Rzadko to robię, ale tym razem pozwolę sobie na dokładny przedruk czyjegoś tekstu. Bruce Schneier w grudniowym newsletterze napisał poniższy artykuł. A, że jak kiedyś pisałem IMMUSEC dostał pozwolenie na tłumaczenie o rozpowszechnianie polskiej wersji Crypto-gramu mam to poniekąd z pierwszej ręki. Pytanie jakie Bruce zapisał w ostatnim akapicie jest boleśnie istotne.

--
W zeszłym miesiącu pojawiło się doniesienie o włamaniu do systemu SCADA, który kontroluje pompy wodne w stanie Illinois. Pompy miały zostać zniszczone, a dokonać tego mieli prawdopodobnie Rosjanie. Potem okazało się, że wszystko jest nieporozumieniem.

Końcówka drugiego artykułu podnosi moim zdaniem najważniejsze:
Joe Weiss mówi, że był zszokowany tym, jak taki raport mógł zostać wydany bez wcześniejszego sprawdzenia i potwierdzenia zawartych w nim informacji.
„Jeśli nie możesz zaufać informacjom z centrum informacyjnego, to jaki jest sens posiadania takiego centrum rozsyłającego cokolwiek? I o to właśnie chodzi” powiedział Weiss. „Gdy czytasz ten raport, czytasz bardzo przerażające informacje. Jak Departament Bezpieczeństwa Krajowego mógł nie wspomnieć o tym, że te informacje są niesprawdzone?”

Rzeczniczka centrum informacyjnego zapytana dlaczego nie sprawdzono tych informacji i umieszczono je w raporcie odpowiedziała, że za to odpowiada Departament Bezpieczeństwa Krajowego i agencje odpowiedzialne za raport. Panią rzecznik Bond bardziej interesowało jak Weiss zdobył raport, którego kopii nigdy nie powinien zobaczyć.
„Bardzo obawiamy się wycieku kontrolowanych informacji” podkreśliła Bond. „Badamy wewnętrznie jak wydostały się te poufne i kontrolowane informacje oraz w jaki sposób dotarły do rąk użytkowników, którzy nie powinni ich dostać. I to jest nasz priorytet.”

Zauważcie, że problemem nie jest nagłośnienie nieistniejącego zagrożenia w poufnym raporcie, ale upublicznienie tego raportu. Nie jest ważne czy raport został upubliczniony, ale to, że nigdy nie został uznany za błędny. Jak wiele innych takich raportów służy do ustanawiania praw, które są tak samo błędne jak dane na podstawie których powstały?

http://www.wired.com/threatlevel/2011/11/hackers-destroy-water-pump/
http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/
.
Dzisiaj 15.12 będę miał przyjemność przedstawienia wykładu na warszawskim spotkaniu OWASP. Opowiadać będę o tym jak można połączyć bardzo elastyczne metodyki z rodzaju Agile z wymaganiami PCI DSS.

Prezentację (na prośbę organizatorów po angielsku) można zobaczyć tutaj.
.
Dziś PolCAAT'2011. Będę miał zaszczyt przedstawić wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".
Załączam prezentację. Miłej lektury.
.
Jakiś czas temu pisałem o konferencji Quality and Management 2011 w Kazimierzu.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
Ostatnio u kilku klientów miałem dłuższe dyskusje o tym czym jest konflikt interesów, kiedy występuje i jak można się przed tym zabezpieczyć. Warto i tu podsumować te dyskusje.
Można znaleźć zestawienia pokazujące, jakie funkcje nie powinny być łączone (zgodnie z najlepszymi praktykami), niemniej konieczne jest wcześniej zrozumienie przed czym tak naprawdę chcemy się chronić.

Z założenia konflikt interesów ma miejsce gdy:
- osoba zatwierdza wyniki swojej własnej pracy;
- osoba jest odpowiedzialna za wykonanie całości prac w danym procesie;
- osoba poprzez posiadanie różnych uprawnień może omijać kolejne warstwy zabezpieczeń.

