To ile korporacje powinny wydawać na bezpieczeństwo jest tematem tak starym jak samo bezpieczeństwo. Technologiczne nowinki, reorganizacje, programy i akcje specjalne - każdy budżet można bez problemu wykorzystać na zapewnianie bezpieczeństwa.

Computerworld ostatnio przytoczył wyniki najnowszych badań Gartnera mówiących o tym ile wydają inni (innymi słowy jaka jest średnia wydatków. Z raportu wynika, że bezpieczeństwo IT to około 5% rocznego budżetu IT. Na jednego pracownika wynosi to około 525 dolarów.
Na całkowity budżet bezpieczeństwa składa się: 37% wydatków na personel, 25% na oprogramowanie, 20% na sprzęt, 10% na outsourcing i 9% na konsultacje.

Computerworld ostatnio przygotował spis najbardziej kosztownych błędów komputerowych.

Polecam - można się naprawdę sporo pośmiać. Drobne błędy/pomyłki potrafią doprowadzić do naprawdę dużych strat.
Stuxnet był nazywany najbardziej profesjonalnym niebezpiecznym oprogramowaniem jakie zostało jak na razie napisane (osobiście się z tym nie zgadzam - uważam, że to naprawdę najbardziej niebezpieczne do tej pory nie zostało wykryte).

Profesjonalizm robaka budził nie tylko zachwyt, ale i skłaniał doszukania "drugiego dna". No i mamy potencjalne wytłumaczenie - brzmi nie tylko wiarygodnie ale i groźnie!
O tym, że mało która firma jest w stanie funkcjonować bez Excela (lub któregoś z jego odpowiedników) nikogo chyba nie trzeba przekonywać. W tabelkach prowadzimy księgowość, planujemy strategie, rozliczamy zadania przypisane do rożnych osób czy analizujemy raporty...

Niemniej właśnie przeczytałem o zastosowaniu Excela które mnie naprawdę zaskoczyło. Na wss.pl pojawił się niedawno artykuł opisujący jak przy pomocy arkusza kalkulacyjnego zarządzać zaporami ogniowymi (Windows Firewall).
Bezpieczeństwo informacji zależy od zapewnienia zasobów przetwarzających te informacje. Znak CE ma na celu podkreślenie, że sprzęt został wyprodukowany i złożony zgodnie z obowiązującymi w Unii Europejskiej standardami - jest "stosunkowo niezawodny" :-) oraz nie stanowi zagrożenia dla wykorzystujących go pracowników.

Komputer Świat ostatnio napisał dłuższy artykuł na jego temat tego znaku. Polecam
Zawsze twierdziłem, ze zamiast łamać zabezpieczeń znacznie wygodniej jest je ominąć. CAPTACHA ma na celu przekonanie strony internetowej, że w rzeczywistości ma do czynienia z człowiekiem a nie z kolejnym botem umieszczającym spam czy złośliwy kod. Zabezpieczenia wszywane w CAPTCHA są coraz bardziej skuteczne więc przestępcy postanowili poradzić sobie z nimi w inny sposób.

Skoro nie można skutecznie łamać tych zabezpieczeń w sposób automatyczny przestępcy postanowili by naprawdę zajmowali się tym ludzie - tani pracownicy w krajach trzeciego świata.

Tak się zastanawiam... Co teraz? Ręczne zatwierdzanie wszystkich postów czy komentarzy (przez te same osoby pracujące na drugiej zmianie)?
Tak się złożyło, że dziś natrafiłem na 3 artykuły pokazujące zagrożenia związane z korzystaniem z portali społecznościowych. Zagrożenia zarówno dla osób prywatnych jak i korporacji, których pracownicy godzinami karmią krowy czy inne rybki.

Przede wszystkim - portale społecznościowe mogą zabić!
I to naprawdę. W poniższym artykule można przeczytać kilka prawdziwych historii bez happy endu. Nigdy nie wiadomo kto tak naprawdę kryje się pod miłym dla ucha nickiem.

Po drugie korzystając z portali społecznościowych łatwo można zarazić komputer złośliwym kodem. istnieją tysiące różnego rodzaju aplikacji mających uprzyjemnić nam życie (krówki, rybki itp...) jednak często są to źle napisane fragmenty kody, lub wręcz celowo przygotowane niebezpieczne aplikacje kradnące nasze dane.

