Jednym z najczęściej spotykanych zwyczajów we wszystkich chyba rodzajach organizacji jest tworzenie profili nowych użytkowników (lub dodawanie uprawnień) "tak samo" jak np u Kowalskiego. Jest to wygodne, gdyż zamiast mozolnie dodawać uprawnienia do poszczególnych katalogów czy systemów można skopiować profil i po paru sekundach praca jest zrobiona.
Kontrola jakości w takich sytuacjach wygląda zwykle następująco:
1. jak użytkownik ma za mało uprawnień (o czymś zapomniano) to zaraz zrobi raban więc dostanie to co potrzebuje
2. jak użytkownik na za dużo to...hmm to trudno. Będzie kiedyś weryfikacja praw to mu się zabierze (jeśli uda się to wypatrzyć).
W tę pułapkę wpadają firmy na całym świecie. Setki tysięcy pracowników na wszystkich kontynentach mają za duże uprawnienia, czyli mogą za dużo przeczytać, pozmieniać lub pokasować ze względu na lenistwo osób odpowiedzialnych za nadawanie uprawnień (tu uwaga, niekoniecznie chodzi o administratorów aplikacji - często to działy biznesowe są zbyt leniwe (czytaj zapracowane) by troszczyć się o drobiazgi typu uprawnienia. Jak to się może skończyć popamięta przez lata na pewno bank Societe Generale zatrudniający kiedyś bystrego maklera Jerome Kerviela.
Rozwiązaniem na takie sytuacje jest przejrzenie organizacji pod kątem ról wykonywanych przez pracowników i przypisywanie pracowników do odpowiednich z nich w zależności od potrzeb. Służą do tego dedykowane systemy, można to również zrobić taniej - "ręcznie" przy większej ilości włożonej pracy, ale o tym napisze innym razem.
13 lipca 2010
9 lipca 2010
Wielowarstwowa ochrona informacji
W trakcie ubiegłorocznej konferencji "Activity 2009" w Kazimierzu nad Wisłą organizowanej przez prof. Elżbietę Skrzypek z UMCS przedstawiałem referat dotyczący wielowarstwowej ochrony informacji.
Teorie wojskowości od dawien dawna wykorzystują koncepcję wielowarstwowej obrony (ang. defence in depth). Jest ona wykorzystywana do określenia strategii obrony, która tworzy elastyczny i powiązany system mający na celu znaczne opóźnienie ataku i zadanie atakującemu jak największych strat.Cały referat został wydany przez UMCS: Syta J., Tkaczyk S., Zastosowanie podejścia wielowarstwowej ochrony podczas zarządzania bezpieczeństwem informacji. Praca zbiorowa Skrzypek E. [red.], Zakład Ekonomiki Jakości i Zarządzania Wiedzą, Wydział Ekonomiczny, Uniwersytet Marii Skłodowskiej-Curie, Lublin 2009, str 453-461
Teorie wzięte wprost ze strategii dowodzenia można również stosować podczas budowania systemów zarządzania bezpieczeństwem informacji. W Takich sytuacjach zaproponowałem utworzenie 4 warstw obrony. Pierwsza warstwa ochrony powinna zajmować się kontrolą dostępu do informacji wyłącznie dla upoważnionych pracowników. Administratorzy wykonywaliby takie czynności jak przyznawanie praw dostępu, monitorowanie dostępu do informacji oraz wdrażanie i aktualizowanie technicznych zabezpieczeń. Ich praca byłaby nadzorowana przez drugą linię zabezpieczeń, czyli właścicieli biznesowych kontrolujących poprawność przyznanych praw dostępu oraz specjalistów bezpieczeństwa przeprowadzających bieżącą weryfikację bezpieczeństwa, dokonujących analiz mających na celu zapewnienie, że informacje są chronione w sposób właściwy. Najwyższą linię obrony stanowiłby audyt potwierdzający skuteczność niższych warstw ochrony informacji.
7 lipca 2010
Wszech-monitoring
Dziś mija 5 rocznica ataku bombowego w Londynie. Przy tej okazji postanowiłem napisać o najbardziej popularnym zabezpieczaniu na wyspach
W Wielkiej Brytanii - kraju posiadającym rekordowe ilości kamer CCTV od dawien dawna trwa debata na temat ich rzeczywistej przydatności. Porównania do G.Orwella są jak najbardziej słuszne. Od jakiegoś czasu działa organizacja Big Brother Watch zajmująca się ochroną prywatności zabieranej w sposób znany z Wielkiego Brata.
Ostatnio debata znów się nasila, gdyż stróże prawa przyznają, że ich skuteczność w rzeczywistej walce z przestępcami jest coraz mniejsza.
Nagrania z kamer przestają być dobrą bronią z kilku powodów:
1. ktoś to musi oglądać i reagować na przestępstwa, a jak to robić mając setki tysięcy kamer do ogarnięcia?
2. kamery mogą działać odstraszająco wyłącznie na osoby chcące popełniać przestępstwa cyklicznie. W przypadku jednorazowych aktów terroru jak samobójcze zamachy kamery tylko odpowiedzą na pytanie kto, w żaden sposób nie zapobiegną tragedii.
3. kamery muszą zapisywać obraz w sensownej rozdzielczości a nagrania muszą być przechowywane przez rozsądny okres czasu.
Wielka Brytania potrzebuje więcej policjantów, nie kamer. Osiągnęła już masę krytyczną, po której ich skuteczność gwałtownie zaczęła spadać.
