, amis et membres de la famille pourraient fournir des risques au lieu de travail. Ces critères pourraient être identifiés ainsi. Les employés qui ont des partenaires violents ou les conjoints et les employés qui se produisent dans des environnements à risque tels que la distribution doit être pris en compte dans l'analyse des risques et l'entrée entrepôt de données.

Certains facteurs atténuants supplémentaires pour la violence au travail salarié incluent des méthodes de sécurité traditionnelles. Un éclairage supplémentaire dans les zones sombres, un garde armé, caméras de sécurité et alarmes de panique faire des merveilles pour donner aux employés une tranquillité d'esprit ainsi que de prévenir les comportements violents. Connaissant la sécurité est en place dissuade les criminels. Ces mesures de sécurité pourraient être reliés à un réseau pour fournir une rétroaction et des preuves pour une utilisation dans l'analyse et la détermination des mesures pour prévenir ce comportement.

La fraude au travail décrit l'utilisation de "l'occupation pour son enrichissement personnel par l'utilisation abusive délibérée de ressources ou d'actifs" (ACFE). Si un employé estime avoir droit à sa juste part, c'est raisons mécontents ou d'une autre, ce crime est coûteux. Le coût médian pour les entreprises de ce régime est $ 159,000. Certains cas de fraude signalés ont coûté à la hausse de $ 1 milliard (ACFE). La fraude s'élève à cinq pour cent des pertes de leurs revenus annuels ou 652 milliards de dollars en pertes de fraude.

Ce crime peut être décomposé en trois catégories: le détournement d'actifs, la corruption, et la déclaration frauduleuse. Des exemples de détournement d'actifs comprennent la facturation frauduleuse, fraude masse salariale et les revenus d'écrémage. La corruption peut entraîner la corruption et les affaires de conduction lacées avec des conflits d'intérêts non divulgué. Déclaration frauduleuse couvre réservant des ventes fictives et les frais d'enregistrement dans la mauvaise période (ACFE).

Pertes dues aux fraudes concernant les petites entreprises plus grandes. Par exemple, par rapport à la perte médiane de toutes les entreprises, les petites entreprises subissent des pertes médianes de 190.000 dollars. Les pertes de ce genre peuvent dévaster une société involontaire et la fraude peuvent continuer pendant 18 mois avant d'être détecté (ACFE). Chaque fois que possible, les entreprises devraient se concentrer sur la réduction du coût moyen à la fois d'un incident de fraude ainsi que le temps qu'il faut pour réduire le délai de découverte de fraude.

Sur l'ensemble des industries, la fraude entraîne les plus fortes pertes médianes par programme dans le commerce la vente en gros, la construction et la fabrication. Gouvernement et de détail sont les plus faibles pertes par régime (ACFE). Ces industries ont un impact énorme sur les coûts des produits finis. Commerce de gros, la construction et la fabrication de tous récapitulation des coûts dans le produit final. Bien sûr, les coûts ne sont pas récupérés immédiatement. Dans la construction et la fabrication de certains, les emplois sont soumissionner et indépendamment des pertes, le projet doit être terminé à ou en dessous des coûts de l'offre. Cependant, plus tard soumissions peuvent être plus élevés en raison de regagner les coûts.

Croyez-le ou non, la position de commettre une fraude qui est directement liée au coût de la fraude. Par exemple, les pertes causées par les propriétaires ou les dirigeants d'une entreprise sont 13% plus élevées que les pertes causées par les salariés (ACFE). Les gestionnaires ne peuvent pas être collées produit dans leurs poches et se faufiler par la porte. Les gens dans des positions plus élevées peuvent être trouvées falsification des rapports de voyage, la création de faux comptes, détournement de paiement et d'autres crimes. Une partie est évident que nous continuons à poursuivre officiers supérieurs impliqués dans les projets énormes.