Nowym zagrożeniem, zbliżonym nieco do poprzedniego jest Clickjacking. Polega to na oznaczaniu zewnętrznych stron jako "Lubie to". Ponieważ można tak oznaczyć każdą ze stron (swoją drogą - polecam polubić stronę firmy IMMUSEC - zdecydowanie wiarygodną!!!) link może prowadzić do spreparowanej witryny, która zrobi dużo złego z naszym ukochanym komputerkiem (lub mniej kochaną ale bardziej pożyteczną siecią firmową).
Kilka dni temu podawałem link do mojego dawnego artykułu dotyczącego zapewnienia ciągłości funkcjonowania e-biznesu. W części Expert Room portalu IMMUSEC umieściłem ostatnio również inny artykuł - tym razem anglojęzyczny "Measurement of information security processes"

Temat mierzenia bezpieczeństwa informacji (czy dokładniej mówiąc poziomu bezpieczeństwa informacji) jest zagadnieniem trudnym do naprawdę wartościowej implementacji. Miary bezpieczeństwa są często ulotne, bardzo łatwo jest mierzyć drobiazgi, które często dają złudne poczucie bezpieczeństwa, trudno uchwycić to co jest dla organizacji naprawdę ważne.

Pomóc może tutaj wprowadzona przez mnie metoda CORRECT:
Complete;
Objective;
Reliable;
Rapid;
Easy to understand;
CompaCT.
Chcesz wiedzieć więcej? Zachęcam do lektury całego artykułu.
Hacking poinformował o tym, że WikiLeaks przeniosło serwerownie w inne miejsce. Niby nic nadzwyczajnego, a jednak nie jest to zwyczajna wiadomość - jak powtarza dziennikarz - CEO serwerowni ma jedną z najfajniejszych prac na świecie. Nawet nie sądziłem, że można tak wspaniale się bawić organizując tego typu miejsce:
- schron atomowy
- silniki z łodzi podwodnych
- fontanny i rosnące pod ziemią kwiatki
- przeszklony, wiszący pokój konferencyjny
- podziemny mostek (w planach)

Efekt jest...piorunujący - Ci ludzie naprawdę lubią gadżety i zabawę. Zresztą zobaczcie sami


W części Expert Room portalu IMMUSEC zamieściłem ostatnio jeden z moich najdawniejszych artykułów dotyczących ciągłości działania w e-biznesie.

Mimo, że tekst ma już 5 lat (co w tym fachu jest naprawdę znacznym okresem), większość z jego tez wciąż jest aktualnych. Zachęcam do lektury całego artykułu.
Już od dawna nie pojawiały się u mnie wystąpienia z TED - trzeba to zmienić.
David McCandless ostatnio opowiadał o pięknie wizualizacji danych.
Podkreślał jak właściwe zaprojektowanie wizualizacji danych potrafi zmieniać nasze postrzeganie świata, zwracał uwagę na "język oczu", który powinniśmy brać pod uwagę zawsze gdy projektujemy informacje. Jest to szczególnie ważne teraz, gdy na co dzień mamy do czynienia z nadmiarem otrzymywanych informacji, powodujących de facto zagubienie właściwych proporcji.

Zachęcam do obejrzenia wystąpienia i "Let the data set change your mind set"

Enterprise Risk Management jest zagadnieniem zdobywającym coraz więcej uwagi. W świecie IT widać to po zainteresowaniu norm i metodyk zarządzania ryzykami IT (odpowiednio ISO 27005 oraz RiskIT). Jednak dlaczego warto inwestować (przede wszystkim czas) w rozwój tego typu systemów?
odpowiedzi udziela bankier.pl w niedawnym artykule.
Na stronie naszej firmy: IMMUSEC otworzyliśmy kilka dni temu nowy dział: Expert Room. Będzie to miejsce w którym zamieszczać będziemy niektóre z rezultatów naszych prac jak case study, artykuły i... (ale o tym innym razem)

Miłą ciekawostką jest fakt, że lada dzień rozpoczniemy umieszczanie polskich tłumaczeń najciekawszych z postów Bruce Schneier'a. Bruce - światowy guru bezpieczeństwa i kryptografii przekazał nam swoją oficjalną zgodę na tego typu tłumaczenia swojego blogu i newslettera.


Tak więc...zapraszam do lektury
Rafał Rudnicki opublikował właśnie ciekawy artykuł porównujący zarządzanie ryzykiem w bankach z zarządzaniem ryzykiem w innych gałęziach gospodarki.

