четверг, 26 сентября 2013 г.

Премия Security Awards 2013

Премии Security Awards 2013 коллеги уже успели "перемыть кости" в Facebook.  Сперва обсуждали как легко обойти фильтр и накрутить счетчик, а после того как организаторы поняли свою ошибку и ввели относительно жесткие методы верификации голосовавших, ругать уже стали то, что голосование обнулили и заставили всех сообщать свои адреса электронной почты. 

Лично я считаю что премия нам нужна, но конечно же нужна такая, к которой будет серьезное доверие и уважение.  Конечно же Security Awards от Рестек это пока скорее проба пера. И вот станет эта премия серьезным явлением на рынке ИБ или нет зависит от организаторов, а точнее от их желания развивать премию в правильном направлении. 

Позволю себе несколько предложений организаторам относительно того, чего не хватает премии:

1) Сейчас номинанты выбирались по принципу простого сбора мнений по электронной почте. При этом многие из тех, кто ругают сейчас премию за непрозрачность выбора номинантов, сами ничего не предлагали когда шел сбор предложений.  

Я думаю, что премии стоит в первую очередь сформировать профессиональное жюри, которое и будет отбирать номинантов на голосование по определенным заранее опубликованным правилам (см. п.2).  

2) Премии нужны более четко прописанные правила номинирования, условия для попадания в ту или иную номинацию, правила выбора победителя. 

3) Номинироваться организации должны сами и при этом (возможно) за небольшой оргвзнос. Это позволит отсеять тех, кто просто лезет везде кто только можно ради пиара, и получить дополнительные финансы на проведение соответствующих мероприятий. 

4) Помимо публичного голосования нужно учитывать и мнение профессионального жюри (в сочетании 35/65, например). Это позволит снизить влияние фактора накрутки.

Это пожалуй самые основные моменты.  

P.S.  Коллеги, в голосовании на премию Security Awards 2013 в номинации Maximin в том числе участвует компания ISM SYSTEMS. Если вам нравятся проекты этой компании (ismsys.ru / ismmarket.ru, то проголосуйте - 

среда, 25 сентября 2013 г.

Свеженькое чтиво по информационной безопасности


В этом выпуске:
  • Этапы принятия нового - объективная реальность
  • Базовые элементы менеджмента рисков информационной безопасности
  • Проект: ИБ. История развития
  • Европа и США. Особенности защиты персональных данных
  • Династия. Касперские. 

Ссылка на номерhttp://dlp-expert.ru/bdi/3


В этом выпуске:
  • Dear CSO, do you know how to build security culture?
  • How to secure a company's Chinese development center?
  • Stephen Pao, GM, Security Business at Barracuda Networks, on web application security
  • The state of web application security in numbers
  • Web application exploitation with broken authentication and path traversal
  • Joel Smith, AppRiver CTO, on web threats
  • With big data comes big responsibility: The (in)security of OLAP systems
  • There are no winners in the blame game
  • Digital graphology: It's all in the signature
  • Security from within: Proactive steps towards protecting corporate assets from attack
  • The five biggest reasons your IT staff is losing sleep
  • How to manage your passwords with KeePass
Ссылка на номерhttp://www.net-security.org/insecuremag.php

понедельник, 23 сентября 2013 г.

Мировые эксперты по информационной безопасности в Twitter

Материал взять отсюда: http://www.informationsecuritybuzz.com/25-information-security-leaders-to-follow-on-twitter/

Со списком согласен полностью. Рекомендую фоловить этих ребят.

a1Some people prefer to absorb information audibly or visually. Luckily; for those in information security who like to learn that way, Paul Asadoorian provides podcasts and video blogs on all the latest from the world of infosec on his site, pauldotcom.com.

a2When you need a strong leader, someone to push through the complex business and technical problems, you should look to your Twitter feed and make sure Gal Shpantzer is on it!

a3No artist can work without their instruments and the same is largely true for infosec folk. Turn to Ron Gula, the CEO of Tenable Network Security, he’ll have all the tools you’ll ever need.

a4Do you know that man, the man that women want to be with and who men want to be? Well now you do, it’s Andrew Hay. He’s the devastatingly handsome Director of Applied Security @Cloudpassage. I look forward to your angry messages about how jealously has overcome you.

a5Do you like a bit of mystery on your Twitter feed? Well then you need Jayson E. Street. Scientists have long pondered as to why he only follows 403 people, but because of HTTP Error 403 they don’t have the authorisation to view this information.

a6A cyber security and resource auditor, who, judging by his picture has reached a level of security so profound, he has become a key.

7. Ryan Dewhurst – @ethicalhack3r
a7I know it’s hard with all the power of Infosec to stay ethical, so what you need is a man so ethical it’s even in his Twitter handle. This enthusiastic security engineer will keep you from turning to the dark side of infosec.

