Jutro odbędzie się kolejne spotkanie klubu CIO. Tematem spotkania będzie "Chmura obliczeniowa w mojej firmie: pro i kontra". Zostałem zaproszony przez organizatorów by podzielić się przemyśleniami z zakresu audytu i nadzoru przetwarzania w chmurze. Czytasz tego bloga? Będziesz na spotkaniu?
Daj znać :-)
6 kwietnia 2011
4 kwietnia 2011
Jak rozpoznać klamczucha
W wersji obrazkowej...
Oczywiście jest tu sporo uproszczeń, ale osoby znające temat z innej strony mogą sobie łatwo poprzypominać teorię...
Oczywiście jest tu sporo uproszczeń, ale osoby znające temat z innej strony mogą sobie łatwo poprzypominać teorię...
30 marca 2011
Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby
W poniedziałek uczestniczyłem w konferencji „Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby” organizowanej przez GIODO, Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji.
Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.
Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.
Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)
A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.
Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.
Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)
A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.
29 marca 2011
Certyfikat CRISC
W ubiegłym roku ISACA ogłosiła kolejny program certyfikacji nakierowany na ekspertów zajmujących się zarządzaniem ryzykiem informatycznym. CRISC czyli Certified in Risk and Information Systems Control wymaga wiedzy z zakresu nadzoru informatycznego rodem z COBIT oraz zarządzania ryzykiem bazującego na RiskIT.
Dokładny zakres tematyczny egzaminu to:
Najfajniejszą dziś informacją o tym certyfikacie jest fakt, że dowiedziałem się właśnie, że i mnie został on przyznany :-)
Dokładny zakres tematyczny egzaminu to:
- Risk identification, assessment and evaluation
- Risk response
- Risk monitoring
- IS control design and implementation
- IS control monitoring and maintenance
Najfajniejszą dziś informacją o tym certyfikacie jest fakt, że dowiedziałem się właśnie, że i mnie został on przyznany :-)
26 marca 2011
Rozłam wśród cyberprzestępców
Kaspersky Lap w raporcie o prognozach dotyczących cyberprzestępczości w 2020 zwrócił uwagę na prawdopodobieństwo "rozłamu wśród cyberprzestępców". niestety nie chodzi tu tak bardzo o wewnętrzne konflikty, które ograniczą zjawisko, jak o specjalizację.
Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
Warto się nad tym zastanowić w kontekście podejmowania strategicznych decyzji dotyczących zabezpieczania firmy.
W 2020 roku cyberprzestępczość będzie można podzielić na dwie grupy. Pierwsza będzie specjalizować się w atakach na firmy - czasem przeprowadzanych na zamówienie. Na czarnym rynku pojawi się duży popyt na szpiegostwo przemysłowe, kradzież baz danych oraz ataki mające na celu zniszczenie reputacji firm. Na wirtualnym polu bitwy będą ścierać się ze sobą twórcy zagrożeń i korporacyjni specjaliści IT. W proces ten zaangażują się prawdopodobnie państwowe agencje zajmujące się zwalczaniem cyberprzestępczości, które będą miały do czynienia głównie z zagrożeniami na platformy Windows oraz najnowsze wersje tradycyjnych systemów uniksowych i linuksowych.
Druga grupa cyberprzestępców będzie atakowała systemy i usługi, które maja wpływ na nasze codzienne życie, takie jak transport. Ataki na takie systemy, kradzież i wykorzystywanie ich zasobów oraz danych dotyczących zwyczajów klientów to działania, na których skupi się nowe pokolenie hakerów, zarabiając w ten sposób na swoje utrzymanie
24 marca 2011
Zarządzanie kryzysowe a Apple Japan
Mało kto słyszał, a takie postawy warto rozgłaszać...
W trakcie ostatniego tragicznego trzęsienia ziemi w Japonii wyjątkową postawą wykazał się personel Apple.
Nie dość, że umożliwili przypadkowym osobom ukrywanie się we sklepie, to zapewnili im schronienie, jedzenie oraz możliwość komunikacji ze światem, absolutnie z własnej nieprzymuszonej woli.
Naprawdę miło czytać takie artykuły - polecam
W trakcie ostatniego tragicznego trzęsienia ziemi w Japonii wyjątkową postawą wykazał się personel Apple.
Nie dość, że umożliwili przypadkowym osobom ukrywanie się we sklepie, to zapewnili im schronienie, jedzenie oraz możliwość komunikacji ze światem, absolutnie z własnej nieprzymuszonej woli.
Naprawdę miło czytać takie artykuły - polecam
Subskrybuj:
Posty (Atom)