Załączam krótki fragment, polecam zapoznanie się z całością artykułu

Strażacy i specjaliści od zwalczania "dzikich pożarów" lasu (wildfires) twierdzą, że w niektórych okolicznościach - kiedy nie ma wysokiego zagrożenia życia ludzkiego - lepiej jest pozwolić się wypalić pożarowi i dać mu pochłonąć pewien obszar, aby w ten sposób odizolować i ochronić cały regionalny ekosystem. Jak to się przekłada na system finansowy ? Należy pozwolić słabym instytucjom na zbankrutowanie (vide finansowe wsparcie z budżetów państw) oraz utworzyć "przegrody ogniowe" - które spowodują, że pożar systemu finansowego obejmie jedynie jego słabą część, a większość tego systemu pozostanie odizolowana.
Standard PCI DSS (Payment Card Industry, Data Security Standard) jest jednolitym standardem bezpieczeństwa opracowanym przez Payment Card Industry Security Standards Council skupiający najważniejsze z firm zajmujące się procesowaniem kart kredytowych.

12 grup wymagań jest podzielonych na 6 głównych obszarów:
Budowa i utrzymanie bezpiecznej sieci
Wymaganie 1: Zainstaluj i skonfiguruj zapory ogniowe tak aby chronić dane posiadaczy kart
Wymaganie 2: Nie używaj domyślnych, dostarczanych przez dostawców danych w postaci haseł i innych parametrów bezpieczeństwa
Ochrona danych posiadaczy kart
Wymaganie 3: Chroń przechowywane dane użytkowników kart
Wymaganie 4: Szyfruj dane posiadaczy kart przesyłane otwartymi, publicznymi łączami
Utrzymuj program zarządzania podatnościami
Wymaganie 5: Używaj i regularnie aktualizuj oprogramowanie antywirusowe
Wymaganie 6: Twórz i utrzymuj bezpieczne systemy i aplikacje
Zaimplementuj silne mechanizmy kontroli dostępu
Wymaganie 7: Ogranicz dostęp do danych posiadaczy kart zgodnie z zasadą wiedzy koniecznej
Wymaganie 8: Przypisz unikalne identyfikatory wszystkim osobom mającym dostęp do komputerów
Wymaganie 9: Ogranicz fizyczny dostęp do danych posiadaczy kart
Regularnie monitoruj i testuj sieci
Wymaganie 10: Wyszukuj i monitoruj wszystkie próby dostępu do zasobów sieciowych oraz informacji o posiadaczach kart
Wymaganie 11: Regularnie testuj systemy i procesy bezpieczeństwa
Utrzymuj Politykę Bezpieczeństwa Informacji
Wymaganie 12: Spełniać polisę, która jest skupiona na bezpieczeństwie przechowywanych informacji

Natknąłem się ostatnio na interesujący materiał marketingowy - piosenkę tłumaczącą zasadność przestrzegania powyższych 12 zasad.

Posłuchajcie sami

Warto zauważyć, że 30 sierpnia ruszył program "Nasze dzieci w sieci" fundacji Kidprotect.
Inicjatywa jest ważna (pamiętajmy, przy okazji, że za paręnaście lat obecne dzieci będą przetwarzać nasze dane więc to kolejny powód dla których warto je kształcić w tym zakresie).
na portalu RP pojawiła się interesująca informacja dotycząca odpowiedzialności banku za ujawnianie przez pracowników informacji stanowiących tajemnicę bankową.
Sąd Najwyższy stwierdził, że bank może odpowiadać wobec klienta także w wówczas, gdy informacje o stanie jego kont przekazał przestępcom jego były pracownik.
Polecam zapoznanie się z resztą informacji. Ciekawe jak ostatecznie zakończy się sprawa. Banki raczej nie będą musiały obawiać się gigantycznych odszkodowań (jak w tym przypadku konieczności oddania pieniędzy wpłaconych porywaczom), niemniej podkreśla jak ważna jest poufność danych klientów w bankach.
Na blogu 112 PR pojawił się ciekawy post dotyczący różnicy między komunikację w zarządzaniu kryzysem z zarządzaniu ryzykiem.

Komunikacja kryzysowa najczęściej dotyczy rzeczy, które się nie powiodły, na przykład, potrąciłeś staruszka na przejściu dla pieszych, mechanik zapomniał wyregulować hamulce w samochodzie i dziennikarze dzwonią z pytaniami dlaczego jechałeś tak szybko.
Komunikacja ryzyka dotyczy z kolei przykrych rzeczy, które mogą się wydarzyć. Czy jest prawdopodobne, że jadąc za szybko potrącisz człowieka na przejściu, mechanik zapomni sprawdzić hamulce i dziennikarze będą żądać wyjaśnień?

Polecam lekturę całości.