W poniedziałek uczestniczyłem w konferencji „Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby” organizowanej przez GIODO, Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji.

Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.

Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.

Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)

A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
W ubiegłym roku ISACA ogłosiła kolejny program certyfikacji nakierowany na ekspertów zajmujących się zarządzaniem ryzykiem informatycznym. CRISC czyli Certified in Risk and Information Systems Control wymaga wiedzy z zakresu nadzoru informatycznego rodem z COBIT oraz zarządzania ryzykiem bazującego na RiskIT.
Dokładny zakres tematyczny egzaminu to:
- Risk identification, assessment and evaluation
- Risk response
- Risk monitoring
- IS control design and implementation
- IS control monitoring and maintenance

Najfajniejszą dziś informacją o tym certyfikacie jest fakt, że dowiedziałem się właśnie, że i mnie został on przyznany :-)
Kaspersky Lap w raporcie o prognozach dotyczących cyberprzestępczości w 2020 zwrócił uwagę na prawdopodobieństwo "rozłamu wśród cyberprzestępców". niestety nie chodzi tu tak bardzo o wewnętrzne konflikty, które ograniczą zjawisko, jak o specjalizację.

Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
W 2020 roku cyberprzestępczość będzie można podzielić na dwie grupy. Pierwsza będzie specjalizować się w atakach na firmy - czasem przeprowadzanych na zamówienie. Na czarnym rynku pojawi się duży popyt na szpiegostwo przemysłowe, kradzież baz danych oraz ataki mające na celu zniszczenie reputacji firm. Na wirtualnym polu bitwy będą ścierać się ze sobą twórcy zagrożeń i korporacyjni specjaliści IT. W proces ten zaangażują się prawdopodobnie państwowe agencje zajmujące się zwalczaniem cyberprzestępczości, które będą miały do czynienia głównie z zagrożeniami na platformy Windows oraz najnowsze wersje tradycyjnych systemów uniksowych i linuksowych.

Druga grupa cyberprzestępców będzie atakowała systemy i usługi, które maja wpływ na nasze codzienne życie, takie jak transport. Ataki na takie systemy, kradzież i wykorzystywanie ich zasobów oraz danych dotyczących zwyczajów klientów to działania, na których skupi się nowe pokolenie hakerów, zarabiając w ten sposób na swoje utrzymanie
Mało kto słyszał, a takie postawy warto rozgłaszać...
W trakcie ostatniego tragicznego trzęsienia ziemi w Japonii wyjątkową postawą wykazał się personel Apple.

Nie dość, że umożliwili przypadkowym osobom ukrywanie się we sklepie, to zapewnili im schronienie, jedzenie oraz możliwość komunikacji ze światem, absolutnie z własnej nieprzymuszonej woli.
Naprawdę miło czytać takie artykuły - polecam
już za 2 dni odbędzie się kolejny TEDxWarsaw
Jeśli, któryś z czytelników też na nim będzie to dajcie proszę znać, a chętnie się spotkam, zaproszę na kawę...

do zobaczenia
Polityka raczej nie zajmuje się zanadto zagadnieniami dotyczącymi bezpieczeństwa informacji (no, może ewentualnie poufnością). Z tym większą przyjemnością załączam wczorajszą informację.
Okazało się, że PJN usuwając ze swoich szeregów Adama Bielana zapomniało, że wcześniej popełniło 2 kardynalne błędy związane z ochroną informacji - zagwarantowaniu dostępu do krytycznych danych oraz zależności od kluczowej osoby.
Otóż okazało się, że były członek PJN jest równocześnie jedyną osobą posiadającą hasła dostępowe do witryny www partii. Cóż, pozostaje tylko mieć nadzieje, że na innych sprawach politycy znają się trochę lepiej...
W ubiegłym tygodniu zostałem poproszony o "gościnny występ" na Politechnice Warszawskiej.
Przyszłym kadrom zarządczym i inżynierskim opowiadałem o praktycznych aspektach zarządzania bezpieczeństwem informacji.

Obiecałem również zamieszczenie w sieci materiałów z wykładów (w trochę okrojonej formie). Tym samym spełniam obietnicę daną studentom.
Miłej lektury i zachęcam do kontaktu w przypadku ewentualnych wątpliwości...
Na stronie IMMUSEC umieściłem już prezentację "Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora" z poniedziałkowej konferencji.

Zapraszam do zapoznania się.