Промахи CISO: Название подразделения

Ну как можно быть начальником и не имеет своего подразделения? А бывает ли подразделение без названия? А название, штука серьезная, потому как "как корабль назовете, так корабль поплывет"(с)...

Защищаться или не защищатьсья, вот в чем вопрос

Есть один парадоксальный момент, который играет очень большую роль в судьбе "главного по ИБ":

(не) Очевидное: Энтропия Пароля

Как определить, мы выбрали «сильный» (надежный) пароль или нет. Что есть критерием такой оценки? Любой Гуру Инфосека подскажет, что сильный пароль или нет, определяется исходя из его энтропии: чем больше энтропия, тем лучше.  

Энтропия… Впечатляет. Со школы помню: энтропия – мера хаоса. Круто…

Эмоции в сторону и давайте посмотрим, как данные советы реализовать на практике…

В поисках взаимопонимания: ПД, паспорт, псевдоним…

«Либимого узнаю  по походке»

Нельзя построить эффективную защиту не понимая обьект защиты. Нельзя давать полезные советы, если люди толкуют одно и то же понятие по-разному.

---

Идет дискуссия, потихоньку стороны начинают понимать друг друга, а тут бац «вторая смена», вновь подключившийся к дискуссии вносит сумятицу в еще не окрепшие умы: «если собранные персональные данные (ПД) не подтверждены документально, например, посредством предьявления оригинала паспорта, то нельзя такие данные считать «персональными данными», а следовательно под действие Закона Украины «Про защиту персональных данных» собранная информация не попадает» (попытался культурно, получилось длинно). На просьбу аргументации утверждения, ответ как правило один: «нельзя утверждать, что данные настоящие, потому как они могли были искажены самим субьектом ПД»…

И так, где же истина? Что же есть «персональные данные»? Считаю, что вопрос даже требует уточнения: «какую информацию следует считать «персональными данными»? Почему мы смотрим на одно и то же, но видим разное?

Закон гласит:  «персональні дані  -  відомості  чи  сукупність відомостей про фізичну  особу,  яка  ідентифікована  або  може   бути   конкретно ідентифікована» («персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»)

И вот перед главная причина,  почему мы не понимаем друг друга: закон не определяет процесс идентификации.  Причем именно процесс в самом широком его толковании: нам не навязывают Что анализировать, Как, Чем и совсем незаметный нюанс: Кто должен проводить анализ. Последнее мне кажется предельно интересным моментом: вы можете считать (искренне), что у Вас «в руках» галиматья какая-то, а сторона, предъявляющая Вам претензию легко демонстрирует, что это не галиматья и Вам придется отвечать «по всей строгости…»

Как следствие,  имеем ситуацию, когда каждый человек под идентификацией начинает предлагать свое видение данного процесса, которое чаще всего иллюстрирует или ограниченные познания в данной области и/или когнитивные искажения.

Так, например, если взять слайд посвященной теме когнитивных искажений из моей призентации на UISGv7, то первые пять примеров могут абсолютно точно характеризовать поведение нашего собеседника (а список достаточно не полный)




Где выход? Он очевиден: учить, обьяснять, расширять кругозор. Побольше примеров, особенно тех о которых  мозг собеседника просто «забыл» в круговерти нашей жизни.

В качестве иллюстрации, давай те рассмотрим такое явление как Псевдоним.  Бытует мнение, что человек изменив (исказив) свои данные, например, представившись «вымышленным лицом», создает условия, когда эти данные не могут быть отнесены к ПД. Так то оно так, но часто до поры до времени:  кого Вы скорее идентифицируете (например, укажете на фотографии) Максима Горького или Алексея Пешкова, Ани Лорак или Каролину Куек, Тину Кароль или Татьяну Либерман, Xaocuc-а или Sapran-а???? Для кого-то все написанное есть ПД, а для кого-то только половина, и то не та.

---

«Либимого узнаю  по походке»…  и кому после этого еще нужен паспорт?

В поисках взаимопонимания: ИБ vs ИТ-безопасности

На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление  ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… 

Я воспринимаю такое деление, как  источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному   финансированию и внедрению средств управления ИБ.

Пример из практики:  поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система,  занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются  подчиненные CISO.  Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?

А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности? 

С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)

Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности – "направленной на обеспечение защищенного состояния объекта" (с)  

Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди. 

Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде… 

---

Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело:  выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

В поисках взаимопонимания: Фальш-позитив или таки негатив?

На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?

Эволюция безопасности: от трагедии к фарсу

Гегель когда-то написал, что история повторяются дважды: первый раз как трагедия, а второй — как фарс.

Столкнувшись с проблемой, что  человеческий дух слаб и не редко, люди поставленные охранять, сами же, превращаются в воров, древние римляне обозначили серьезную проблему, возникающую перед каждым, кто пытается построить систему безопасности, подарив изречение ставшее крылатым «Quis custodiet ipsos custodes?».

На фоне недавних проблем у COMODO, HBGary, RSA, сегодня, прочтя сообщение от Vasco, подумалось: учение римлян устарело, пришло время менять парадигму. Ура, Гегелю!!!