Dziś PolCAAT'2011. Będę miał zaszczyt przedstawić wykład pt. "Mechanizmy ciągłego doskonalenia na przykładzie systemów zarządzania bezpieczeństwem informacji".
Załączam prezentację. Miłej lektury.
.
Jakiś czas temu pisałem o konferencji Quality and Management 2011 w Kazimierzu.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
Ostatnio u kilku klientów miałem dłuższe dyskusje o tym czym jest konflikt interesów, kiedy występuje i jak można się przed tym zabezpieczyć. Warto i tu podsumować te dyskusje.
Można znaleźć zestawienia pokazujące, jakie funkcje nie powinny być łączone (zgodnie z najlepszymi praktykami), niemniej konieczne jest wcześniej zrozumienie przed czym tak naprawdę chcemy się chronić.

Z założenia konflikt interesów ma miejsce gdy:
- osoba zatwierdza wyniki swojej własnej pracy;
- osoba jest odpowiedzialna za wykonanie całości prac w danym procesie;
- osoba poprzez posiadanie różnych uprawnień może omijać kolejne warstwy zabezpieczeń.

Każda w powyższych sytuacji może spowodować potencjalny konflikt interesów. Dlaczego potencjalny - dlatego,że przecież większość z osób, którymi się otaczamy (ok - przynajmniej ja się otaczam) należy do kategorii osób uczciwych. Nie w głowie im szkodzenie pracodawcy czy szukanie dodatkowego - nielegalnego źródła dochodu.
Niemniej gdy pracownik będzie ewentualnie rozważał zrobienie czegoś...nieładnego to powinny istnieć wewnątrz organizacji mechanizmy, które to zablokują lub przynajmniej, które zarejestrują ten fakt. No i na tym właśnie powinno między innymi polegać działanie osób/działów odpowiedzialnych za bezpieczeństwo informacji.

Jakie rozwiązania można stosować - możliwości jest na szczęście kilka:
- Segregacja obowiązków (typu podział zadań wprowadzających i zatwierdzających pomiędzy oddzielne osoby);
- Podwójna autoryzacja (typu uprawnienia „enable” lub podział hasła na kilka części);
- Dodatkowe logowanie/monitorowanie wykonywanych czynności.

Pierwsze rozwiązanie jest oczywiście najbardziej skuteczne, ale nie każdą firmę stać na zatrudnienie dodatkowej osoby (z czym to się często może wiązać). Dlatego warto rozważyć również inne możliwości, w zależności od charakteru pracy. Minimalnym zabezpieczeniem przed konfliktem interesów jest jednak zapewnienie możliwości wykrycia faktu wykonania nieuprawnionych czynności. Możliwości wykrycia czyli nie tylko zapewnienia informacji (np logów) ale również i mechanizmów zapewniających, że ktoś te logi przejrzy i będzie w stanie wyciągnąć odpowiednie wnioski.
.
W dniach 25-27.11 w Kazimierzu nad Wisłą odbędzie się XIV Międzynarodowa Konferencja Naukowa Quality and Management 2011 organizowana przez prof. dr hab. Elżbietę Skrzypek.

Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
Bardzo ucieszyła mnie informacja, że Prezydium Komitetu Polskiej Nagrody Jakości, postanowiło przyznać Panu Prof. Stanisławowi Tkaczykowi Dyplom i Statuetkę Finalisty V edycji konkursu "ZNAKOMITY PRZYWÓDCA".

Mam niezmierny zaszczyt należeć do grona doktorantów p. Profesora i muszę potwierdzić, że jest on naprawdę wyjątkowym człowiekiem. Jego troska o doktorantów zdecydowanie odbiega od powszechnie panujących standardów. Jest naszym obrońcom, mentorem, przywódcą. Ta nagroda dla "Znakomitego Przywódcy" tylko podkreśla to o czym my - wychowankowie Profesora - tak doskonale wiemy od lat.

Panie Profesorze - serdecznie gratuluję!
.
Coraz bardziej oddalam się od bezpieczeństwa informacji, ale postanowiłem przejrzeć prezentacje na TED w temacie bezpieczeństwa ogólnie.
Nie wszystkie są, moim zdaniem, tak wyjątkowe i niepowtarzalne by poświęceć im osobny wpis, więc zrobię teraz małe podsumowanie.
Pacyfistka, wojująca feministka itp. Eve Ensler w swoim wykładzie o bezpieczeństwie zwraca uwagę na bezsens wielu tego typu czynności. Chcemy beć bezpieczni, zamykamy się na świat i inne osoby. Przebywamy wyłącznie wewnątrz grup (spolecznych, zawodowych, religijnych...) wewnątrz którychczujemy się bezpieczni i każdego obcego traktujemy przynajmniej z dużą nieufnością, jeżeli nie wręcz z agresją. My kontra oni. Chrońmy się...To mocno zamyka nas - stajemy się więźniami własnego umysłu. Każdą wolną chwilę poświęcamy na zabezpieczanie siebie i najbliższych przed coraz to bardziej urojonym, hipotetycznym wrogiem...
Kilka myśli prezentacji naprawdę jest dobrych, mimo, że nie przepadam za formą.

Z drugiej strony Thomas Barnett - wymachujący szabelką wojażka, doradca USA ds. bezpieczeństwa opowiada o tym jak wygląda walka o wolność (itp) od środka i pokazuje dlaczego jest tak beznadziejnie. W dowcipny i błyskotliwy sposób pokazuje gdzie popełniono błędy (catastrofic success), demonstruje podział świata na sektor wojny (bardzo sprawny) i resztę (fatalną), pokazuje co warto usprawnić by maszynka walki o wolność, demokrację itp zaczęła po prostu działać.

Warto też zwrócić uwagę na wywiad z Julian Assange z czasów gdy był na topie i miał kilka sukcesów, o których naprawdę należy mówić głośno.
Miłego oglądania.
.
Temat Stuxnet'a jest już raczej powszechnie znany, ale warto posłuchać również i tej opowieści. Ralpg Langner opowiada na TED jak postępowały prace nad zrozumieniem idei jak funkcjonuje Stuxnet. O wbudowanych w kod funkcjach mających na celu oszukanie operatorów odnośnie swojej obecności w systemie, odnośnie własnego szkodliwego działania

Korzystanie w pracy ze służbowego komputera do celów prywatnych w pewnych okolicznościach może być traktowane jako ciężkie naruszenie podstawowych obowiązków pracownika orzekł Sąd Najwyższy.
Warto odnotować w pamięci (zewnętrznej) ten wyrok - może niekiedy okazać się pomocny...