Każda w powyższych sytuacji może spowodować potencjalny konflikt interesów. Dlaczego potencjalny - dlatego,że przecież większość z osób, którymi się otaczamy (ok - przynajmniej ja się otaczam) należy do kategorii osób uczciwych. Nie w głowie im szkodzenie pracodawcy czy szukanie dodatkowego - nielegalnego źródła dochodu.
Niemniej gdy pracownik będzie ewentualnie rozważał zrobienie czegoś...nieładnego to powinny istnieć wewnątrz organizacji mechanizmy, które to zablokują lub przynajmniej, które zarejestrują ten fakt. No i na tym właśnie powinno między innymi polegać działanie osób/działów odpowiedzialnych za bezpieczeństwo informacji.

Jakie rozwiązania można stosować - możliwości jest na szczęście kilka:
- Segregacja obowiązków (typu podział zadań wprowadzających i zatwierdzających pomiędzy oddzielne osoby);
- Podwójna autoryzacja (typu uprawnienia „enable” lub podział hasła na kilka części);
- Dodatkowe logowanie/monitorowanie wykonywanych czynności.

Pierwsze rozwiązanie jest oczywiście najbardziej skuteczne, ale nie każdą firmę stać na zatrudnienie dodatkowej osoby (z czym to się często może wiązać). Dlatego warto rozważyć również inne możliwości, w zależności od charakteru pracy. Minimalnym zabezpieczeniem przed konfliktem interesów jest jednak zapewnienie możliwości wykrycia faktu wykonania nieuprawnionych czynności. Możliwości wykrycia czyli nie tylko zapewnienia informacji (np logów) ale również i mechanizmów zapewniających, że ktoś te logi przejrzy i będzie w stanie wyciągnąć odpowiednie wnioski.
.
W dniach 25-27.11 w Kazimierzu nad Wisłą odbędzie się XIV Międzynarodowa Konferencja Naukowa Quality and Management 2011 organizowana przez prof. dr hab. Elżbietę Skrzypek.

Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
Bardzo ucieszyła mnie informacja, że Prezydium Komitetu Polskiej Nagrody Jakości, postanowiło przyznać Panu Prof. Stanisławowi Tkaczykowi Dyplom i Statuetkę Finalisty V edycji konkursu "ZNAKOMITY PRZYWÓDCA".

Mam niezmierny zaszczyt należeć do grona doktorantów p. Profesora i muszę potwierdzić, że jest on naprawdę wyjątkowym człowiekiem. Jego troska o doktorantów zdecydowanie odbiega od powszechnie panujących standardów. Jest naszym obrońcom, mentorem, przywódcą. Ta nagroda dla "Znakomitego Przywódcy" tylko podkreśla to o czym my - wychowankowie Profesora - tak doskonale wiemy od lat.

Panie Profesorze - serdecznie gratuluję!
.
Coraz bardziej oddalam się od bezpieczeństwa informacji, ale postanowiłem przejrzeć prezentacje na TED w temacie bezpieczeństwa ogólnie.
Nie wszystkie są, moim zdaniem, tak wyjątkowe i niepowtarzalne by poświęceć im osobny wpis, więc zrobię teraz małe podsumowanie.
Pacyfistka, wojująca feministka itp. Eve Ensler w swoim wykładzie o bezpieczeństwie zwraca uwagę na bezsens wielu tego typu czynności. Chcemy beć bezpieczni, zamykamy się na świat i inne osoby. Przebywamy wyłącznie wewnątrz grup (spolecznych, zawodowych, religijnych...) wewnątrz którychczujemy się bezpieczni i każdego obcego traktujemy przynajmniej z dużą nieufnością, jeżeli nie wręcz z agresją. My kontra oni. Chrońmy się...To mocno zamyka nas - stajemy się więźniami własnego umysłu. Każdą wolną chwilę poświęcamy na zabezpieczanie siebie i najbliższych przed coraz to bardziej urojonym, hipotetycznym wrogiem...
Kilka myśli prezentacji naprawdę jest dobrych, mimo, że nie przepadam za formą.

Z drugiej strony Thomas Barnett - wymachujący szabelką wojażka, doradca USA ds. bezpieczeństwa opowiada o tym jak wygląda walka o wolność (itp) od środka i pokazuje dlaczego jest tak beznadziejnie. W dowcipny i błyskotliwy sposób pokazuje gdzie popełniono błędy (catastrofic success), demonstruje podział świata na sektor wojny (bardzo sprawny) i resztę (fatalną), pokazuje co warto usprawnić by maszynka walki o wolność, demokrację itp zaczęła po prostu działać.

