Показ дописів із міткою сдвиг парадигмы. Показати всі дописи
Показ дописів із міткою сдвиг парадигмы. Показати всі дописи

середу, 29 січня 2014 р.

В поисках взаимопонимания: Первый шаг: анализ Конфликтов

Вы хотите быть услышанным? Вы хотите получить поддержку?
Для этого необходимо будет многое сделать, но любой путь начинается с первого шага...

вівторок, 28 травня 2013 р.

(не) Опасно о Безопасности

«— Люди забыли эту истину, — сказал Лис. — Но ты не должен ее забывать. Мы всегда будем в ответе за тех, кого приручили. И ты отвечаешь за свою розу...
— Я отвечаю за свою розу... — повторил Маленький принц, чтобы хорошенько это запомнить.»
Антуан де Сент-Экзюпери, "Маленький Принц" 

Мы иногда так торопимся помочь людям, что забываем посмотреть в зеркало "заднего вида"…
В течении буквально последних двух недель столкнулся с двумя событиями, которые, с одной стороны, кажутся абсолютно безобидными, с другой, вызывают неприятные мысли.

И так, две маленькие истории…

пʼятницю, 22 березня 2013 р.

Парадокс парадоксов

Интересное эссе о парадоксах, которые могут возникать у рекрутеров в связи с требованиями действующих положений Закона Украины «О защите персональных данных», связанных с обязательным получением согласия Субьекта на обработку его ПД, даже для тех случаев, когда данные собираются из открытых публичных источников, более того, представлены самим Субьектом.
Предлагая такой подход законодатель явно руководствовался самими благими намерениями, для того, что бы максимально защитить личность от вмешательства в его жизнь.
Но давайте посмотрим на данную защиту более внимательно…

четвер, 23 серпня 2012 р.

середу, 8 серпня 2012 р.

RA: Единицы Измерения


Энтузиастам ISRA посвящается

Почему-то чаще всего сталкиваюсь с людьми, которые убеждены, что правильным ответом на вопрос: «В каких единицах измеряется Риск?» - является ответ  «в деньгах» (ведь для Бизнеса считаем).
Всегда ли данное утверждение справедливо?

вівторок, 21 лютого 2012 р.

Размышления к Размышлениям


Читал много разных постов разных авторов о использовании «планшетов» в корпоративной среде особенно в контексте проблем ИБ, но сегодня после прочтения поста-размышления Владимира  Безмалого (http://bezmaly.wordpress.com/2012/02/21/tablet-2/) о роли и месте «планшетов» в нашей жизни, пришла в голову шальная мысль:

«Использование «планшетов» – это не ослабление системы безопасности, а метод ее укрепления»

четвер, 17 листопада 2011 р.

В поисках взаимопонимания: ИБ vs ИТ-безопасности


На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление  ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… 
Я воспринимаю такое деление, как  источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному   финансированию и внедрению средств управления ИБ.
Пример из практики:  поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система,  занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются  подчиненные CISO.  Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?
А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности
С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)
Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности"направленной на обеспечение защищенного состояния объекта" (с)  
Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди. 
Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде… 

Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело:  выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

середу, 9 листопада 2011 р.

Best Practice(?)!


Как то в последние дни, просматривая различные статьи о трендах ИБ в головах государственных мужей, поймал себя на мысли, что я как-то неадекватно воспринимаю написанное. Интересно это  люди в растерянности и не знают че б еще такое сотворить или я уж сильно отстал и надо бы восполнять пробелы…

Например вчера на ночь глядя, позабавила Supersleuthing BOFHs could help crack cybercrimes

Буквально несколько цитат:
«System administrators should be the detectives in cyber investigations, a top Microsoft security bod said.»
«The evidence you need to investigate cybercrime is often in the hands of the private sector... and in these cases, the sysadmin becomes lead investigator in the cybercrime case,”
«… then you need to establish 24/7 contacts so that you can access knowledgeable people in any country at any time so that you can at least freeze the info you need before it’s gone...»
Обьективности ради говоривший бывший госслужащий, но ведь «знание и опыт» он приобрел в Департаменте Юстиции США.

Другими словами, ваш Админ должен быть не только компетентным, но и состоять на службе: на правильной "компетентной" службе.

А сегодня утром коллеги обратили внимание, также на вчерашнюю новость, но уже на Securitylab.ru  Американцы разработают программу для создания фальшивых секретных материалов

Какая-то двоякость по прочтению:

"По словам представителей спецслужб, данная программа позволит выявить злоумышленников"
Если эти данные будут размещены на внешних паблик ресурсах, то обращение к ним ну ни как нельзя квалифицировать как "злой умысел"

Если речь идет о инсайдерах и взломе, то зачем об этом писать? Методология распространения дезы  - "стара как мир"...

Как они затем будут разделять дезу от правды? По контенту? Потребуется очень ограниченный  круг лиц - глупость: нереально. Будут специальным образом маркировать документы – не серьезно: взломают.

вівторок, 20 вересня 2011 р.

Эволюция безопасности: от трагедии к фарсу


Гегель когда-то написал, что история повторяются дважды: первый раз как трагедия, а второй — как фарс.

Столкнувшись с проблемой, что  человеческий дух слаб и не редко, люди поставленные охранять, сами же, превращаются в воров, древние римляне обозначили серьезную проблему, возникающую перед каждым, кто пытается построить систему безопасности, подарив изречение ставшее крылатым «Quis custodiet ipsos custodes?».

На фоне недавних проблем у COMODO, HBGary, RSA, сегодня, прочтя сообщение от Vasco, подумалось: учение римлян устарело, пришло время менять парадигму. Ура, Гегелю!!!