Поговорим о вопросах этики и доверия.
Вряд ли мир придёт к единому подходу к этике при использовании цифровых технологий (распознавание лиц, данные в облаке, применение ИИ, слежка за сотрудниками, неприкосновенность частной жизни), потому что весь предыдущий мировой опыт свидетельствует о невозможности добиться согласия по множеству других философских вопросов, важных для людей.
При написании итогов года буду по сложившейся с прошлого года традиции опираться на записи из своей ленты в Facebook за 2021.
Символом 2021-ого года, как мне кажется, могут быть телефоны на деревьях, которые развешивали частные водители-курьеры Amazon, чтобы получать быстрее заказы. Это стало следствием ужесточившейся конкуренции в условиях вынужденной из-за пандемии самоизоляции людей.
Тренд следующих трудных лет — CISO-as-a-Service (CaaS) или Virtual CISO (vCISO). "Virtual CISO - это услуга, предназначенная для предоставления высококлассных экспертов по безопасности организациям, которым необходимы знания и рекомендации по безопасности". А пока добрый твит в поддержку настоящих CISO.
Продолжение темы. Начало здесь.
Вам не кажется, что экспертность превращается в поп–индустрию. Появились эксперты - поп-звёзды. Они мелькают на TV, в YouTube, в соцсетях. Раньше экспертность находилась, в основном, внутри индустрии, а сами эксперты транслировали свои мысли друг другу. Сейчас, из-за настроя разных новостных каналов на "цифровую волну", мнение экспертов оказалось востребовано широкой аудиторией различных телешоу и медиа в соцсетях.
Прогноз погоды — научно обоснованное предположение о будущем состоянии погоды в определённом пункте или регионе на определённый период. Составляется (разрабатывается) метеорологическими службами на основе методов метеорологии.
ИБ в какой то степени является междисциплинарной областью изучения, поскольку это понятие относится сразу к нескольким областям знаний. Поделюсь своими впечатлениями о только что прочитанной книге - Джейсон Андресс. "Защита данных. От авторизации до аудита." Издательство "Питер", 2021.
Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №3, 2021.
Данный материал можно рассматривать как третью часть трилогии. Первые две назывались "Топ-менеджмент и ИБ: дружба поневоле" и "Business Information Security Officer – востребованный герой нашего времени".
Волшебный ибэшный | Душный русский |
Стать крутым спецом в ИБ | ИТ-инженер нашёл работу не по специальности |
Разработать Стратегию ИБ в компании | Разработать презентацию по ИБ для руководства |
Разработать с нуля всю нормативку по ИБ | Накопипастить шаблоны нужных документов по ИБ из Интернета |
Заниматься повышением осведомлённости в вопросах ИБ у сотрудников | В должностных обязанностях указано проведение вводного инструктажа по ИБ для новых сотрудников |
Настроить механизмы журналирования и аудита ОС | Настроить механизмы журналирования и аудита ОС, но ни разу не заглянуть в эти журналы |
Внедрить метрики для контроля достижения целей и согласовать их с бизнесом | Согласовать с руководителем форму своего месячного отчета по ИБ о проделанной работе |
Следить за индикаторами рисков ИБ | Готовить еженедельные отчёты наверх по рискам информационной безопасности |
Иметь большой опыт работы в ИБ | Заниматься выпуском сертификатов открытых ключей для клиентов банковской системы ДБО |
Проявлять лидерские качества и демонстрировать ответственное отношение к работе | Ответственно исполнять чужие распоряжения |
Получать фидбек от руководителя | Получать нагоняй от шефа |
Разработать авторские курсы по защите персональных данных | Собрать из материалов Лукацкого в Интернете свою презу |
Бизнесу не нужны безопасники, ему нужны надёжные, безопасные ИТ-системы | ИТ-шники посылают ИБ лесом |
Участвовать в челленджах по ИБ | Поддержать инициативу заокеанских безопасников #infosecbikini |
Выступать на ИБ-эвентах | Задать вопрос выступающему на ИБ-конференции |
Заслуженный ИБ-баттлер | Отраслевой неформал |
Провести крутой семинар для дата–сайентистов | Забить встречу дата–сайентистов в такой дыре, куда даже сатанисты не поедут |
Работать над получением сертификатов CISM, CISSP, CRISC и других | В очередной раз заняться английским |
Иметь опыт проведения внешних аудитов и тестирования на проникновение | Запустить внешнее сканирование хоста без аутентификации |
Иметь опыт проведения внутренних аудитов по информационной безопасности | Найти Excel-таблицу в DLP-системе с перечислением номеров выданных банковских карт |
Осуществить заход в заказчика | Позвонить заказчику |
Закрыть гештальт | Доделать свои косяки |
Словить инсайт | Читать электронную переписку в DLP-системе |
Участвовать во внутренних проектах по ИБ - аудит, консалтинг, проектирование, внедрение | Замещать своего ИБ-руководителя на время отпуска |
Прокачать внутренние скиллы | Посетить вечеринку - #ПоИБэшечку |
Токсичный сотрудник, инсайдер | Вредный сотрудник |
Выходить из зоны комфорта | Все проекты по ИБ заморожены на неопределённое время |
Внедрить Data-centric security | Купить DLP-систему |
Замутить цикл вебинаров по ИБ | Замутить видеомарафон из решений вендоров |
Серьёзно вложиться в своё ИБ-обучение | Скачать бесплатные курсы |
Провести презентацию платного курса по ИБ | Запостить сообщение в Twitter |
Найти в Интернете интересную статью по ИБ | Продвигать решения определённой ИБ-компании |
Дать последний шанс тем, кто не успел подписаться на ваш платный канал по специальной цене | Никто не хочет платить за ваш контент |
Взять интервью у ИБ-эксперта для своего блога | Испытывать затруднения в выборе тем для своего ИБ-блога |
Хотелось бы видеть вашу реакцию на мой пост | Поставьте лайк, пожалуйста |
Воспользоваться редкой возможностью заняться самообразованием | Сидеть без работы |
*Аутентификация - проверка подлинности
Подходы при использовании аутентификации субъекта, как и подходы к выбору избранника, называются факторами. Действительно, когда вы пытаетесь определить личность избранника с целью оценить его шансы на злоупотребление вашим доверием, вам, как и в случае с аутентификацией субъекта, нужно использовать как можно больше факторов. Чем больше факторов вы используете, тем более качественными будут: аутентификация субъекта - в одном случае, и ваш избранник - в другом. Разберём, что это за факторы.