Warto też zwrócić uwagę na wywiad z Julian Assange z czasów gdy był na topie i miał kilka sukcesów, o których naprawdę należy mówić głośno.
Miłego oglądania.
.
Temat Stuxnet'a jest już raczej powszechnie znany, ale warto posłuchać również i tej opowieści. Ralpg Langner opowiada na TED jak postępowały prace nad zrozumieniem idei jak funkcjonuje Stuxnet. O wbudowanych w kod funkcjach mających na celu oszukanie operatorów odnośnie swojej obecności w systemie, odnośnie własnego szkodliwego działania

Korzystanie w pracy ze służbowego komputera do celów prywatnych w pewnych okolicznościach może być traktowane jako ciężkie naruszenie podstawowych obowiązków pracownika orzekł Sąd Najwyższy.
Warto odnotować w pamięci (zewnętrznej) ten wyrok - może niekiedy okazać się pomocny...
Trafiłem na bardzo oryginalny opis autorstwa Elberta Hubbarda jak wygląda typowy audytor. Nie mogłem się powstrzymać by go nie przytoczyć:

Typowy audytor to mężczyzna w wieku starszym niż średni, szczupły, pomarszczony, inteligentny, zimny, pasywny, dyplomatyczny, z oczami dorsza, uprzejmy ale równocześnie nie skory do udzielania odpowiedzi, spokojny i irytująco zrównoważony jak betonowa struktura lub odlew, ludzka skamieniałość z sercem jak głaz, bez krztyny uroku, litości, uczucia i poczucia humoru.
Na szczęście nigdy się nie rozmnażają i w końcu trafiają do piekła
Już niedługo - 29 listopada VII Jesienne Seminarium Skuteczny Audyt PolCAAT’2011 organizowane przez polskie IIA.
Będę miał zaszczyt i przyjemność przedstawić w tak doborowym towarzystwie (pełna lista prelegentów jest tutaj) wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".

Serdecznie zapraszam czytelników bloga na wspólną kawkę - jeśli będziecie to ujawnijcie :)
Na tegorocznym TED prezentację wygłosił sef F-Secure Mikko Hypponena.
Opowiadał o pierwszym wirusie komputerowym i o tem jak się spotkał z jego twórcami jak również o tym jak współcześnie wygląda cyber kryminalny świat i nasza zależność od komputerów.
Polecam


Ostatnio dostałem zaproszenia na ciekawy i darmowych webcastów. Może przyda się to osobom wybierającym się na egzaminy?

Shon Harris przedstawiająca kurs z 1 domeny CISSP: Information Security and Risk Management.

Course Description:
This free course module of Domain 1 of our CISSP Certification Training will give the student in-depth knowledge on such topics as: security definitions, vulnerabilities, regulations, risk management, data collection, security enforcement issues, and many more critical concepts. Test drive Career Academy's CISSP training today.
.
Dzień, w którym zmienił się świat

Po 11 września rozpoczęła się wojna religijna trwająca do tej pory
Po 11 września ciągłość funkcjonowania stała się wymogiem, nie rozważaniem teoretyków zarządzania IT
Po 11 września w imię wojny w terrorem poufność przestała być tak ważna
Po 11 września w imię tejże samej wojny z terrorem okazało się, że podstawowe prawa ludzkie w sumie też nie są ważne
Po 11 września okazało się, że w ramach ochrony interesu narodowego można swobodnie łamać hasła, prawa międzynarodowe jak i ludzi (dosłownie)
Po 11 września mordowanie zakładników przez bojówki stały się wydarzeniem Internetowym
Po 11 września okazało się, że zamiast uczestniczyć w nowoczesnej wojnie wykorzystującej wszystko co tylko przyśniło się architektom uzbrojenia, można schować się w jaskini
Po 11 września w imię świętej wojny rozpoczęła się masowa rekrutacja bojowników poprzez Internet
Po 11 września wprowadzono szereg przepisów skrajnie utrudniających życie każdego, kto podróżuje samolotem
Po 11 września okazało się, że nadmiar tajnych agencji zajmujących się bezpieczeństwem bardziej szkodzi niż pomaga, ze względu brak komunikacji
Po 11 września okazało się, że naprawdę nie wystarczy posiadać danych wywiadowczych - trzeba je umieć przetwarzać online
Po 11 września udało się niesamowicie rozwinąć techniki inwigilacji oraz analizy różnorodnych danych w trybie online
Po 11 września do wszystkich Planów Ciągłości Funkcjonowania zaczęto masowo dodawać uderzenie samolotu
Po 11 września udowodniono tezę, że każdy atak terrorystyczny jest tym skuteczniejszy im jest medialny
Po 11 września minimalna odległość między centrum przetwarzania danych a centrum zapasowym naprawdę stała się tematem dyskusji
Po 11 września każda osoba o ciemniejszej karnacji stała się potencjalnym terrorystom w imię odpowiedzialności zbiorowej i nawet nie udawanej dyskryminacji
Po 11 września nasiliła się wśród terrorystów potrzeba masowego mordowania "na wizji"
Po 11 września świat znów podzielił się na "dobrych" i "złych"

