|
 
INTERVJU: Dr. Daniel Blander, direktor ameriškega podjetja Techtonica Hari Murćehajić: LEGITIMNE SPLETNE STRANI V NEVARNOSTI Gorazd Božič: UPRAVLJANJE Z INCIDENTI Marko Potokar: UPRAVLJANJE VARNOSTNIH DOGODKOV IN ZAGOTAVLJANJE DOKAZOV Matej Saksida: UPRAVLJANJE INCIDENTOV PRI VAROVANJU INFORMACIJ Pavle Okorn: SMO ZRELI ZA IMPLEMENTACIJO IP VIDEO NADZORNEGA SISTEMA Janko Šavnik: VARNOSTNI INCIDENTI: UKREPANJE IN PREISKOVANJE Edvard Šilc: ZASEBNOST V AVTOMOBILU Matej Tušak: BREZ AKCIJE NI REZULTATA! NAPOVEDNIK INTERVJU: Vanja Nastran, Palsit d.o.o. TEMA MESECA: Neprekinjeno poslovanje
INTERVJU: Dr. Daniel Blander je direktor ameriškega podjetja Techtonica, ki se ukvarja s svetovanji na področju kriznega upravljanja informacijske varnosti. Letos je Daniel nominiran za varnostnega inženirja leta v Zahodnih Združenih državah Amerike.
 Ste lastnik podjetja Techtonica. Nam lahko poveste kaj več o vašem podjetju in vašem poklicu (delovno mesto, vsakodnevno delo, nagrade itd.)?
Moje podjetje in delo sta osredotočena na pomoč podjetjem pri razumevanju varnosti in obvladovanju informacijskega tveganja. Sodelujemo z različnimi podjetji po vsem svetu, da bi jim pomagali vzpostaviti programe za varnost in obvladovanje tveganja ter izbrati ustrezne strategije za blažitev njihovega tveganja. Nudimo usposabljanje in svetovanje obstoječim skupinam za informacijsko varnost, da bi lahko razvijale svoje sposobnosti, izboljšale pristop ter povečale uspešnost pri varovanju informacij ter zagotavljanju vrednosti za organizacijo. Imamo odlično ekipo svetovalcev, v kateri so nekdanji CSO-ji, vodje oddelkov iz 4 velikih svetovalnih podjetij ter priznani strokovnjaki s področja varnosti. Naše storitve vključujejo oceno in obvladovanje tveganja za informacije, strukturo in organizacijo varovanja, politiko in postopke, neprekinjeno poslovanje, napade in vdore, zasnovo sistemske in omrežne varnosti ter združljivost z zakoni za varovanje zasebnosti PCI, EU & ZDA, Sarbanes-Oxley 404, HIPAA ter ameriškimi predpisi za finančne storitve (FFIEC/FDIC/NCUA).
Imam certifikata CISM in CISSP, leta 2008 pa sem bil nominiran za nagrado za najboljšega strokovnjaka za informacijsko varnost za zahod (Združene države Amerike). Prej sem delal kot CTO pri družbi Applied Computer Solutions ter vodil oddelek za varnost pri Ernst & Young, LLP. Redno predavam na ISACA, University of California Irvine, ter na različnih konferencah za uporabnike po vsem svetu.
Nominirani ste za nagrado za najboljšega strokovnjaka za informacijsko varnost za leto 2008 za zahodni del ZDA. Nam lahko poveste kaj o tej nagradi?
