Jedną z głównych barier dla wdrażania, opartych o normy ISO, systemów zarządzania bezpieczeństwem informacji, z którymi się spotykam jest głęboką niechęć dla biurokracji. Systemy zarządzania bardzo często kojarzą się moim rozmówcą z segregatorami dokumentów i opasłymi procedurami, które uniemożliwiają jakąkolwiek działalność.
Absolutnie się z tym nie zgadzam, niemniej częstość tego typu opinii pozwala wysnuć wniosek, że w rzeczywistości świat norm bywa tak postrzegany.
To co mogę zrobić w tej sytuacji, to współczuć wyboru konsultantów, którzy zostali zaangażowani w tworzenie takich systemów zarządzania (przepraszam za zgryźliwość, ale pewnie przedstawili najtańsze oferty) oraz odnieść się trochę do źródeł.
Pokazywanie postów oznaczonych etykietą bezpieczeństwo. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą bezpieczeństwo. Pokaż wszystkie posty
6 marca 2016
Uwagi do założeń strategii cyberbezpieczeństwa dla RP
Jeszcze do wtorku można składać uwagi do założeń strategii cyberbezpieczeństwa dla RP.
Ponieważ na tej bazie przygotowywana będzie strategia, która może wreszcie spowoduje jakiś widoczną poprawę cyberbezpieczeństwa, warto by dokument był możliwie kompletny. Załączam uwagi, które przesłałem do Ministerstwa Administracji i Cyfryzacji.
Ponieważ na tej bazie przygotowywana będzie strategia, która może wreszcie spowoduje jakiś widoczną poprawę cyberbezpieczeństwa, warto by dokument był możliwie kompletny. Załączam uwagi, które przesłałem do Ministerstwa Administracji i Cyfryzacji.
26 stycznia 2016
Data Privacy Officer - zadania w świetle przygotowywanego rozporządzenia UE
Właśnie mija rok od zarejestrowanie pierwszych Administratorów Bezpieczeństwa Informacji (ABI), zgodnie z wymaganiem znowelizowanej Ustawy o Ochronie Danych Osobowych. Z tej okazji miałem dziś okazję uczestniczyć w konferencji "Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń" zorganizowanej na Politechnice Warszawskiej przez Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz moją Alma Mater - Wydział Zarządzania PW.
We wstępie zaznaczono zresztą, że zagadnienie ochrony danych osobowych, mimo niewątpliwych implikacji prawnych i informatycznych jest jednak wyzwaniem przede wszystkim dla kadry zarządzającej. Na sali obecni byli również przedstawiciele Ministerstwa Administracji i Cyfryzacji, oraz prawnicy zaproszeni przez Microsoft. Zabrakło natomiast przedstawicieli GIODO.
Obrady i kuluarowe dyskusje, oprócz dzielenia się doświadczeniami z pierwszego roku funkcjonowania ustawy, zdominował temat unijnych reform w tym zakresie. Przedstawiono też główne założenia, wciąż oficjalnie nieopublikowanego Rozporządzenia o Ochronie Danych Osobowych.
We wstępie zaznaczono zresztą, że zagadnienie ochrony danych osobowych, mimo niewątpliwych implikacji prawnych i informatycznych jest jednak wyzwaniem przede wszystkim dla kadry zarządzającej. Na sali obecni byli również przedstawiciele Ministerstwa Administracji i Cyfryzacji, oraz prawnicy zaproszeni przez Microsoft. Zabrakło natomiast przedstawicieli GIODO.
Obrady i kuluarowe dyskusje, oprócz dzielenia się doświadczeniami z pierwszego roku funkcjonowania ustawy, zdominował temat unijnych reform w tym zakresie. Przedstawiono też główne założenia, wciąż oficjalnie nieopublikowanego Rozporządzenia o Ochronie Danych Osobowych.
16 grudnia 2015
Projekt Rekomendacji Z dotyczącej zasad ładu wewnętrznego w bankach
Jeszcze przez kilka dni - do 23 grudnia mają miejsce publiczne konsultacje Rekomendacji Z KNF dotyczącej zasad ładu wewnętrznego w bankach.
Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl
Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl
26 października 2012
Rejestracja Stowarzyszenia CSA Polska
Po długiej i zagmatwanej procedurze rejestracyjnej kilka dni temu otrzymaliśmy informację, że Sąd Rejonowy dla M.St. Warszawa dokonał rejestracji Stowarzyszenia CSA Polska.
