«Il n'ya pas une telle chose comme un contrôle à 100%." Selon le Dr Jim Stewart, de la Northern Illinois University à DeKalb, IL "En travaillant sur ma thèse, je passais en revue certaines revues spécialisées des années 50. Il y avait un certain nombre d'études de cas montrant l'efficacité 50-75% et un taux de rupture (visuelle inspections de fil s'enroule avec photos) de 10-15%. Donner une efficacité de 40-65%. "
Le problème est que de nombreux départements informatiques ne comprennent pas ce concept et se font des illusions dans un faux sentiment de sécurité qu'ils sont en contrôle.
Zéro défaut
Lorsque vous fabriquez des widgets, votre objectif est le zéro défaut. Dès le début de la révolution industrielle jusqu'à une date relativement récente, il était une conviction profonde que vous pourriez embaucher des inspecteurs de regarder chaque partie se détacher de la chaîne d'assemblage final et de déterminer si oui ou non il suffisamment conforme aux exigences, tout ce qui peut les être. Ce fut un grand plan sauf pour un petit détail, il ne fonctionne pas très bien. Comme il s'avère, il n'y a pas assez d'heures dans la journée, pas de matériel d'essai disposer de suffisamment de compétences techniques ne suffisent pas à inspecter chaque élément graphique simple et attraper chaque partie défectueuse. Certains vont toujours passer à travers. Beaucoup d'entreprises peuvent avoir découvert ce fait, mais en général, a adopté la "suffisamment proche" stratégie.
Comme il s'avère, au fil du temps fabricants découvert des méthodes beaucoup plus fiables pour la production de widgets de qualité supérieure. Ils ont compris que le meilleur moyen d'éviter l'envoi défectueux widgets était de prévenir les défauts de se produire en premier lieu, non seulement la mise au rebut de la pièce défectueuse quand il a été constaté lors de l'inspection finale. Comment ont-ils fait cela? Il y avait deux principales composantes de la stratégie.
D'échantillonnage
Il peut être démontré mathématiquement que prendre un «statistiquement pertinent» d'échantillonnage de pièces à partir d'une ligne d'assemblage et la mesure des paramètres critiques de contrôle pour s'assurer que le processus est «sous contrôle» peut entraîner une qualité bien meilleure que l'inspection générale de 100%. Il a aussi deux avantages supplémentaires. Tout d'abord, parce que vous ne l'inspection d'un échantillonnage du flux de production global, il nécessite moins de ressources et moins les coûts. Deuxièmement, cette étape peut être effectuée à chaque étape du processus de production, qui peut détecter les problèmes plus tôt et de réduire les pertes de ferraille.
Les défis sont de: a) déterminer la pertinence statistique et b) l'identification des paramètres de contrôle critiques. Les équivalents dans le monde de la sécurité informatique ne sont pas nécessairement évidents, mais les principes sont toujours d'actualité dans certains domaines tels que la détection d'intrusion et l'utilisation d'Internet.
Formation
Le facteur qui fait la différence la plus importante et aussi la plus directement applicable à la sécurité informatique est la formation. Dans la plupart des installations de fabrication japonaise, les assembleurs sont responsables de l'entretien des machines qu'ils utilisent. Il ya deux raisons à cela. La première consiste à établir un sentiment d'appropriation du processus. Les opérateurs qui sont responsables de la réparation de leurs propres machines seront généralement les traiter avec le plus grand soin et respect. La deuxième raison est de donner à l'opérateur une compréhension plus profonde du processus et une capacité innée à sentir quand quelque chose n'est pas tout à fait raison. Cette approche implique évidemment une part importante de la formation. Toutefois, dans le long terme, il économise de l'argent en réduisant considérablement les défauts et produire des travailleurs plus efficaces.
L'équivalent dans le monde de l'informatique est de former et de responsabiliser les utilisateurs comme les mécaniciens pour leurs propres outils de production; leurs ordinateurs. Cela ne signifie pas transformer le tout en techniciens PC. Il ne signifie toutefois pas les former à son utilisation et l'entretien préventif et les rendant responsables de veiller à ce que leur outil est en bon état de fonctionnement. En leur donnant un sentiment d'appartenance, vous INCENT qu'ils traitent de la machine (ordinateur) avec plus de soin et respect. En les formant à sa bonne utilisation et de maintenance, vous donner les moyens d'utiliser l'ordinateur comme un outil et devenir de véritables innovateurs, et non pas simplement formés chimpanzés tapant sur la même série de touches dans leurs cages.
Lorsque vous traitez les gens comme des adultes et des professionnels, vous êtes tenu d'être déçus de temps en temps. Cependant, il a été mon expérience que les numéros des humains qui dépassent les attentes dépassent de loin ceux qui sont loin. Trop nombreux départements informatiques considèrent comme pas un hasard si «l'utilisateur» est un mot de quatre lettres. C'est malheureux parce que quand vous arrêtez de regarder utilisateurs comme un inconvénient et commencer à les considérer comme un atout, des choses merveilleuses peuvent arriver.
Conclusion
Il n'y a aucune une telle chose comme un contrôle à 100%, tout comme il n'existe pas une telle chose comme un pare-feu impénétrable, une politique de mot de unhackable, un programme de protection infaillible virus, ou un bâton de mémoire qui ne peut pas être perdu. Chaque tactique sécurité informatique a un prix en termes de décaissement et de l'efficience réduite. En outre, la tactique la plus courante utilisée par les pirates informatiques délibérées que l'ingénierie sociale. Il n'existe toujours pas de solutions matérielles ou logicielles pour que la vulnérabilité
Soit dit en passant, je n'ai jamais vu une mesure département informatique, et encore moins justifier, le coût et l'impact des nombreuses mesures de sécurité dans la réduction de productivité. Mais beaucoup plus dangereuse que celle, trop d'entreprises se sont vendus sur le mensonge que l'inspection à 100% est "assez bon"....
Aucun commentaire:
Enregistrer un commentaire