To je zelo spoštovana nagrada v ZDA, sponzorira jo Združenje strokovnjakov (Executive Alliance). Vsako leto strokovnjaki s področja informacijske varnosti iz celotne države nominirajo strokovnjake za informacijsko varnost, ki se posebej odlikujejo pri svojem delu, zlasti glede strokovnosti in inovativnosti. V preteklosti so nagrado dobili višji referenti za varnost družb Walt Disney, Nike, JPMorgan Chase & Co, Texas Instruments in Motorola. Odbor sodnikov preveri nominirance in izbere zmagovalca. Vsi nominiranci se zberemo par dni pred vrhom, da bi si izmenjali ideje, razpravljali o sodobnih trendih in se veliko naučili o tem, kako se drugi vodilni na tem področju soočajo z največjimi izzivi. Bil sem navdušen in sem užival v vsaki minuti. Vznemirjen sem bil, da so me nominirali, še bolj pa, ko sem izvedel, da moji izzivi in strategije odražajo izzive in strategije drugih nominirancev.
na vrh
 Hari Murćehajić: Legitimne spletne strani v nevarnosti
Čeprav se je zavedanje uporabnikov glede internetnih strani izboljšalo, jih veliko še vedno meni, da jih izogibanje sumljivim internetnim stranem lahko obvaruje pred okužbo s škodljivimi kodami. Škodljive kode na internetu so navadno povezane s škodljivimi ali sumljivimi, ne pa z legitimnimi spletnimi stranmi. Ker pa noben sistem ni 100 % varen, medmrežni kriminalci izkoristijo zaupanje uporabnikov določenim internetnim stranem in infiltrirajo škodljivo kodo v njihov sistem ... na vrh
 Gorazd Božič: Upravljanje z incidenti
Upravljanje s tveganji je metoda, ki jo vede ali nevede uporabljamo pri vseh odločitvah, ki se tičejo varnosti in zaščite infrastrukture IKT. Začne se z oceno tveganja, brez katere se niti ne moremo smiselno odločiti o tem, kakšne ukrepe moramo uporabiti, da tveganja zmanjšamo. Vsakič, ko se stanje infrastrukture spremeni (pa naj gre le za priklop novega kopirnega stroja), se odvije postopek ocene tveganja in na podlagi tega sprejmemo neke odločitve. Tudi če se zdi, da tega procesa sploh ni, in v podjetju priklapljajo naprave na omrežje brez razmisleka o strukturi omrežja in ustrezni zaščiti, lahko v bistvu posplošimo, da je nekdo tveganja ocenil kot nepomembna in odločil (ali dopustil, da se tako zgodi), da zaščita ni potrebna ... na vrh
Marko Potokar: Upravljanje varnostnih dogodkov in zagotavljanje dokazov
Večinoma nam je upravljanje z incidenti domače. Zadeva ni nova ne računalničarjem ne strokovnjakom z drugih področij. Dežurstva izven rednega delovnega časa se že dolgo dotikajo operaterjev, sistemskih in drugih inženirjev ter razvojnikov. Kako so bili odzivi izpeljani in poročila pisana, je seveda stvar interpretacije. Podjetja imajo obvladovanje incidentov večinoma kar dobro urejeno, morda tu pa tam manjka še kakšno podrobnejše navodilo o odzivu na dogodek, predvsem natančna meja eskalacije odziva, vedno je problem tudi s poročili, ampak praksa načeloma kar lepo deluje ... na vrh
 Matej Saksida: Upravljanje incidentov pri varovanju informacij
Med najpogostejšimi incidenti najdemo izgube storitev, opreme ali zmogljivosti, okvare ali preobremenitev sistemov, človeške napake, nezdružljivost s politikami ali smernicami, kršitve sporazumov o fizičnem varovanju, nenadzorovane spremembe sistema, okvare strojne ali programske opreme in kršitev dostopa. Upravljanje z incidenti pa je proces, ki zaznava, beleži in rešuje vse primere neželenih ali nepričakovanih dogodkov. Njegov namen je obnova normalnega delovanja storitev informacijske tehnologije v čim krajšem času in s čim manjšimi motnjami poslovanja. Cilj upravljanja incidentov pri varovanju informacij je torej zmanjšati škodljiv vpliv teh dogodkov na poslovanje ... na vrh