Stowarzyszenie będące polskim przedstawicielem Cloud Security Alliance ma na celu krzewienie wiedzy oraz promowanie najlepszych standardów i praktyk w zakresie bezpieczeństwa przetwarzania danych w modelu „cloud computing”.
Mamy nadzieję, że odegra ono znaczną rolę nie tylko w promowaniu bezpiecznych sposobów zarządzania tym zagadnieniem, ale również w twórczy sposób będzie wpływało na kształtowanie nowych, rozwijających się międzynarodowych standardów w tym zakresie.
Pierwszy Zarząd ukonstytuował się w składzie:
Do Komisji Rewizyjnej Komitet Założycielski wybrał następujące osoby:
Więcej o stowarzyszeniu i jego działalności można przeczytać na stronie http://www.cloudsecurityalliance.pl/
.
Stowarzyszenie będące polskim przedstawicielem Cloud Security Alliance ma na celu krzewienie wiedzy oraz promowanie najlepszych standardów i praktyk w zakresie bezpieczeństwa przetwarzania danych w modelu „cloud computing”.
Mamy nadzieję, że odegra ono znaczną rolę nie tylko w promowaniu bezpiecznych sposobów zarządzania tym zagadnieniem, ale również w twórczy sposób będzie wpływało na kształtowanie nowych, rozwijających się międzynarodowych standardów w tym zakresie.
Pierwszy Zarząd ukonstytuował się w składzie:
- Marcin Fronczak – Przewodniczący
- Adam Haertle – Skarbnik
- Krystian Szybis – Sekretarz
- Patryk Gęborys – Wiceprzewodniczący
- Jakub Syta – Wiceprzewodniczący
Do Komisji Rewizyjnej Komitet Założycielski wybrał następujące osoby:
- Radosław Kaczorek
- Bolesław Szomański
- Wojciech Szyksznia
Więcej o stowarzyszeniu i jego działalności można przeczytać na stronie http://www.cloudsecurityalliance.pl/
.
17 października 2012
Publiczne konsultacje rekomendacji D
KNF ogłosił ostatnio publiczne konsultacje dla rekomendacji D.
Jest to ważna informacja dla wszystkich bezpieczników z bankowości. Szczególnie ważna, gdyż wygląda na to, że będzie zawierać sporo zmian. Kilka przykładowych, które szczególnie zwróciły mają uwagę to:
1.1 podkreślająca rolę rady nadzorczej w nadzorowaniu IT
4.3 podkreślająca współpracę IT i biznesu
5.2 wprowadzający separację obowiązków
5.9 wymagający aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego
7.11 podkreślający zasady zarządzania zmianą (w tym zmiany pilne i awaryjne)
9.5 wprowadzający odseparowane podsieci
9.8 zezwalający na sieć bezprzewodową w bankach
9.18 wymagający szyfrowania i uwierzytelniania podczas wykorzystywania drukarek sieciowych (choć tu mam wątpliwości czy nie powinno to bazować na analizie ryzyka. Nie każda drukarka sieciowa (moim zdaniem)musi oferować uwierzytelniania. A koszty wymiany są spore
10.6 de facto zezwalająca na przetwarzanie danych w modelu cloud computing
11.5 wymagający narzędzi automatyzujących zarządzanie uprawnieniami (w tym historycznymi
12.4 i 14 wymagający uświadamiania użytkowników w zakresie bezpieczeństwa
17.1 zarządzanie oprogramowaniem końcowych użytkowników
18.3 podkreślenie przydatności norm serii ISO 27000
18.4 podkreślenie konieczności integracji zarządzania bezpieczeństwem z narzędziami zarządzania ryzykiem operacyjnym
18.5 i 18.10 i 18.12 podkreślenie konieczności zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego
18.9 podkreślającego przydatność wymiany informacji o zagrożeniach oraz doświadczeń wynikających z analizy naruszeń bezpieczeństwa
20.7 sugerujący potrzebę wdrażania SIEM
22.4 sugerujący potrzebę korzystania z zewnętrznych usług audytu
Jak widzicie za jakiś czas naprawdę będzie ciekawie.
.