La fraude est difficile à détecter et à de nombreux régimes peuvent continuer pendant de longues périodes de temps avant qu'ils ne soient détectés. La détection peut être accidentel, le résultat d'une astuce, un audit (interne, externe ou surprise), hotline ou comme indiqué par application de la loi. Concentration et la discipline pourrait être perçue comme le meilleur moyen de détecter les fraudes. Prêter attention à motifs, en vérifiant la paperasse et la vérification des dossiers prend du temps, mais elle doit être exécutée.

La méthode la plus efficace, mais moins utilisée pour détecter la fraude implique l'entrée des employés. La formation des employés en matière de fraude et de réduction de sensibilisation vers le bas sur le laps de temps d'une fraude ainsi que le coût global. La formation augmente le moral de bien des façons et crée une équipe comme l'atmosphère. Les entreprises peuvent tirer de la formation adéquate. Les employés sont une grande ressource dans la prévention de la fraude. Il a été un grand succès avec l'utilisation de lignes directes et des rapports anonymes pour détecter et prévenir la fraude (ACFE).

Technologies de l'information (TI) et les leçons de business intelligence (BI) peut être appliquée à la détection et la prévention de la fraude. Nous avons déjà mentionné que les pourboires des employés et hotline sont les plus efficaces, mais les affaires ne prend pas parti. Liens informatiques pourrait être mis en place sur les sites des entreprises pour permettre aux employés de signaler la fraude. Certaines méthodes peuvent inclure enquête, question directe et réponse, ou tout simplement un espace pour le reporting.

L'audit, les lignes directes et des conseils sont efficaces pendant ou après la commission de la période de fraude longue. Ce sont tous les événements réactionnaires. Qu'en est-il d'être proactif? De nombreuses entreprises ont la capacité d'automatiser presque tout. Les feuilles de temps, la comptabilité, la facturation, la production et les dossiers de la chaîne logistique sont souvent sur un serveur. La plupart exigent l'approbation du superviseur ou à tout le moins avoir la capacité de surveillance en temps réel. Cette information peut être intégré dans une version entreprise, un entrepôt de données et être manipulé conformément aux règles d'entrée. Habitudes particulières de salariés peut être tirée pour comparer et corriger les incohérences financières.

Comme mentionné précédemment, les entreprises ont recours à des mesures de contrôle d'accès tels que les scanners de cartes, lecteurs de codes et de la biométrie. Ils laissent une trace de l'activité des employés et indépendamment de la position tous sont tenus de saisir des informations pour pouvoir entrer. L'activité du clavier d'ordinateur peut être limité par un mot de passe et tous les médias doivent passer par le service de sécurité avant l'introduction ou le retrait. Tout cela laisse une trace des données qui peuvent être mis dans un entrepôt de données. Outre la protection des employés et des rôles d'assistance, ces données peuvent être extraites à voir des tendances et reconnaître les traits de criminels potentiels.

Enfin, les attaques informatiques constituent un risque énorme pour toutes les entreprises. La menace de pirates, les virus malveillants, et ceux qui détournent sites Web et maintenez les transactions financières pour obtenir une rançon ne sont que quelques événements graves dont le responsable de la sécurité doit être la conscience. Les données peuvent être détruites, la réputation peut être ruinée, et la vie peut être volé. Ces attaques peuvent paralyser une entreprise et pourrait prendre des mois ou des années à se rétablir. Les entreprises ont besoin d'avoir des outils informatiques pour détecter et combattre ce type de menace dès que possible. Protection de l'identité et des incidents informatiques connexes nécessite le même type de protection accordée à un employé que dans la section sur la violence en milieu de travail des employés.

Les vers et les virus sont rapidement détruire des années de l'entrée. Ces menaces semblent assez innocemment au début et quand le moment sera venu, ils activent. Ils se recréer et se propager à travers les réseaux et les systèmes autonomes. Les pirates sans cesse frapper à la portail internet à essayer d'apprendre des mots de passe et les secrets les plus intimes de protéger les exploiter pour espionnage, de vol ou de plaisir horrible. Pirates de l'air entrer dans un système et menacent de paralyser les opérations financières jusqu'à ce que le paiement est effectué, l'extorsion en forme high-tech.

