Nowe kierunki prac - normalizacyjnych, standaryzacyjnych

W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował się JEDYNIE na takich obszarach jak:
Zniechęceni cyberbezpieczeństwem

NIST opublikował niedawno bardzo interesujące, choć niepokojące wyniki badań. Autorzy podkreślają, że coraz częstszym zjawiskiem jest świadoma rezygnacja użytkowników z troski o cyberbezpieczeństwo. Przeprowadzenie badań na próbie 40 osób, mimo zapewnień autorów, nie jest moim zdaniem wiarygodne by wysnuwać uogólnione wnioski. Niemniej jednak zgodne jest to z moimi obserwacjami, że aura skrajnie skomplikowanych rytuałów w zakresie cyberbezpieczeństwa, nieustanne groźby, że hakerzy i tak są lepsi oraz poczucie, nieuchronności cyberincydentów zamiast zachęcać - zniechęca. Dlatego też podkreślam w swoich projektach, że zapewnianie cyberbezpieczeństwa może być łatwe. Oczywiście, w ramach pewnego zdefiniowanego zakresu ryzyk, niemniej to jednak powinno wystarczyć zdecydowanej większości organizacji




Koszt cyberincydentów (RAND)

RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości, że tego typu opinie mogą się pojawiać.
Ważna aktualizacja dla VeraCrypt

W ostatnich dniach zakończył się audyt bezpieczeństwa kodu źródłowego VeraCrypt. W trakcie audytu ufundowanego przez OSTIF wykryto kilka poważnych luk bezpieczeństwa. Każdy kto korzysta z VeraCrypt do szyfrowania danych powinien bezzwłocznie zainstalować nową wersję łatającą wykryte błędy
Ile kosztuje (nie) bezpieczeństwo? Hilary Leaks

Wiele osób żyje w przekonaniu, że codziennie wykonywane czynności w sieciach teleinformatycznych są prywatne, ulatują w przeszłość po paru chwilach, podobnie jak w przypadku wypowiedzianych (i nie zarejestrowanych) słów. Podobnie najprawdopodobniej sądziła Hilary Clinton, kolejny raz dowodząc braku jakiegokolwiek rozsądku podczas funkcjonowania w cyberprzestrzeni. Nie dość, że p. prezydentowa, będąc od lat osobą bardzo zaangażowaną politycznie, zupełnie niepotrzebnie formułowała w mailach myśli, które w jej sytuacji być raczej skrywane, to jeszcze w żaden sposób nie zadbała o to by inne osoby nie poznały ich treści. Ten przejaw niewłaściwej troski o bezpieczeństwo informacji może kosztować ją prezydenturę USA, czyli posadę najpotężniejszej (lub, w zależności od punktu widzenia, drugiej najpotężniejszej) osoby na całym świecie. 
Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!

Często spotyka się opinię najwyższego kierownictwa, że bezpieczeństwo nie jest priorytetem. nie raz już o tym pisałem, opisywałem zjawisko długu technologicznego
Ostatnio pojawiło się sporo przykładów tego jak może jednak skończyć się ignorowanie praktyk opisywanych przez standardy bezpieczeństwa. Niektóry przykłady można dobrze wycenić.. 
W nowym tagu "niebezpieczeństwo" będę gromadzić takie przypadki.
3 największe "przeszkadzacze" w pracy bezpiecznika

Obserwując codzienną pracę wielu moich kolegów - oficerów bezpieczeństwa - widzę, że ich praca często przestaje być efektywna czasowo, ze względu na różnego rodzaju zdarzenia. Poniżej zamieszczam taką, moim zdaniem typową, listę największych "przeszkadzaczy". Wszystkie mają podobny charakter, niemniej ich specyfika jest trochę inna.
Szkolenia IIA z zakresu audytowania systemów zarządzania bezpieczeństwem informacji

Od dawna staram się wspierać polski oddział IIA. Jakiś czas temu zostałem poproszony by przygotować nakierowane na audytorów, otwarte szkolenia, które będą się koncentrować na praktycznych aspektach audytowania systemów zarządzania bezpieczeństwem informacji

Innymi słowy chodzi o to, by po takim szkoleniu audytor nie tylko wiedział jak przeprowadzić dane zadanie audytowe, ale równocześnie by wiedział czego oczekiwać i jak interpretować dowody.