8. BillBrenner70 – @BillBrenner70
a8Scribes have throughout the ages jotted down the information that would go on to influence civilisations. If you are wondering who the scribe is for infosec; it’s none other than Bill Brenner. You can read his breadth of knowledge ‘The OCD Diaries’ if you don’t believe me.

a9Sometimes you need to follow a Twitter user who just has it all, and since Steve is a problem solver, a business minded hacker, a master of sarcasm, an information sponge, an infosec lover AND an athlete, frankly to want anything more would just be greedy.

a10How many people do you follow and would trust them to stand up in court? Well wonder no more, you only need one, and that’s Eric Vanderburg. This cyber security leader and professional speaker is also an author and professor, the courtroom won’t know what hit them.

a11Need to focus on policy and practice, Dan is the man for you! Not only is he the editor of FISMApedia.org, he’s also a Federal cyber security, risk management, cloud security and information security practitioner.

12. #Cyberwar- @cyberwar_geek
a12They say as a child, the young cyberwar_Geek was bitten by a radioactive CSO which turned this humble geek into an IT professional by pure accident. So give a follow, especially if you have an interest in the practical application of technology.

13. Eugene Kaspersky – @e_kaspersky 
a13Are you a 24 year veteran of the Infosec war? No? Well fall in line solider and follow Eugene Kaspersky, I doubt I need to tell you who he is beyond this.

14. Dejan Kosutic – @Dejan_Kosutic
a14If you ever find yourself lost in Croatia and in need of an expert in information security and a business continuity management, fear not, for you will be following Dejan Kosutic.

a15You ever wake up in the morning and think, ‘I really feel like speaking to a CRO who enjoys Malware adventuring and speaks at TED’? Well then, you do have some really odd wants in life, but don’t worry we have you covered, Mikko Hypponen is your man.

a16Your Twitter list has a hole, a hole shaped like a CSO who has blogged for 10 years and can train anyone in the arts of the black hat. So go forth reader, follow Richard Bejtlich.

a17Are you a fan of text adventures? Work in computer security? Read blogs? Attend speaking events? Well I’m shocked you don’t follow Graham Cluley already…

a18You ever wondered what a CISSP and Tenable Product Manager who occasionally blogs would do in their free time? Well, if Jack Daniel is anything to go by, the answer is MAKE SWORDS. At least that is what I took from him being an amateur blacksmith.

a19I don’t know how a black belt in Brazilian Jiu-Jitsu would help a White Hat Web security enthusiast and public speaker (TED Alumni)…But I’m too scared to ask.

a20I’d love to be a fitness culturist, who has a healthy enjoyment of Shiraz and bourbon, skilled in the art of Brazilian Jiu-jitsu while working as a Technosophing Security dude… but I’m not, so you can follow Hoff instead.

a21It’s often joked that everyone in Ireland knows each other; well you can join in the fun too, follow Brian! He’s an infosec consultant and Head of Ireland’s CSIRT and he blogs!

a22I have a movie idea about an Internet security journalist who used to work for the Washington post uncovering the cyber-crime story of the decade… do you think Brian Krebs would play the lead?
a23Need to add a bit of life to your Twitter feed? Well, I know a security type podcaster who blogs, plays bass and invents emoticons. So go follow the lovely Canadian called Dave already.
a24Do you believe in a healthy dose of paranoia? Are you an Akamai security evangelist? Do you have an interest in blogs and podcasts? If you answered yes to all of these you are potentially Martin McKeay, if you are not Martin, and answered yes to any of these, go follow him.
a25Feel like you need a bit of career coaching or maybe work in the security realms of influence and social engineering? You should give Mike a follow; you’d have loads in common!

пятница, 20 сентября 2013 г.

Немного пятничной халявы

Несколько полезных ссылок:

понедельник, 16 сентября 2013 г.

Публикование информации об инцидентах

Осенью этого года Госдума с подачи сенатора Гаттарова возможно будет обсуждать повышение штрафных санкций за утечку персональных данных.  Все это делается под эгидой приведения нашего законодательства в соответствие с европейскими нормами.  Т.е карать хотят все же не за отсутствие формального соответствия, а за реальные "косяки". 

Но такая система держится в первую очередь на том, что компании будут сообщать о произошедших у них инцидентах.  В Америке это решили просто - в определенных случаях за сокрытие фактов утечки руководителям компании может грозить уголовное наказание. Это отрезвляет.  У нас о подобной мере никто не говорит, так что в случае повышения штрафов становится непонятным каким образом будет обеспечено то, что компании будут сообщать в соответствующие органы об утечке (тем более понимая что получат при этом серьезный штраф).  Если ориентироваться только на случаи, которые будут получать публичный резонанс, то это будет только вершина айсберга, хотя конечно уже что-то. 

Ну и в завершение этого короткого поста в подтверждение моих слов немного статистики из той самой благополучной Европы.  Компания AlienVault провела исследование среди европейских компаний и согласно ему: 
  • только 2% компаний готовы сообщать об инциденте публично
  • 38% готовы сообщить об инциденте в соответствующие органы
  • 31% готовы сообщить об инциденте своим сотрудникам
  • 11% готовы поделиться информацией об инциденте с сообществом специалистов по информационной безопасности

Вот так вот …