Po 11 września świat wygląda już inaczej.
.
Jeden z najpoważniejszych ataków ostatnich lat (publicznie znanych) dotyczył włamania się do głównego dostawcy uzbrojenia USA - firmy Lockheed-Martin.
By to się udało postanowiono włamać się do RSA - jednego z najważniejszych graczy na rynku bezpieczeństwa by wydobyć informacje o seeds (nasionkach), które tak naprawdę zasilają tokeny. O tym prawdopodobnie wszyscy czytelnicy doskonale wiedzą. Na blogu F-secure pokazano jak to wszystko się zaczęło, jak wyglądał pierwszy atak do wewnątrz firmy RSA.
Zachęcam do lektury

Naprawdę zaawansowany, trudny atak miał miejsce od prostego, e-mailowego social engineeringu, który rozpoczął późniejszą, znacznie trudniejszą infiltrację sieci wewnętrznej
IDG opublikowało artykuł "Przestoje wynikające z problemów w działaniu IT kosztują miliardy euro". Podsumowuje on badania CA Technologies.

Z analiz przeprowadzonych na zlecenie firmy CA Technologies wynika, że przypadające na jedną, zatrudniającą ponad 50 osób firmę przestoje wynikające z wadliwego działania rozwiązań teleinformatycznych trwają łącznie ok. 14 godzin w skali roku. Statystycznie kolejne 9 godzin w roku zajmuje przywracanie danych i pełnej sprawności organizacji.
Dr. inż. Bolesław Szomański podesłał mi Rocznik Wojskowy Królestwa Polskiego na rok 1827.
Przedstawiona jest tam lista audytorów Administracji Wojennej. To co zwraca szczególną uwagę to funkcje osób, które pełniły te obowiązki - sama kadra! Osoby szanowane, na wysokich stanowiskach, wymieniane z imienia i nazwiska. Zachęcam do lektury
Jest to zupełnie inne podejście niż to co czasem widać na rynku w postaci "szarej masy" bezimiennych audytorów praktykujących w dużych firmach.
Ostatnio pisałem kto popełnia defraudacje, warto przypomnieć sobie kto kradnie dane. Niecały rok temu Imperva przeprowadziła badania z których wyszło, że większość tego typu incydentów, chyba zgodnie z przewidywaniami osób siedzących w temacie, popełniają pracownicy działów HR i marketingu.
Zresztą całość badań wygląda strasznie - aż 72% badanych pracowników przyznało się do faktu wynoszenia firmowych danych na zewnątrz.

No i teraz mamy dwa podejścia. Albo zezwolić pracownikom na tego typu praktyki, albo zdecydowanie zwiększyć skuteczność mechanizmów kontrolnych. Taka sytuacja tylko powoduje spadek szacunku dla pracodawcy, ośmiesza go wraz z posiadanymi zabezpieczeniami.
Co prawda artykuł ma już parę tygodni, niemniej nie chciałbym by zaginął w niepamięci.

KGHM zrobilo badania (na podstawie prowadzonych przez siebie śledztw) i okazało się, że największym zagrożeniem są osoby piastujące najwyższe stanowiska, szczególnie z działach finansowych.
Naprawdę polecam lekturę artykułu "Kto okrada korporacje?"