Systèmes non protégés perpétuer toutes ces menaces. Les entreprises qui s'impliquent soit innocemment en tant que contributeurs naïfs ou les malheureuses victimes souffrent beaucoup financièrement et de façon productive. Il ya un autre coût qui pourrait prendre plus de temps à récupérer. Il s'agit de la valeur de leur réputation auprès de leurs clients. Une entreprise techniquement analphabètes ou non protégé n'a aucune excuse lorsqu'ils traitent avec des clients ou des partenaires. Choses embarrassantes se produire quand une piste virus ou cyber conduit à une société stupide. L'industrie ne peut pas prendre le risque.

Il existe de nombreuses méthodes de sécurité existantes disponibles pour aider les entreprises à prendre l'offensive contre une telle attaque. Comme le dans les exemples ci-dessus, cet effort prend la coordination, la contribution et la participation de toutes les unités d'affaires et les départements de l'organisation. Cela ne peut pas être donné au service de sécurité seul à manipuler, cependant de telles actions devraient rendre des comptes à un seul ministère.

Il ya de nouveaux postes créés appelé Chief Security Officer (CSO) et Chief Information Officer (CIO). Le sujet brûlant nouvelle pour ces postes est la convergence. La convergence est l'alignement de la sécurité physique et de l'information dans le cadre du même département. Selon CSO Magazine, cela doit être géré par un seul point de contact étant le CSO. Cela peut aligner la sécurité physique, sécurité de l'information, le respect et la protection des renseignements personnels en vertu d'une fonction. Cela permet à l'exécutif de sécurité pour lutter Insurance Portability and Accountability Act et Sarbanes-Oxley avec un accent et l'intention (CSO en ligne).

D'autres mesures agressives qui peuvent être prises sont des mots de passe, les règles sur l'utilisation d'Internet, les pare-feu et un accès Internet blocage. Ceux-ci peuvent être réglées avec le concept de convergence. Logiciel existe déjà pour aider à générer et à protéger les mots de passe sur le réseau et des systèmes autonomes. Ceux-ci permettent d'assurer non seulement que les utilisateurs autorisés ont accès aux systèmes, mais ils fournissent également une base pour les systèmes de vérification. Ceci est essentiel pour protéger une société contre la menace de l'ingénierie sociale. Technologies de l'information permet de suivre qui a utilisé le système à accéder à quelles informations. L'utilisateur quitte une piste automatique électronique automatisé.

Les entreprises ont besoin d'un pare-feu pour protéger les informations à la fois de quitter et entrer dans le système de l'entreprise. Ces pare-feux aider à prévenir le piratage, les virus élevées de levage et malveillant. Le pare-feu doit être mis à jour régulièrement mises à jour. Plus important encore, le CSO ou le CIO devrait être la vérification et l'exécution d'analyse identifier la menace. Cette analyse de la menace et les défenses peuvent être effectuées de la même manière que la stratégie militaire.

Cette identification devrait suivre où la menace provient, combien de fois les défenses sont sondés, ce qui la menace à l'aide de sonder les défenses, et ce que les temps de la journée sont les menaces les plus forts. Pour la sécurité des opérations, le chef devrait se pencher sur ce qui fait leur affaire si tentant de la menace.

Quand un chef de l'information ou agent de sécurité analyse son propre fonctionnement, ils devraient essayer d'identifier les forces et les faiblesses que l'adversaire cherche à exploiter. Quel est le bien de TI les plus vulnérables? Sont nos mots de passe faciles à casser? Combien d'intrusion serait-il pour arrêter nos opérations? Ne sont là que quelques questions qui doivent être analysées avec analyse de la menace externe.

Internet est également une discipline vitale. Un ennemi n'a pas à briser les défenses de faire des ravages. Tout comme tradition vieux vampire, tout ce que vous avez à faire est de les inviter à entrer Lorsque les employés visitez les sites Web non autorisés, télécharger un logiciel non autorisé, le transfert de données à partir d'un ordinateur à la maison ou par courriel avant corrompus, ils peuvent causer autant de beaucoup de mal. Blocage de sites Web, ce qui permet seulement au personnel informatique de télécharger le logiciel et le dépistage tous les médias mobiles ou de prévenir tous les médias comme les CD et autres dispositifs de stockage portatifs est essentielle pour protéger l'entreprise.