Jest to ważna informacja dla wszystkich bezpieczników z bankowości. Szczególnie ważna, gdyż wygląda na to, że będzie zawierać sporo zmian. Kilka przykładowych, które szczególnie zwróciły mają uwagę to:
1.1 podkreślająca rolę rady nadzorczej w nadzorowaniu IT
4.3 podkreślająca współpracę IT i biznesu
5.2 wprowadzający separację obowiązków
– funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania, administracji i użytkowania,5.4 podkreślająca kto tak naprawdę jest odpowiedzialny za bezpieczeństwo informacji
– funkcji administrowania środowiskiem teleinformatycznym od zarządzania jego bezpieczeństwem,
– funkcji administrowania sieciami teleinformatycznymi, bazami danych oraz systemami informatycznymi,
– funkcji audytu od pozostałych funkcji w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
5.9 wymagający aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego
7.11 podkreślający zasady zarządzania zmianą (w tym zmiany pilne i awaryjne)
9.5 wprowadzający odseparowane podsieci
9.8 zezwalający na sieć bezprzewodową w bankach
9.18 wymagający szyfrowania i uwierzytelniania podczas wykorzystywania drukarek sieciowych (choć tu mam wątpliwości czy nie powinno to bazować na analizie ryzyka. Nie każda drukarka sieciowa (moim zdaniem)musi oferować uwierzytelniania. A koszty wymiany są spore
10.6 de facto zezwalająca na przetwarzanie danych w modelu cloud computing
11.5 wymagający narzędzi automatyzujących zarządzanie uprawnieniami (w tym historycznymi
12.4 i 14 wymagający uświadamiania użytkowników w zakresie bezpieczeństwa
17.1 zarządzanie oprogramowaniem końcowych użytkowników
18.3 podkreślenie przydatności norm serii ISO 27000
18.4 podkreślenie konieczności integracji zarządzania bezpieczeństwem z narzędziami zarządzania ryzykiem operacyjnym
18.5 i 18.10 i 18.12 podkreślenie konieczności zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego
18.9 podkreślającego przydatność wymiany informacji o zagrożeniach oraz doświadczeń wynikających z analizy naruszeń bezpieczeństwa
20.7 sugerujący potrzebę wdrażania SIEM
22.4 sugerujący potrzebę korzystania z zewnętrznych usług audytu
Jak widzicie za jakiś czas naprawdę będzie ciekawie.
.
14 czerwca 2012
Rola mediów w kształtowaniu świadomości
Tytuł może brzmi poważnie, na pewno mniej poważna była wiadomość, która sprowokowała mnie do napisania tego posta.
Na głównej stronie interii w chwili pisania tego tekstu znajdowala się wiadomość Uwaga na wirus czający się w bankomatach! Widząc taki tytuł bez wahania otwieram zawartość i patrzę, która sieć tym razem padła ofiarą...oszczędności lub własnej "głupoty" i zaraziła bankomaty złośliwym kodem...Otwieram stronę, patrzę i widzę oryginalny tytuł wiadomości "Euro na Ukrainie - uważaj na swoją kartę".
Zaraz, zaraz - o co chodzi...Toż to zwykłe ostrzeżenie przed skimmingiem. A gdzie ten wirus? /mam pewno podejrzenia, ale tak bezczelny to jednak nie będę by to napisać/
Tym samym wracamy do tytułowego zagadnienia. Media swoją powszechnością mogą dotrzeć do większości obywateli. Potrafią tworzyć opinie (z czego skwapliwie korzystają), czasami bywają wykorzystywane do szczytnych celów (jak budowanie świadomości odnośnie nowoczesnych zagrożeń). Nie wolno jednak szukając taniej sensacji robić ludziom wody z mózgu. Nie wiem co spowodowało takie nazywanie wiadomości - skrajna ignorancja czy też właśnie szukanie taniej sensacji. Ale w sumie nie wiem co gorsze.
I jak tu oczekiwać tego, że ktoś się czegoś z mediów nauczy?
.
28 listopada 2011
Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania
Jakiś czas temu pisałem o konferencji Quality and Management 2011 w Kazimierzu.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
Jakiś paskudny bakcyl uniemożliwił mi wzięcie udziału w niej osobiście, ale zarządzanie ciągłością zadziałało - Jacek spisał się doskonale prezentując naszą pracę.
Załączam prezentację streszczającą nasz referat.
.
17 listopada 2011
Konferencja Quality and Management 2011
W dniach 25-27.11 w Kazimierzu nad Wisłą odbędzie się XIV Międzynarodowa Konferencja Naukowa Quality and Management 2011 organizowana przez prof. dr hab. Elżbietę Skrzypek.
Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
Tematem przewodnim tegorocznych rozważań jest "Wpływ jakości na doskonalenie zarządzania zasobami niematerialnymi w turbulentnym otoczeniu".