Polecam też analizę calego raportu "Who is the typical fraudster"
Zarządzanie ryzykiem jest jednym z najmodniejszych tematów ostatnich lat. Wszyscy tego potrzebują, wszyscy się w sumie na tym znają, no i wciąż wszyscy chcą o tym słuchać i czytać.
Zastanawiające jest jednak dlaczego, mimo tak zaawansowanych metodyk i narzędzi wciąż jest tak źle, organizacje wciąż ponoszą,często bezsensowne straty?

Jak zauważył podczas ostatniej konferencji w Mościbrodach prof. Mahari - jak to możliwe, że mimo posiadania tak wspaniałych, potężnych i doświadczonych profesjonalnych służb zajmujących się zarządzaniem ryzykiem, zatrudniających nawet takie osobistości jak laureatów narody Nobla, doszło do kryzysu finansowego w 2008 roku? Co się stało, czemu nie zadziałało zarządzanie ryzykiem?

Na te pytania nie odpowiem, mogę jednak zauważyć co nieco ze swojego podwórka - zarządzania ryzykami IT. Otóż coraz częściej można spotkać się z sytuacją, gdzie rzeczywistym celem działów zarządzania ryzykiem jest przeprowadzanie coraz to bardziej wymyślnych testów, kontrolowanie kolejnych obszarów działałności. Zarządzanie ryzykiem potrafi stać się celem samym w sobie - nie ważne po co - weryfikujmy, testujmy, dokonujmy pomiarów... Organizacje potrafią spędzać na tych analizach więcej czasu niż na rzeczywistej produkcji.
To nie o to chodzi!

Jakiś czas temu usłyszałem na spotkaniu termin "paralyze by analyze". Jak on mi się podoba, jak doskonale oddaje to,co spotkać można w wielu dużych firmach. Strach cokolwiek zrobić by nie spotkać się z zarzutem działań na szkodę spółki polegających na łamaniu opasłych regulaminów.

Zarządzanie ryzykiem jest potrzebne, ba - nawet niezbędne. Niemniej nie wolno zapominać o często zanikającej mikropłatności - o zdrowym rozsądku.
Pamiętajmy, że jednym z najważniejszych celów zarządzania ryzykiem jest umożliwienie świadomego podejmowania decyzji o akceptacji ryzyka. Biurokratyczne machiny wymagające wypełniania dziesiątków tabel i pisania gigantycznych ilości uzasadnień nie rozwijają biznesu lecz go hamują. Często bardzo skutecznie. Nie pozwólmy by ustalane przez nas samych nadmiarowe, niepotrzebne procedury biurokratyczne całkowicie wiązały nam ręce.
Zauważmy, że zarządzanie ryzykiem stało się już poważnym ryzykiem dla działalności organizacji.
Wiwat zdrowy rozsądek!
W trakcie tegorocznej konferencji Management 2011 w Mościbrodach przedstawiłem referat pod tytułem "Zarządzenie ryzykiem jako kluczowa składowa zarządzania ryzykiem w organizacjach".
Na ftp zamieściłem slajdy, które towarzyszyły mojemu wystąpieniu
W dniach 26-27 lipca IDG organizuje warsztaty "Zarządzanie ryzykiem w organizacji".

Wraz z kolegami z Mayday Management Solutions gruntownie przedyskutujemy temat zarządzania bezpieczeństwem w biznesie szczególnie zwracając uwagę na aspekt zarządzania ryzykiem i podejmowania świadomych decyzji. W trakcie warsztatów zapewniamy zarówno podstawy wiedzy teoretycznej, jak i dużo praktycznych przykładów i rozwiązań.

