Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"

22 listopada miałem przyjemność prowadzić panel dyskusyjny podczas konferencji PolCAAT 2016 organizowanej przez IIA. W trakcie bardzo interesującej (moim, bardzo subiektywnym zdaniem) dyskusji poruszyliśmy kilka tematów, które (w przypadkowej kolejności) postanowiłem zamieścić w niniejszym podsumowaniu:

Cyber Kill Chain - po polsku

Jakiś czas temu, przy okazji jednego z tematów potrzebowałem polskiego opisu Cyber Kill Chain. Nie znalazłem, więc przetłumaczyłem i wrzucam poniżej. Może i wam się przyda.
Ten opracowany przez Lockheed Martin ciąg podkreśla, że atak cybernetyczny składa się z 7 faz i tym samym organizacje mogą i powinny mieć kolejne możliwości wykrycia i powstrzymania ataku.
Kolejne fazy cyberataku to:

Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli

Kilka dni temu NIK wydała polskie tłumaczenie przygotowanego przez INTOSAI Podręcznika kontroli systemów informatycznych dla najwyższych organów kontroli.

Warto o tym wiedzieć - są to obecnie drugie oficjalne (po Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych opublikowanych rok temu przez MC) wytyczne jak należy kontrolować systemy teleinformatyczne w jednostkach administracji publicznych.

Dokumenty są proste, ale zdecydowanie pomagają zrobić I krok nowicjuszom w zakresie weryfikacji funkcjonowania oraz nadzoru nad systemami teleinformatycznymi.


5 typowych błędów w raportach z audytu

Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora, czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy
Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji

22 listopada, podczas XXI konferencji PolCAAT będę mieć przyjemność prowadzić panel dyskusyjny pt. "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji".
W sytuacji, gdy coraz szerzej wymieniamy dane z zewnętrznymi podmiotami, czy polegamy na ich usługach jako kluczowych dla działania naszego biznesu, zagadnienie to staje się nie trywialne.

Nowe kierunki prac - normalizacyjnych, standaryzacyjnych

W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował się JEDYNIE na takich obszarach jak:
Zniechęceni cyberbezpieczeństwem

NIST opublikował niedawno bardzo interesujące, choć niepokojące wyniki badań. Autorzy podkreślają, że coraz częstszym zjawiskiem jest świadoma rezygnacja użytkowników z troski o cyberbezpieczeństwo. Przeprowadzenie badań na próbie 40 osób, mimo zapewnień autorów, nie jest moim zdaniem wiarygodne by wysnuwać uogólnione wnioski. Niemniej jednak zgodne jest to z moimi obserwacjami, że aura skrajnie skomplikowanych rytuałów w zakresie cyberbezpieczeństwa, nieustanne groźby, że hakerzy i tak są lepsi oraz poczucie, nieuchronności cyberincydentów zamiast zachęcać - zniechęca. Dlatego też podkreślam w swoich projektach, że zapewnianie cyberbezpieczeństwa może być łatwe. Oczywiście, w ramach pewnego zdefiniowanego zakresu ryzyk, niemniej to jednak powinno wystarczyć zdecydowanej większości organizacji




Koszt cyberincydentów (RAND)

RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości, że tego typu opinie mogą się pojawiać.