Общие положения
Настоящая Политика информационной безопасности (далее Политика ИБ) содержит рекомендации и правила, направленные на снижение рисков нанесения финансового ущерба организации и её репутации, умышленного или по неосторожности (халатности) разглашения информации, несанкционированное распространение которой запрещено законами Российской Федерации (далее - РФ) и внутренними нормативными документами организации (далее - защищаемая информация).
*Начало здесь.
Все мы нуждаемся во впечатлениях и эмоциях. Поплакать над проблемами отрасли, поиронизировать над незадачливым ибэшником, помечтать под музыку телефонных звонков (если вы ещё в офисе). Давайте попробуем добавить юмора в наши будни.
Из переписки в соцсетях:
“Сейчас каналов по ИБ - вагон и Телега*“
“Может стоит сделать еще и обзор telegram-каналов по ИБ?“
*Под Телегой в данном материале подразумевается платформа Telegram - мессенджер и социальная сеть одновременно.
Описывать телеграм-каналы вообще и по ИБ, в частности, дело неблагодарное.
Иллюстрация от Васи Ложкина (подпись "Регулятор" - моя)
Этот пост - продолжение мыслей, изложенных в блоге шесть лет назад в материале “Плач безопасника по ИБ”. Сразу признаем, что проблем с нормативным регулированием информационной безопасности в банковской сфере спустя шесть лет стало только больше.
Эпиграф
MFA не выдаст, Zero Trust не съест!
Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.
Так же и в ИБ: вас "привязывают" к имеющейся ИТ-инфраструктуре и "бросают в воду", если не повезло и вас взломали, вы - "дырявое" ИБ.
Начало здесь.
Эпиграф
"Забил ключ, потёк ручеёк, зазмеилась речка" (Борис Акунин)
Начну с констатации того факта, что популярность блогов у интернет-аудитории со всей очевидностью снижается.
Поговорим об аутсорсинге ИТ-услуг
Ветераны ИТ-индустрии до сих пор относятся к аутсорсингу с недоверием, предпочитая хранить все данные в собственной инфраструктуре и оставаться наедине со всеми возникающими проблемами (нехватка кадров, ресурсов, инструментов, знаний и навыков). Исторически российские компании выполняли бо́льшую часть ИТ-функций своими силами. Но пришло время пересмотреть взгляды на аутсорсинг ИТ-услуг.
Поделюсь в связи со сказанным возникшей у меня аналогией: аутсорсинг похож на брачный договор супругов, так как любой брак характеризуется своей степенью глубины и зависимости обеих сторон друг от друга.
Попытка нарисовать картину мрачного будущего, изобилующего потенциальным злоупотреблением ИИ, потерей приватности и роботомании
Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №1, 2021.
Проверка на читабельность текста выполнена с помощью сервиса PlainRussian.ru
Как ИБ стать стратегическим партнёром бизнесу?
Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учётом сопутствующих рисков. Управление этими рисками даёт бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, риски ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.
События последних недель, связанные с соцсетью Twitter в России, и обоснование надзорных органов о причинах жёстких мер по отношению к Twitter и другим популярным социальным онлайн-платформам чем-то напоминают аргументацию автора публикации в "Литературной газете" от 5 апреля 1952 года "Кибернетика - "наука" мракобесов".
Предлагаемый материал можно рассматривать как продолжение статьи “Топ-менеджмент и ИБ: дружба поневоле“, в которой я, в частности, сетовал на отсутствие прямого представителя службы информационной безопасности в руководстве компаний. Очевидным кандидатом на эту роль можно рассматривать Business Information Security Officer (BISO).
Эпиграф
“Кто-то хитрый и большой наблюдает за тобой“
слова из песни группы “Чайф“
Банк России - как неизбежное добро
В настоящий момент, когда для большинства представителей малого и среднего бизнеса единственным способом получить доход или просто выжить является сокращение затрат, самое время поговорить о том, чем НФО, по мнению Банка России, должны были заняться уже с 01.06.2019, но пока решили оттянуть этот момент до 01.07.2021 - о Положении Банка России от 17.04.2019 № 684-П, вступившим в силу с 01.06.2019 (за исключением его отдельных пунктов, для которых пунктом 19 Положения 684-П установлены иные сроки вступления в силу).
Отретвитнуто их немногочисленными подписчиками.
Эпиграф
"Тяжкое бремя соскользнуло с моей души. Я больше не нёс на себе роковой ответственности за всё, чтобы не случилось на свете"
М. Булгаков. "Морфий. Записки на манжетах"
Что мы всё об ИБ и про ИБ. Поговорим о технарях.
Мы учились мало, но долго
Правило 1: Чтобы быть блогером не обязательно быть закованным в гаджеты
Следствие из правила 1: Надо стараться радоваться жизни и за пределами смартфонов.