Zapraszamy do uczestnictwa i dyskusji. Warunki uczestnictwa oraz szczegółowe informacje są dostępne na oficjalnej stronie warsztatów.
Obróbka znacznej ilości danych może przyprawić o ból głowy. Albo wręcz odebrać chęć do czegokolwiek. Z pomocą przychodzą wtedy komputery, które automatycznie pozbawiają nas tego typu problemów - sprawnie i szybko zrobią zadanie za nas.
W końcu są inteligentne, programowane przez bardzo wysokiej klasy kompetentnych fachowców, bazujących na wymaganiach tworzonych przez jeszcze bardziej kompetentnych specjalistów.
Wszystko jest fajnie, aż do czasu, gdy ktoś sprawdzi jak systemy komputerowe naprawdę funkcjonują. Przepiękny przykład został właśnie opisane przez gazetę "Zwolniono 450 niebezpiecznych więźniów, bo tak zadecydował komputer". Zamiast ręcznie przeglądać dziesiątki tysięcy rekordów zrobił to komputer. A, że nie był przy tym podłączony do paru baz to.... po prostu przypadek
Jutro odbędzie się kolejne spotkanie klubu CIO. Tematem spotkania będzie "Chmura obliczeniowa w mojej firmie: pro i kontra". Zostałem zaproszony przez organizatorów by podzielić się przemyśleniami z zakresu audytu i nadzoru przetwarzania w chmurze. Czytasz tego bloga? Będziesz na spotkaniu?
Daj znać :-)
W wersji obrazkowej...
Oczywiście jest tu sporo uproszczeń, ale osoby znające temat z innej strony mogą sobie łatwo poprzypominać teorię...

W poniedziałek uczestniczyłem w konferencji „Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby” organizowanej przez GIODO, Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji.

Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.

Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.

Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)

A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
W ubiegłym roku ISACA ogłosiła kolejny program certyfikacji nakierowany na ekspertów zajmujących się zarządzaniem ryzykiem informatycznym. CRISC czyli Certified in Risk and Information Systems Control wymaga wiedzy z zakresu nadzoru informatycznego rodem z COBIT oraz zarządzania ryzykiem bazującego na RiskIT.
Dokładny zakres tematyczny egzaminu to:
- Risk identification, assessment and evaluation
- Risk response
- Risk monitoring
- IS control design and implementation
- IS control monitoring and maintenance

Najfajniejszą dziś informacją o tym certyfikacie jest fakt, że dowiedziałem się właśnie, że i mnie został on przyznany :-)
Kaspersky Lap w raporcie o prognozach dotyczących cyberprzestępczości w 2020 zwrócił uwagę na prawdopodobieństwo "rozłamu wśród cyberprzestępców". niestety nie chodzi tu tak bardzo o wewnętrzne konflikty, które ograniczą zjawisko, jak o specjalizację.

Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
W 2020 roku cyberprzestępczość będzie można podzielić na dwie grupy. Pierwsza będzie specjalizować się w atakach na firmy - czasem przeprowadzanych na zamówienie. Na czarnym rynku pojawi się duży popyt na szpiegostwo przemysłowe, kradzież baz danych oraz ataki mające na celu zniszczenie reputacji firm. Na wirtualnym polu bitwy będą ścierać się ze sobą twórcy zagrożeń i korporacyjni specjaliści IT. W proces ten zaangażują się prawdopodobnie państwowe agencje zajmujące się zwalczaniem cyberprzestępczości, które będą miały do czynienia głównie z zagrożeniami na platformy Windows oraz najnowsze wersje tradycyjnych systemów uniksowych i linuksowych.

Druga grupa cyberprzestępców będzie atakowała systemy i usługi, które maja wpływ na nasze codzienne życie, takie jak transport. Ataki na takie systemy, kradzież i wykorzystywanie ich zasobów oraz danych dotyczących zwyczajów klientów to działania, na których skupi się nowe pokolenie hakerów, zarabiając w ten sposób na swoje utrzymanie
Mało kto słyszał, a takie postawy warto rozgłaszać...
W trakcie ostatniego tragicznego trzęsienia ziemi w Japonii wyjątkową postawą wykazał się personel Apple.

Nie dość, że umożliwili przypadkowym osobom ukrywanie się we sklepie, to zapewnili im schronienie, jedzenie oraz możliwość komunikacji ze światem, absolutnie z własnej nieprzymuszonej woli.
Naprawdę miło czytać takie artykuły - polecam
już za 2 dni odbędzie się kolejny TEDxWarsaw
Jeśli, któryś z czytelników też na nim będzie to dajcie proszę znać, a chętnie się spotkam, zaproszę na kawę...

