24 listopada 2016

Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"


22 listopada miałem przyjemność prowadzić panel dyskusyjny podczas konferencji PolCAAT 2016 organizowanej przez IIA. W trakcie bardzo interesującej (moim, bardzo subiektywnym zdaniem) dyskusji poruszyliśmy kilka tematów, które (w przypadkowej kolejności) postanowiłem zamieścić w niniejszym podsumowaniu:

21 listopada 2016

Cyber Kill Chain - po polsku


Jakiś czas temu, przy okazji jednego z tematów potrzebowałem polskiego opisu Cyber Kill Chain. Nie znalazłem, więc przetłumaczyłem i wrzucam poniżej. Może i wam się przyda.
Ten opracowany przez Lockheed Martin ciąg podkreśla, że atak cybernetyczny składa się z 7 faz i tym samym organizacje mogą i powinny mieć kolejne możliwości wykrycia i powstrzymania ataku.
Kolejne fazy cyberataku to:

17 listopada 2016

Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli


Kilka dni temu NIK wydała polskie tłumaczenie przygotowanego przez INTOSAI Podręcznika kontroli systemów informatycznych dla najwyższych organów kontroli.
Warto o tym wiedzieć - są to obecnie drugie oficjalne (po Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych opublikowanych rok temu przez MC) wytyczne jak należy kontrolować systemy teleinformatyczne w jednostkach administracji publicznych.

Dokumenty są proste, ale zdecydowanie pomagają zrobić I krok nowicjuszom w zakresie weryfikacji funkcjonowania oraz nadzoru nad systemami teleinformatycznymi.


15 listopada 2016

5 typowych błędów w raportach z audytu


Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora, czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy

7 listopada 2016

Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji

Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji

22 listopada, podczas XXI konferencji PolCAAT będę mieć przyjemność prowadzić panel dyskusyjny pt. "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji".
W sytuacji, gdy coraz szerzej wymieniamy dane z zewnętrznymi podmiotami, czy polegamy na ich usługach jako kluczowych dla działania naszego biznesu, zagadnienie to staje się nie trywialne.