W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg
organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii
Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu
zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących
technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de
facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował
się JEDYNIE na takich obszarach jak:
26 października 2016
25 października 2016
Zniechęceni cyberbezpieczeństwem
Zniechęceni cyberbezpieczeństwem
NIST opublikował niedawno bardzo interesujące, choć niepokojące wyniki badań. Autorzy podkreślają, że coraz częstszym zjawiskiem jest świadoma rezygnacja użytkowników z troski o cyberbezpieczeństwo. Przeprowadzenie badań na próbie 40 osób, mimo zapewnień autorów, nie jest moim zdaniem wiarygodne by wysnuwać uogólnione wnioski. Niemniej jednak zgodne jest to z moimi obserwacjami, że aura skrajnie skomplikowanych rytuałów w zakresie cyberbezpieczeństwa, nieustanne groźby, że hakerzy i tak są lepsi oraz poczucie, nieuchronności cyberincydentów zamiast zachęcać - zniechęca. Dlatego też podkreślam w swoich projektach, że zapewnianie cyberbezpieczeństwa może być łatwe. Oczywiście, w ramach pewnego zdefiniowanego zakresu ryzyk, niemniej to jednak powinno wystarczyć zdecydowanej większości organizacji
24 października 2016
Koszt cyberincydentów (RAND)
Koszt cyberincydentów (RAND)
RAND Corporation opublikowało ostatnio raport na tematkosztów cyberincydentów. Analizując próbkę z 12000 różnych zarejestrowanych
incydentów okazało się, że koszt cyberincydentu to średnio $200 000 czyli mniej
więcej tyle ile wynoszą budżety badanych firm przeznaczone na bezpieczeństwo
informacji. Niektórzy autorzy zaczęli wprost wyciągać wnioski, że taniej więc
jest pozwolić się zaatakować niż budować bezpieczne rozwiązania. Nie do końca
zgadzam się z takim podejściem do tematu, chociaż warto przyjąć do wiadomości,
że tego typu opinie mogą się pojawiać.
19 października 2016
Ważna aktualizacja dla VeraCrypt
Ważna aktualizacja dla VeraCrypt
W ostatnich dniach zakończył się audyt bezpieczeństwa kodu
źródłowego VeraCrypt. W trakcie audytu ufundowanego przez OSTIF wykryto kilka poważnych luk bezpieczeństwa. Każdy kto korzysta z VeraCrypt do szyfrowania danych
powinien bezzwłocznie zainstalować nową wersję łatającą wykryte błędy
17 października 2016
Ile kosztuje (nie) bezpieczeństwo? Hilary Leaks
Ile kosztuje (nie) bezpieczeństwo? Hilary Leaks
Wiele osób żyje w przekonaniu, że codziennie wykonywane
czynności w sieciach teleinformatycznych są prywatne, ulatują w przeszłość po
paru chwilach, podobnie jak w przypadku wypowiedzianych (i nie
zarejestrowanych) słów. Podobnie najprawdopodobniej sądziła Hilary Clinton,
kolejny raz dowodząc braku jakiegokolwiek rozsądku podczas funkcjonowania w
cyberprzestrzeni. Nie dość, że p. prezydentowa, będąc od lat osobą bardzo
zaangażowaną politycznie, zupełnie niepotrzebnie formułowała w mailach myśli,
które w jej sytuacji być raczej skrywane, to jeszcze w żaden sposób nie zadbała
o to by inne osoby nie poznały ich treści. Ten przejaw niewłaściwej troski o
bezpieczeństwo informacji może kosztować ją prezydenturę USA, czyli posadę
najpotężniejszej (lub, w zależności od punktu widzenia, drugiej najpotężniejszej)
osoby na całym świecie.
10 października 2016
Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!
Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!
Często spotyka się opinię najwyższego kierownictwa, że bezpieczeństwo
nie jest priorytetem. nie raz już o tym pisałem, opisywałem zjawisko długu
technologicznego
Ostatnio pojawiło się sporo przykładów tego jak może jednak
skończyć się ignorowanie praktyk opisywanych przez standardy bezpieczeństwa.
Niektóry przykłady można dobrze wycenić..
W nowym tagu "niebezpieczeństwo"
będę gromadzić takie przypadki.
3 największe "przeszkadzacze" w pracy bezpiecznika
3 największe "przeszkadzacze" w pracy bezpiecznika
Obserwując codzienną pracę wielu moich kolegów - oficerów
bezpieczeństwa - widzę, że ich praca często przestaje być efektywna czasowo, ze
względu na różnego rodzaju zdarzenia. Poniżej zamieszczam taką, moim zdaniem
typową, listę największych "przeszkadzaczy". Wszystkie mają podobny
charakter, niemniej ich specyfika jest trochę inna.
5 października 2016
Szkolenia IIA z zakresu audytowania systemów zarządzania bezpieczeństwem informacji
Szkolenia IIA z zakresu audytowania systemów zarządzania bezpieczeństwem informacji
Od dawna staram się wspierać polski oddział IIA. Jakiś czas temu zostałem poproszony by przygotować nakierowane na audytorów, otwarte szkolenia, które będą się koncentrować na praktycznych aspektach audytowania systemów zarządzania bezpieczeństwem informacji
Innymi słowy chodzi o to, by po takim szkoleniu audytor nie tylko wiedział jak przeprowadzić dane zadanie audytowe, ale równocześnie by wiedział czego oczekiwać i jak interpretować dowody.
Od dawna staram się wspierać polski oddział IIA. Jakiś czas temu zostałem poproszony by przygotować nakierowane na audytorów, otwarte szkolenia, które będą się koncentrować na praktycznych aspektach audytowania systemów zarządzania bezpieczeństwem informacji
Innymi słowy chodzi o to, by po takim szkoleniu audytor nie tylko wiedział jak przeprowadzić dane zadanie audytowe, ale równocześnie by wiedział czego oczekiwać i jak interpretować dowody.
Subskrybuj:
Posty (Atom)