do zobaczenia
Polityka raczej nie zajmuje się zanadto zagadnieniami dotyczącymi bezpieczeństwa informacji (no, może ewentualnie poufnością). Z tym większą przyjemnością załączam wczorajszą informację.
Okazało się, że PJN usuwając ze swoich szeregów Adama Bielana zapomniało, że wcześniej popełniło 2 kardynalne błędy związane z ochroną informacji - zagwarantowaniu dostępu do krytycznych danych oraz zależności od kluczowej osoby.
Otóż okazało się, że były członek PJN jest równocześnie jedyną osobą posiadającą hasła dostępowe do witryny www partii. Cóż, pozostaje tylko mieć nadzieje, że na innych sprawach politycy znają się trochę lepiej...
W ubiegłym tygodniu zostałem poproszony o "gościnny występ" na Politechnice Warszawskiej.
Przyszłym kadrom zarządczym i inżynierskim opowiadałem o praktycznych aspektach zarządzania bezpieczeństwem informacji.

Obiecałem również zamieszczenie w sieci materiałów z wykładów (w trochę okrojonej formie). Tym samym spełniam obietnicę daną studentom.
Miłej lektury i zachęcam do kontaktu w przypadku ewentualnych wątpliwości...
Na stronie IMMUSEC umieściłem już prezentację "Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora" z poniedziałkowej konferencji.

Zapraszam do zapoznania się.
28 lutego w Warszawie odbędzie się 7 Kongres Bezpieczeństwa Sieci. Zostałem zaproszony by wygłosić jedną z prezentacji.

W trakcie prezentacji „Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora” przedstawione zostaną rodzaje zagrożeń utożsamiane z przetwarzaniem danych w chmurach. Odniosę się do najnowszych materiałów przygotowanych m.in. przez Cloud Security Alliance i zaprezentuje najważniejsze z zagadnień, jakie należy wziąć pod uwagę podczas zabezpieczania takich środowisk, zaznaczając niektóre z niezbędnych mechanizmów kontrolnych.

Główną tezą mojego wystąpienia jest pokazanie, że z punktu widzenia bezpieczeństwa model cloud computing nie jest niczym nadzwyczajnym. Nie dość, że nie należy się bać tego typu rozwiązań, to na dodatek do jego zabezpieczania można wykorzystać znane już podejścia i rozwiązania.

Czytelników bloga zapraszam do kontaktu w trakcie którejś z przerw i wspólnej kawy :)
Dalej w temacie badań...Imperva przeprowadziła badania z których wynika, że kradzieże danych z firm są naprawdę bardzo popularne.
Prawie trzy czwarte badanych (72%) przyznało się do tego, że wynoszą z firmy należące do niej dane. Najchętniej przywłaszczane są dane osobowe klientów (robi to 26% badanych), dokumenty działu HR i dane marketingowe (po 25% badanych). Co dziesiąty, jeśli tylko ma okazję, kradnie z firmy listy osób mających stracić pracę. Metody kradzieży nie są skomplikowane. 23% osób zapisuje je na kartach pamięci i laptopach. Kolejne 13% używa do tego urządzeń przenośnych.

Dodatkowo aż 85% badanych przyznaje się do tego, że posiada cenne firmowe informacje na domowym komputerze lub smartfonie. Ułatwia to polityka firm, które w 60% przypadków nie posiadają planu zmuszającego zatrudnionych do kasowania danych po odejściu z pracy.
CA Technologies przeprowadziło bardzo interesujące badania. Wynika z nich, że przestoje wynikające z wadliwego działania rozwiązań teleinformatycznych przypadające na jedną, zatrudniającą ponad 50 osób firmę trwają łącznie ok. 14 godzin w skali roku.
Statystycznie kolejne 9 godzin w roku zajmuje przywracanie danych i pełnej sprawności organizacji. Zdaniem ekspertów w skali całej Unii Europejskiej przekłada się to straty rzędu 17 mld euro.

Powiedziałbym, że to ciut dużo...
Ponieważ od czerwca zmienia się zakres egzaminów zapraszamy na tygodniowy kurs przygotowujący do egzaminów CISA.
Przyszli certyfikowani audytorzy systemów informatycznych będą mogli poznać zakres nowych 5 modułów, dowiedzą się jak otrzymać oraz jak utrzymać certyfikat w kolejnych latach.