W drugim dniu konferencji będę miał przyjemność zaprezentować referat, który przygotowałem wraz z bratem Jackiem pt. "Rola aspektów bezpieczeństwa w doskonaleniu zintegrowanych systemów zarządzania". Pełny program konferencji znajduje się tutaj.
.
9 listopada 2011
Wojna i pokój
Coraz bardziej oddalam się od bezpieczeństwa informacji, ale postanowiłem przejrzeć prezentacje na TED w temacie bezpieczeństwa ogólnie.
Nie wszystkie są, moim zdaniem, tak wyjątkowe i niepowtarzalne by poświęceć im osobny wpis, więc zrobię teraz małe podsumowanie.
Pacyfistka, wojująca feministka itp. Eve Ensler w swoim wykładzie o bezpieczeństwie zwraca uwagę na bezsens wielu tego typu czynności. Chcemy beć bezpieczni, zamykamy się na świat i inne osoby. Przebywamy wyłącznie wewnątrz grup (spolecznych, zawodowych, religijnych...) wewnątrz którychczujemy się bezpieczni i każdego obcego traktujemy przynajmniej z dużą nieufnością, jeżeli nie wręcz z agresją. My kontra oni. Chrońmy się...To mocno zamyka nas - stajemy się więźniami własnego umysłu. Każdą wolną chwilę poświęcamy na zabezpieczanie siebie i najbliższych przed coraz to bardziej urojonym, hipotetycznym wrogiem...
Kilka myśli prezentacji naprawdę jest dobrych, mimo, że nie przepadam za formą.
Z drugiej strony Thomas Barnett - wymachujący szabelką wojażka, doradca USA ds. bezpieczeństwa opowiada o tym jak wygląda walka o wolność (itp) od środka i pokazuje dlaczego jest tak beznadziejnie. W dowcipny i błyskotliwy sposób pokazuje gdzie popełniono błędy (catastrofic success), demonstruje podział świata na sektor wojny (bardzo sprawny) i resztę (fatalną), pokazuje co warto usprawnić by maszynka walki o wolność, demokrację itp zaczęła po prostu działać.
Warto też zwrócić uwagę na wywiad z Julian Assange z czasów gdy był na topie i miał kilka sukcesów, o których naprawdę należy mówić głośno.
Miłego oglądania.
.
Nie wszystkie są, moim zdaniem, tak wyjątkowe i niepowtarzalne by poświęceć im osobny wpis, więc zrobię teraz małe podsumowanie.
Pacyfistka, wojująca feministka itp. Eve Ensler w swoim wykładzie o bezpieczeństwie zwraca uwagę na bezsens wielu tego typu czynności. Chcemy beć bezpieczni, zamykamy się na świat i inne osoby. Przebywamy wyłącznie wewnątrz grup (spolecznych, zawodowych, religijnych...) wewnątrz którychczujemy się bezpieczni i każdego obcego traktujemy przynajmniej z dużą nieufnością, jeżeli nie wręcz z agresją. My kontra oni. Chrońmy się...To mocno zamyka nas - stajemy się więźniami własnego umysłu. Każdą wolną chwilę poświęcamy na zabezpieczanie siebie i najbliższych przed coraz to bardziej urojonym, hipotetycznym wrogiem...
Kilka myśli prezentacji naprawdę jest dobrych, mimo, że nie przepadam za formą.
Z drugiej strony Thomas Barnett - wymachujący szabelką wojażka, doradca USA ds. bezpieczeństwa opowiada o tym jak wygląda walka o wolność (itp) od środka i pokazuje dlaczego jest tak beznadziejnie. W dowcipny i błyskotliwy sposób pokazuje gdzie popełniono błędy (catastrofic success), demonstruje podział świata na sektor wojny (bardzo sprawny) i resztę (fatalną), pokazuje co warto usprawnić by maszynka walki o wolność, demokrację itp zaczęła po prostu działać.
Warto też zwrócić uwagę na wywiad z Julian Assange z czasów gdy był na topie i miał kilka sukcesów, o których naprawdę należy mówić głośno.
Miłego oglądania.
.
21 września 2011
Darmowe, webcastowe szkolenie CISSP
Ostatnio dostałem zaproszenia na ciekawy i darmowych webcastów. Może przyda się to osobom wybierającym się na egzaminy?
Shon Harris przedstawiająca kurs z 1 domeny CISSP: Information Security and Risk Management.
