воскресенье, 11 сентября 2011 г.

Дайджест ИБ за 5 - 11 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Пост Grecs "Разница между безопасностью и соответствием". Автор приводит диаграмму Венна и короткий видеоролик, очень наглядно показывающие разницу между обеспечением безопасности и обеспечением соответствия, т.е. выполнением только обязательных требований, которым должна соответствовать компания. "Безопасность" - гораздо шире "соответствия", выполнение только обязательных требований может снизить лишь часть рисков компании, к тому же "соответствие" нередко содержит требования по применению избыточных защитных мер в областях, которые не несут рисков для компании.
  • Еще один пост Grecs "Как получить интересную работу", в котором автор резюмировал рекомендации по развитию карьеры специалистов по ИБ, основанные на исследовании 40 тысяч компаний-работодателей. Рекомендации довольно неожиданны - авторы исследования рекомендуют специалистам ИБ меньше углубляться в отдельные области ИБ, а сосредоточиться на получении более широких знаний и опыта. В частности: развитие практических навыков в различных технологиях, изучение не технических аспектов ИБ (политики, процедуры и т.д.), развитие коммуникационных навыков (умение писать, проводить презентации, "продавать" себя и свои идеи), умений разговаривать с бизнесом (умение влиять, говорить на языке бизнеса, переводить технические риски в бизнес-риски),  понимание структуры организации, корпоративного управления, знание законодательства, умение определить путь развития собственный карьеры, фокусирование на областях, актуальность которых растет (например, мобильные угрозы). Более подробно ознакомиться с результатами исследования можно в этом подкасте (на английском).
Интересные статьи и заметки по менеджменту, коммуникациям
  • Перевод статьи Troy Marshall "Как написать повестку дня собрания". Трой обращает внимание на самые важные моменты, которые позволят сделать собрание действительно эффективным. В частности, Трой рекомендует заранее определить цели собрания, обсуждаемые вопросы и подготовить повестку, заранее определить время, место и длительность собрания, а также роли и обязанности его участников. Из обсуждения следует исключить любые вопросы, которые можно решить иным способом.  Самое важное - все участники должны иметь возможность заранее подготовиться к собранию.
Стандарты, руководства, лучшие практики, исследования
  • Специалисты компании Godai Group провели исследование возможности утечки конфиденциальной информации вследствие ошибок и описок в наборе адреса электронной почты (например, @mailcompany.com вместо @mail.company.com). Они взяли список крупнейших компаний США, выбрали те из них, которые потенциально подвержены таким ошибкам (их оказалось порядка 30%), и зарегистрировали соответствующие домены... В результате за 6 месяцев они получили около 120 тысяч писем, содержащих более 20 ГБ информации, в т.ч. коммерческая тайна, счета, персональные данные, схемы компьютерных сетей, аутентификационные данные и т.п. Также исследователи говорят, что зафиксировали множество попыток подключения к своим доменам по служебным протоколам, что при желании также можно было использовать для получения аутентификационных данных. Здесь можно посмотреть более подробную информацию об исследовании, а здесь - сам отчет исследователей.
Новости
  • В интернете распространяются новые вредоносные программы-вымогатели. Одна из таких вредоносных программ атакует русскоязычных пользователей, блокируя систему и требуя от пользователя заплатить штраф якобы за хранение на компьютере видеоматериалов с детским порно. Другая вредоносная программа направлена на немецких пользователей Windows - она требует, чтобы пользователь оплатил лицензию за операционную систему, так как она не прошла проверку подлинности.
Инциденты за неделю

Комментариев нет: