среда, 30 сентября 2015 г.

4 функции директора по информационной безопасности

В предыдущем посте я уже писал об исследовании компании Deloitte:  


в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
  • Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
  • Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 
  • Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
  • Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике. 

Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени. 

С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании. 

Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др. 

пятница, 25 сентября 2015 г.

47-ой выпуск журнала (IN)SECURE

Содержание номера: 
  • Redefining security visualization with Hollywood UI design
  • Best practices for ensuring compliance in the age of cloud computing
  • The evolution of DDoS and how ISPs can respond
  • NowSecure Lab cloud: Mobile app assessment environment
  • Why vulnerability disclosure shouldn't be a marketing tool
  • Report: Black Hat USA 2015
  • We don't know what we don't know
  • Outdated protocols put IoT revolution at risk
  • The challenges of implementing tokenization in a medium-sized enterprise
  • Automated threat management: No signature required
  • Re-thinking security to detect active data breaches
  • How to prevent insider threats in your organization
  • ISO/IEC 27001 scoping and beyond
  • Combatting human error in cybersecurity
  • Threat intelligence matters to everyone

Качаем тут

понедельник, 21 сентября 2015 г.

Проверка сертификатов специалистов и компаний

Сколько уже было поломано копий вокруг темы сертификации. Хорошо это или плохо каждый решает для себя сам, я отношусь к теме сертификации как специалистов, так и компаний положительно, хотя сам уже давно никаких новых сертификатов не получал, лично я решил на CISA и CISSP пока остановиться. 

Что среди прочего мне нравится в этих сертификациях (о чем я собственно и хотел поговорить) это то, что вы всегда можете проверить спеца по номеру сертификата. 

У ISACA форма проверки находится прям на главной странице справа (форма Verify a Certification), достаточно знать только номер сертификата и фамилию. 

У ISC форма находится тут, аналогично для проверки достаточно знать номер и фамилию. 

Я считаю это правильно, приходит к тебе наниматься на работу эдакий спец весь бумажками увешанный, а подтвердить что он действительно проходил указанные курсы, получил сертификаты можно только взяв у него бумажный сертификат.  А как говаривал Остап Бендер: "при современном развитии печатного дела изготовить советский паспорт это пара пустяков". Так что слепить в фотошопе сертификат это вообще не проблема, я даже знаю когда подобные вещи делались для конкурсов, в которых было требование о наличии специалистов с сертификатами.   

Проблема понятна, решение очевидно, если какая-то организация выдает человеку или другой организации бумажку, которая будет предъявляться третьим лицам всегда тем, кто выдал бумажку, должен быть обеспечен простой и прозрачный механизм проверки достоверности этой бумаги. 

Вот, к примеру, если вы хотите проверить организацию на наличие у нее сертификата ISO 27001, выданного компанией BSI, то вам сюда: 


А если хотите проверить подрядчика на предмет того, что у него есть необходимые статусы для проведения аудита на соответствие требованиям PCI DSS, то сюда:


Я правда не смог найти какого-то единого реестра для проверки компаний, на наличие самих сертификатов PCI DSS, но это видимо обусловлено тем, что аудиторов очень много и это задача каждой такой компании вести реестр и все предпочитают хранить это в тайне, не уверен что это правильно. 

среда, 16 сентября 2015 г.

О "бумажной" безопасности и не только

Термин "бумажная безопасность" уже практически укоренился в нашей среде и приобрел оттенок резко отрицательный. Все чаще представители различный компаний в своих выступлениях пытаются показать что мол мы тут реальными вещами занимаемся, а не какой-то там "бумажной" безопасностью. 

Я нисколько не пытаюсь умалить ценность разного рода технических средств, да только на практике доказано, что количество, стоимость и крутизна бренда установленных в компании средств безопасности далеко не всегда коррелирует с реальной защищенностью и готовностью оперативно реагировать на меняющийся ландшафт угроз. Сейчас на рынке информационной безопасности чего только нет, сотни различных решений и кого не спроси все же не просто так выпускают новые ИБ-продукты, все так или иначе решают какие-то реальные проблемы, устраняют угрозы и проч. 

Но вот что при этом упускается из вида, что подчас приписывается к той самой "бумажной безопасности", это необходимость не просто наращивать мускулы в виде средств защиты, но и "включать голову" в смысле адекватного оценивания ситуации, выставления приоритетов, определения той самой (заезженный термин) стратегии обеспечения безопасности. Но стратегии не в том смысле как это часто делается, в виде документа на несколько сотен страниц, который успевает устареть к моменту его утверждения в организации, а стратегии если можно так сказать "в режиме реального времени", ориентированной на текущие обстоятельства. 

А что для этого нужно ? Нужно адекватно инвентаризировать инфраструктуру и определить наиболее критичные активы, необходимо оценивать риски и расставлять приоритеты в части того, что нужно минимизировать в первую очередь, нужно собирать аналитику и оценивать состояние текущих средств защиты, нужно искать механизмы взаимодействия с бизнесом с точки зрения понимания ключевых задач и приоритетов и прочее. Готовых рецептов тут тоже нет, можно ориентироваться на стандарты, на лучшие практики, да на что угодно, но главное "включать голову". К сожалению все что я описал выше очень часто относят к "бумажной" безопасности и, стало быть, начинают воспринимать как абсолютно бесполезную вещь, мне кажется зря. В качестве подтверждения моих слов приведу еще два небольших комментария: 

Если брать в пример военное дело, то можно найти немало примеров полководцев, которые одерживали победы над превосходящими силами противника. Что им помогало ? Конечно же верно выбранные стратегия и тактика. На эту тему есть, например, труды известного полководца А.В. Суворова, который, как известно, за всю жизнь не проиграл ни одного сражения. 

Недавно проведенное исследование компании Delloite показало что директора по безопасности тратят порядка 77% процентов всего своего времени на  разного рода технические задачи, в то время как руководители бизнеса ожидают от них прямо противоположного: больше ориентации на бизнес-задачи, стратегическое планирование и проч.

четверг, 10 сентября 2015 г.

Осторожно, зловреды-вымогатели !

Интересная новость тут попалась на глаза:

Специалисты по безопасности из компании Zscaler сообщили о новой разновидности трояна-вымогателя, который поражает Android-смартфоны под видом порнографического видеоплеера. После запуска программы троян фотографирует пользователя и требует выкуп.

Источник новости тут:  https://xakep.ru/2015/09/08/adult-player/

Думается мне, что сегмент разного рода вредоносов-вымогателей еще в самом начале своего развития. Пока все мы слышали только про разномастных шифровальщиков, которые шифруют важные файлы и требуют выкуп, а также разного рода блокировщики экранов. Но заразив компьютер человека можно получить доступ ко всей его электронной переписке, статистике посещения сайтов, профилях и переписке в социальных сетях и прочее. 

Вот, например, сейчас вся западная блогосфера "гудит" насчет взлома и публикации инсайдерской информации сайта Ashley Madison, есть опасения что опубликованная информация уже была использована для шантажа любителей устроить интрижку на стороне.   Что мешает делать тоже самое, но тихо и применительно к отдельным людям. 

Это я все к тому, что как мне кажется не за горам появление вымогателей, которые заразив компьютер жертвы будут выискивать какие-то факты личной жизни человека и использовать их для шантажа. 

понедельник, 7 сентября 2015 г.

Мои планы на BIS Summit 2015

Пришла осень, а значит и пора множества конференций. В моем графике первой осенней конференцией будет BIS Summit 2015.  Я уже не первый раз буду участвовать в этом мероприятии, еще помню его как DLP Russia, но уже тогда было понятно, что мероприятие перерастает заданную тематику, да и вопрос DLP перестал быть таким уж "горячим", по сравнению с тем как это было лет 5 назад. 

По воспоминаниям с прошлого года могу сказать что конференция производит приятное впечатление, видно что организаторы стараются задать интересные темы для дискуссии, собирают широкую экспертную аудиторию, хочется надеятся что в этом году успех будет закреплен и развит, хотя времена сейчас конечно очень непростые. 

В общем если хотите пообщаться со мной, то буду рад, приходите на конференцию, ловите меня в толпе и давайте общаться :) 

В выставочной части конференции в этом году мы также организуем стенд проекта R-Vision, на котором вы сможете поговорить с моими коллегами о возможностях нашей разработки, а может быть даже и познакомиться с новой версией системы, которую мы интенсивно разрабатываем уже несколько месяцев.  В любом случае будет интересно. 

Кроме того в рамках конференции будет проходить еще одно мероприятие - StandUp for Startup, в рамках которого аудитории будут представлены проекты молодых компаний на рынке ИБ.  Так что попробуем и себя показать и других посмотреть.