W Wielkiej Brytanii - kraju posiadającym rekordowe ilości kamer CCTV od dawien dawna trwa debata na temat ich rzeczywistej przydatności. Porównania do G.Orwella są jak najbardziej słuszne. Od jakiegoś czasu działa organizacja Big Brother Watch zajmująca się ochroną prywatności zabieranej w sposób znany z Wielkiego Brata.
Ostatnio debata znów się nasila, gdyż stróże prawa przyznają, że ich skuteczność w rzeczywistej walce z przestępcami jest coraz mniejsza.
Nagrania z kamer przestają być dobrą bronią z kilku powodów:
1. ktoś to musi oglądać i reagować na przestępstwa, a jak to robić mając setki tysięcy kamer do ogarnięcia?
2. kamery mogą działać odstraszająco wyłącznie na osoby chcące popełniać przestępstwa cyklicznie. W przypadku jednorazowych aktów terroru jak samobójcze zamachy kamery tylko odpowiedzą na pytanie kto, w żaden sposób nie zapobiegną tragedii.
3. kamery muszą zapisywać obraz w sensownej rozdzielczości a nagrania muszą być przechowywane przez rozsądny okres czasu.
Wielka Brytania potrzebuje więcej policjantów, nie kamer. Osiągnęła już masę krytyczną, po której ich skuteczność gwałtownie zaczęła spadać.
6 lipca 2010
Komunikacja kluczem do skutecznego zarządzania ryzykiem
W trakcie prezentacji na dzisiejszej konferencji zajmowałem się miękkimi czynnikami a konkretnie rolą komunikacji w procesie zarządzania ryzykiem. Przypomniałem między innymi sylwetkę prof. Jamesa Reasona z Uniwersytetu w Manchesterze, który przez lata badał incydenty lotnicze i analizował możliwości ich redukcji.
Jednym z wyników prac było zwrócenie uwagi na fakt, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i często to one są prawdziwą przyczyną incydentów. Dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych. Kultura sprawiedliwości ("just culture") postulowana przez prof. J. Reasona polega na dogłębnej analizie incydentów bez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością.
Zapraszam do zapoznania się z całą prezentacją
Jednym z wyników prac było zwrócenie uwagi na fakt, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i często to one są prawdziwą przyczyną incydentów. Dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych. Kultura sprawiedliwości ("just culture") postulowana przez prof. J. Reasona polega na dogłębnej analizie incydentów bez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością.
Zapraszam do zapoznania się z całą prezentacją
5 lipca 2010
Konferencja "Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie"
6 lipca w Warszawie odbędzie się konferencja "Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie".
Zostałem zaproszony do wygłoszenia tam wykładu. Przedstawię prezentację pod tytułem "Komunikacja kluczem do skutecznego zarządzania ryzykiem".
Jeśli tam będziecie to zapraszam na wspólną kawkę w przerwie.
Zostałem zaproszony do wygłoszenia tam wykładu. Przedstawię prezentację pod tytułem "Komunikacja kluczem do skutecznego zarządzania ryzykiem".
Jeśli tam będziecie to zapraszam na wspólną kawkę w przerwie.
4 lipca 2010
Hacking Democracy
Dziś wybory! Zakładając, że wszyscy już udali się do urn załączam najdłuższy jak dotąd materiał.
Od paru lat w różnych kontekstach pojawia się zagadnienie głosowania w sposób elektroniczny. Mimo bardzo poważnych obiekcji przedstawianych przez specjalistów zajmujących się bezpieczeństwem stało się to już faktem (choć na szczęście nie w Polsce). 4 lata temu przygotowano materiał na temat bezpieczeństwa procesu głosowania w USA w trakcie wyborów prezydenckich w latach 2000 i 2004.
Autorzy pokazali dowody szeregu błędów w implementacji, które skutkowały (lub przynajmniej mogły skutkować) w zafałszowaniu wyników wyborów. Zakładam, że być może nie wszyscy pamiętają tę historię, a warto mieć to na uwadze. Zachęcam do obejrzenia filmu.
Trailer (2 min):
Cały film (81 minut):
W Polsce jak na razie sytuacja wcale nie kształtuje się lepiej. Zachęcam do lektury wątku Bezpieczeństwo informatyczne niedzielnych wyborów w serwisie vagla.pl
Pozwolę sobie teraz spytać - kto jeszcze chciałby (biorąc pod uwagę to co pokazano na filmie oraz lekturę materiału przygotowanego przez Vaglę) głosować przez internet?
Od paru lat w różnych kontekstach pojawia się zagadnienie głosowania w sposób elektroniczny. Mimo bardzo poważnych obiekcji przedstawianych przez specjalistów zajmujących się bezpieczeństwem stało się to już faktem (choć na szczęście nie w Polsce). 4 lata temu przygotowano materiał na temat bezpieczeństwa procesu głosowania w USA w trakcie wyborów prezydenckich w latach 2000 i 2004.
Autorzy pokazali dowody szeregu błędów w implementacji, które skutkowały (lub przynajmniej mogły skutkować) w zafałszowaniu wyników wyborów. Zakładam, że być może nie wszyscy pamiętają tę historię, a warto mieć to na uwadze. Zachęcam do obejrzenia filmu.
Trailer (2 min):
Cały film (81 minut):
W Polsce jak na razie sytuacja wcale nie kształtuje się lepiej. Zachęcam do lektury wątku Bezpieczeństwo informatyczne niedzielnych wyborów w serwisie vagla.pl
Pozwolę sobie teraz spytać - kto jeszcze chciałby (biorąc pod uwagę to co pokazano na filmie oraz lekturę materiału przygotowanego przez Vaglę) głosować przez internet?
Subskrybuj:
Komentarze (Atom)