Course Description:
This free course module of Domain 1 of our CISSP Certification Training will give the student in-depth knowledge on such topics as: security definitions, vulnerabilities, regulations, risk management, data collection, security enforcement issues, and many more critical concepts. Test drive Career Academy's CISSP training today.
.
Shon Harris przedstawiająca kurs z 1 domeny CISSP: Information Security and Risk Management.
Course Description:
This free course module of Domain 1 of our CISSP Certification Training will give the student in-depth knowledge on such topics as: security definitions, vulnerabilities, regulations, risk management, data collection, security enforcement issues, and many more critical concepts. Test drive Career Academy's CISSP training today.
.
4 kwietnia 2011
Jak rozpoznać klamczucha
W wersji obrazkowej...
Oczywiście jest tu sporo uproszczeń, ale osoby znające temat z innej strony mogą sobie łatwo poprzypominać teorię...
Oczywiście jest tu sporo uproszczeń, ale osoby znające temat z innej strony mogą sobie łatwo poprzypominać teorię...
26 marca 2011
Rozłam wśród cyberprzestępców
Kaspersky Lap w raporcie o prognozach dotyczących cyberprzestępczości w 2020 zwrócił uwagę na prawdopodobieństwo "rozłamu wśród cyberprzestępców". niestety nie chodzi tu tak bardzo o wewnętrzne konflikty, które ograniczą zjawisko, jak o specjalizację.
Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
W 2020 roku cyberprzestępczość będzie można podzielić na dwie grupy. Pierwsza będzie specjalizować się w atakach na firmy - czasem przeprowadzanych na zamówienie. Na czarnym rynku pojawi się duży popyt na szpiegostwo przemysłowe, kradzież baz danych oraz ataki mające na celu zniszczenie reputacji firm. Na wirtualnym polu bitwy będą ścierać się ze sobą twórcy zagrożeń i korporacyjni specjaliści IT. W proces ten zaangażują się prawdopodobnie państwowe agencje zajmujące się zwalczaniem cyberprzestępczości, które będą miały do czynienia głównie z zagrożeniami na platformy Windows oraz najnowsze wersje tradycyjnych systemów uniksowych i linuksowych.
Druga grupa cyberprzestępców będzie atakowała systemy i usługi, które maja wpływ na nasze codzienne życie, takie jak transport. Ataki na takie systemy, kradzież i wykorzystywanie ich zasobów oraz danych dotyczących zwyczajów klientów to działania, na których skupi się nowe pokolenie hakerów, zarabiając w ten sposób na swoje utrzymanie
16 marca 2011
Wprowadzenie do bezpieczeństwa informacji - wykłady na PW
W ubiegłym tygodniu zostałem poproszony o "gościnny występ" na Politechnice Warszawskiej.
Przyszłym kadrom zarządczym i inżynierskim opowiadałem o praktycznych aspektach zarządzania bezpieczeństwem informacji.
Obiecałem również zamieszczenie w sieci materiałów z wykładów (w trochę okrojonej formie). Tym samym spełniam obietnicę daną studentom.
Miłej lektury i zachęcam do kontaktu w przypadku ewentualnych wątpliwości...
Przyszłym kadrom zarządczym i inżynierskim opowiadałem o praktycznych aspektach zarządzania bezpieczeństwem informacji.
Obiecałem również zamieszczenie w sieci materiałów z wykładów (w trochę okrojonej formie). Tym samym spełniam obietnicę daną studentom.
Miłej lektury i zachęcam do kontaktu w przypadku ewentualnych wątpliwości...
2 marca 2011
Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora
Na stronie IMMUSEC umieściłem już prezentację "Rozganianie czarnych chmur - bezpieczeństwo cloud computing z perspektywy audytora" z poniedziałkowej konferencji.
Zapraszam do zapoznania się.
Zapraszam do zapoznania się.
22 lutego 2011
7 Kongres Bezpieczeństwa Sieci
28 lutego w Warszawie odbędzie się 7 Kongres Bezpieczeństwa Sieci. Zostałem zaproszony by wygłosić jedną z prezentacji.
W trakcie prezentacji „Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora” przedstawione zostaną rodzaje zagrożeń utożsamiane z przetwarzaniem danych w chmurach. Odniosę się do najnowszych materiałów przygotowanych m.in. przez Cloud Security Alliance i zaprezentuje najważniejsze z zagadnień, jakie należy wziąć pod uwagę podczas zabezpieczania takich środowisk, zaznaczając niektóre z niezbędnych mechanizmów kontrolnych.