Comme mentionné dans d'autres paragraphes, la protection de votre entreprise avec la sécurité en profondeur permettra de résoudre de nombreux problèmes. Cette sécurité en profondeur comprend mentionnés précédemment dispositifs biométriques ou d'accès par carte, les alarmes et caméras de vidéosurveillance. Ceux-ci sont disponibles dispositifs informatiques qui sont populaires et efficaces pour le mouvement des employés et de l'activité de surveillance. Le chef peut également stocker vitale détail l'évaluation des risques dans un entrepôt de données afin de mieux analyser les événements et d'atténuer les risques de façon proactive avant que des dommages se produit.

Comme mentionné dans le présent document, quelqu'un doit prendre en charge l'organisation d'une force commerciale multiple unité de tâche de protéger la société. Les méthodes traditionnelles de segmentation des unités et de les faire travailler dans le vide ne produisent pas de résultats efficaces. Lorsque le service informatique gère toute l'activité Internet, les ressources humaines exécuter les délinquants qui licencient, du ministère des Finances gérer tous les écarts de paie et de la comptabilité de toutes les vérifications, le résultat est une chaîne brisée de l'activité incomplète.

Le partage prêts participation et l'information est mieux traitée sous la forme d'un comité. Chaque département concerné peuvent faire leur activités quotidiennes, mais les résultats peuvent être présentés à l'ensemble du groupe pour aider à détecter et déterminer l'une quelconque des menaces abordées dans ce document.

Nous avons commencé par les reportages d'entreprises qui ont besoin de protéger leur personnel et les actifs. Nous avons montré des exemples tirés de l'actualité de gens qui viennent à leur établissement pour mener des actes insensés de terrorisme et de violence et la nécessité d'avoir une culture d'entreprise ou de l'environnement à répondre aux différents types de menaces. Cette culture consiste en évolution rapide du rôle de la sécurité pour devenir le protecteur du personnel, des installations et des produits. Cette évolution leur permettra d'utiliser les TI comme un outil pour aider à détecter et à décourager les risques pour l'entreprise.

Cela dit, nous pouvons conclure que les professionnels de la sécurité doivent continuer à faire un point à étudier et à apprendre leur métier moyens de contrer la menace en constante évolution. Méthodes d'intelligence d'entreprise ont besoin de continuer à suivre la technologie pour analyser et prévenir les influences internes et externes qui peuvent ruiner l'entreprise. Le visage menaces sociétés comprennent: le vol, le vandalisme, la violence au travail, la fraude et les attaques informatiques. Nous avons examiné les rôles de sécurité de faire converger la protection physique traditionnelle avec les capacités des systèmes d'information. L'informatique peut fournir un excellent outil pour l'entreprise comme un système d'identification, d'analyse, d'évaluation des risques opération de sécurité et de prévention, les gestionnaires avisés peuvent atténuer les risques.

Ouvrages cités:

ACFE. 2006 Rapport ACFE à la nation le travail fraude et les abus, l'Association of Certified Fraud Examiners, Austin, TX, 2006

Société américaine de la sécurité industrielle, prévention de la violence en milieu de travail et d'intervention, ASIS International, 2005

Detis. La violence dans le lieu de travail, 1993-1999. CJN 190076. Décembre 2001

Berinato, Scott; Carr, Kathleen; Datz, Todd; Kaplan, Simone et Scalet, Sarah. Principes de base des OSC: L'ABC de la convergence de la sécurité physique et informatique. Magazine OSC. http://www.csoonline.com/fundamentals/abc_convergence.html

Cummings, Maeve; Haag, Stephen; Phillips, Amy, Systèmes d'information de gestion pour l'ère de l'information. McGraw-Hill. New York, NY 2007...