Pięć nowych zakresów tematycznych egzaminu to:
Moduł 1. Proces audytu systemów informatycznych
Moduł 2. Rola CISA w Nadzorze IT
Moduł 3. Rola CISA w zarządzaniu cyklem życia systemów i infrastruktury
Moduł 4. Rola CISA w dostarczaniu oraz wspieraniu usług IT
Moduł 5. Rola CISA w zabezpieczaniu zasobów informacyjnych
Kopalniawiedzy doniosła, że wymyślono oraz zaimplementowano system X-pire pozwalający na ustawianie "terminu ważności" zdjęć umieszczanych w sieci.

Od razu zacząłem się zastanawiać czy tego typu rozwiązanie można by również wprowadzić do ochrony poufnych informacji. Na przykład działające na odwrotnej zasadzie - wpierw wszystko jest zabronione, a po upływie jakiegoś czasu informacja staje się publiczna. Kto pierwszy wdroży takie rozwiązanie? Może wikileaks?
Ostatnio gazeta.pl doniosła o ataku na polski rejestr CO2. Cyberprzestępcy po przełamaniu zabezpieczeń serwerów wykradli uprawnienia do emisji gazu oraz bezzwłocznie je sprzedali.

Nie zamierzam pisać tutaj o atakach, jednak ten jest tak bardzo "konkretny", tak pięknie pokazuje przenikanie świata fizycznego i IT.
Networld ostatnio napisał, że dane WSZYSTKICH Brazylijczyków (odpowiednik pesel) są dostępne na czarnym rynku. Faktycznie jest to pierwszy mi znany przypadek ujawnienia kompletu tych danych, niemniej spodziewam się, że nie ostatni.

Tak naprawdę wydaje mi się, że "tęgie głowy" powinny teraz zasiąść w poszczególnych krajach i zastanowić się co to tak naprawdę oznacza. Wcale się nie zdziwię, gdy za jakiś czas "wycieknie" baza wszystkich numerów Pesel (swoją drogą zdziwiłbym się, gdyby już nie istniały jakieś pojedyncze nieautoryzowane kopie.

Odpowiedź na pytanie co przestępcy mogą zrobić posiadając imię, nazwisko i pesel jest jedną z pilniejszych na jakie trzeba odpowiedzieć. Kolejnym pytaniem jest jak się przed tym zabezpieczyć. W końcu tak niewielką ilość informacji naprawdę łatwo jest zdobyć. A odpowiedzi na te pytania oczekiwałbym jednak od od przedstawicieli administracji państwowej, izb gospodarczych itp.
Kolejny z "konkurencyjnych blogów", który warto odwiedzać dotyczy Zarządzania ryzykiem. Szczególnie chciałbym polecić post o Teorii ryzyka.

Szczególnie interesujące, poza historią zajmowanie się ryzykiem, jest dokładne podkreślenie różnic między ryzykiem a niepewnością. Więcej nie piszę, polecam lekturę
Przeglądając blogi zgłoszone do konkursu "Blog Roku 2010" trafiłem na stronę Whistleblowing - szczerość bez strachu.

Polecam okresowe zaglądanie - autor zajmuje się bardzo bliskim zagadnieniem - a mianowicie podejściem do zgłaszania wykrytych nieprawidłowości. Oszustwa czy przypadkowe "wtopy" trafiają się wszędzie. Wykrycie ich nie jest łatwe - zazwyczaj wychodzą na jaw jako rezultat działalności organów kontroli wewnętrznej lub też w efekcie donosu (w pozytywnym tego słowa znaczeniu)z wewnątrz firmy.
Warto zaznaczyć, że to dzięki takim donosom unika się gigantycznych kryzysów reputacyjnych - firma ma szansę wykazać się, podjąć odpowiednie środki zaradcze, a nie tylko biernie przyglądać się temu co robią z nią media.

Nadużycia, niewłaściwie zabezpieczone obszary, nie działające zabezpieczenia - najczęściej najpierw odkrywane są przez szeregowych pracowników. To od ich świadomości zależy czy zostaną usunięte w zarodku czy przeobrażą się w kryzys.


Jak właściwie przygotować firmę na whistleblowing można dowiedzieć się z bloga. ja ze swej strony tylko po raz kolejny powołam się na prof. Jamesa Reason'a i jego teorię ukrytych defektów oraz promowanie "kultury sprawiedliwości"