Główną tezą mojego wystąpienia jest pokazanie, że z punktu widzenia bezpieczeństwa model cloud computing nie jest niczym nadzwyczajnym. Nie dość, że nie należy się bać tego typu rozwiązań, to na dodatek do jego zabezpieczania można wykorzystać znane już podejścia i rozwiązania.
Czytelników bloga zapraszam do kontaktu w trakcie którejś z przerw i wspólnej kawy :)
W trakcie prezentacji „Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora” przedstawione zostaną rodzaje zagrożeń utożsamiane z przetwarzaniem danych w chmurach. Odniosę się do najnowszych materiałów przygotowanych m.in. przez Cloud Security Alliance i zaprezentuje najważniejsze z zagadnień, jakie należy wziąć pod uwagę podczas zabezpieczania takich środowisk, zaznaczając niektóre z niezbędnych mechanizmów kontrolnych.
Główną tezą mojego wystąpienia jest pokazanie, że z punktu widzenia bezpieczeństwa model cloud computing nie jest niczym nadzwyczajnym. Nie dość, że nie należy się bać tego typu rozwiązań, to na dodatek do jego zabezpieczania można wykorzystać znane już podejścia i rozwiązania.
Czytelników bloga zapraszam do kontaktu w trakcie którejś z przerw i wspólnej kawy :)
4 lutego 2011
Zbliża się kolejny kurs CISA
Ponieważ od czerwca zmienia się zakres egzaminów zapraszamy na tygodniowy kurs przygotowujący do egzaminów CISA.
Przyszli certyfikowani audytorzy systemów informatycznych będą mogli poznać zakres nowych 5 modułów, dowiedzą się jak otrzymać oraz jak utrzymać certyfikat w kolejnych latach.
Pięć nowych zakresów tematycznych egzaminu to:
Moduł 1. Proces audytu systemów informatycznych
Moduł 2. Rola CISA w Nadzorze IT
Moduł 3. Rola CISA w zarządzaniu cyklem życia systemów i infrastruktury
Moduł 4. Rola CISA w dostarczaniu oraz wspieraniu usług IT
Moduł 5. Rola CISA w zabezpieczaniu zasobów informacyjnych
Przyszli certyfikowani audytorzy systemów informatycznych będą mogli poznać zakres nowych 5 modułów, dowiedzą się jak otrzymać oraz jak utrzymać certyfikat w kolejnych latach.
Pięć nowych zakresów tematycznych egzaminu to:
Moduł 1. Proces audytu systemów informatycznych
Moduł 2. Rola CISA w Nadzorze IT
Moduł 3. Rola CISA w zarządzaniu cyklem życia systemów i infrastruktury
Moduł 4. Rola CISA w dostarczaniu oraz wspieraniu usług IT
Moduł 5. Rola CISA w zabezpieczaniu zasobów informacyjnych
8 grudnia 2010
Otwarcie przewodu doktorskiego
We wtorek 8 grudnia Rada Wydziału Zarządzania Politechniki Warszawskiej pozytywnie zaaprobowała mój wniosek o otwarcie przewodu doktorskiego pod tytułem "Zarządzanie bezpieczeństwem informacji w bankach wielonarodowych w Polsce". Promotorem rozprawy doktorskiej jest prof. zw. dr hab. inż. Stanisław Tkaczyk.
Teza robocza rozprawy brzmi "Wielowarstwowy system stale doskonalonych wzajemnie powiązanych technicznych i organizacyjnych zabezpieczeń ma istotny wpływ na zwiększenie stanu bezpieczeństwa informacji w wielonarodowych bankach."
Teza robocza rozprawy brzmi "Wielowarstwowy system stale doskonalonych wzajemnie powiązanych technicznych i organizacyjnych zabezpieczeń ma istotny wpływ na zwiększenie stanu bezpieczeństwa informacji w wielonarodowych bankach."
4 listopada 2010
Bruce Schneier na TEDx
Nie można tego ominąć - Bruce wygłosił wystąpienie pt "Reconceptualizing Security" podczas TEDxPSU kilka dni temu. Polecam szczególnie ze względu na przemyślenia dotyczące "kupowania" bezpieczeństwa oraz różnicy między odczuwalnym a rzeczywistym poziomem bezpieczeństwa.
31 października 2010
bezpiecznedziecko.info
Będę niedługo ruszać z kolejnym projektem (pomysłem) - bezpiecznedziecko.info
Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
Subskrybuj:
Posty (Atom)