Pavle Okorn: Smo zreli za implementacijo videonadzornega sistema z IP kamerami
Prepričan sem, da večina uporabljenih sistemov v Sloveniji ne zadovoljuje niti najbolj osnovnih zahtev varovanja računalniških sistemov. Mogoče je še bolj bogokletna trditev, da se tega večina podjetji sploh ne zaveda, niti strankam ne omogoči razumevanja sistemskih rešitev in potreb po varnostnih procedurah, ki jih ti sistemi zahtevajo. Če bi to hoteli udejanjati, bi morali imeti veliko več znanj. Ta znanja pa se ob predavanju za licence sploh ne omenjajo niti niso na sporedu učenja. Kako banalno. Varujemo zato, da še bolj izpostavljamo ... na vrh
 Janko Šavnik: Varnostni incidenti: ukrepanje in preiskovanje
Varnostni incidenti se dogajajo domačim uporabnikom in podjetjem. Število varnostnih incidentov je običajno povezano z velikostjo podjetja oziroma velikostjo IT. Ne glede na število varnostnih incidentov pa bi morali biti ukrepi ob njihovi zaznavi pravilni, da se prepreči morebitna nadaljnja škoda ter da se čim hitreje odkrijejo in odpravijo vzroki za varnostne incidente, kakor tudi zavarujejo vsi podatki, ki bi lahko pripomogli k odkritju krivcev. Poleg tega pa mora biti postopek preiskovanja tak, da je izsledke mogoče uporabiti v morebitnem disciplinskem ali kazenskem postopku ...
na vrh
Edvard Šilc: Zasebnost v avtomobilu
V preteklem obdobju smo živeli z izhodiščem, da policisti ustavljajo le voznike pri kontroli prometa. Kontrola dokumentov ali stvari, ki jih nosimo s seboj, so bile možne le ob sumu prekrška ali kaznivega dejanja. V mnogih primerih se je za to dejavnost policije zahtevala tudi ustrezna sodna odredba. Z vstopom v šengenski pravni red pa se je to spremenilo, ker je v 29. členu zakona o nadzoru državne meje zapisano, da lahko policisti osebo natančno pregledajo, če sumijo, da poseduje prepovedane stvari. Pregled je lahko zelo dosleden in ga omeji šele najbolj intimna stopnja pregleda telesnih odprtin ... na vrh
 Dr. Matej Tušak: Brez akcije ni rezultata!
Dr. Matej Tušak je športni psiholog in profesor na Fakulteti za šport. Glavni del njegovega ukvarjanja s področjem psihologije športa je vezan na pripravo vrhunskih športnikov na največja tekmovanja. Tušak pravi, da je šport kovnica idej, športne zgodbe vrhunskih športnikov pa so idealni vedenjski vzorci o tem kako načrtovano doseči uspeh, kaj je potrebno storiti zanj, koliko je potrebno vložiti vanj in na kaj vse je potrebno biti pripravljen ob težavah na poti. Danes, v sodobnem svetu je bitka za uspeh vse hujša in na vsakem koraku iščemo uspešne modele, ki bi nam pomagali najti pot do uspeha. Vrhunski šport je zagotovo bazen idej, ki pomagajo razumeti, kakšne lastnosti je potrebno razvijati na poti k uspehu v storilnostnih dejavnostih, kako se soočati s težavami in kako uspešno reagirati v stresnih situacijah. Po drugi strani so mnoge športne zgodbe idealni modeli, ki nas učijo, kako je včasih tudi nemogoče mogoče, če so ljudje vztrajni in motivirani in če poznajo sliko želenega uspeha ...
na vrh
Več informacij v tiskani izdaji revije Varnostni forum.
 NAPOVEDNIK
VANJA NASTRAN, vodja projektov v Oddelku svetovanja v podjetju Palsit d.o.o.
Še nekaj dni nas loči do novega leta, staro pa nas zapušča zaznamovano s strahom in negotovostjo. V času, ko svet spremlja recesija, je še toliko bolj pomembno, da v podjetju poskrbimo za neprekinjeno poslovanje ter se s tem izognemo takšnim in drugačnim »presenečenjem«. O tem, kako dosežemo učinkovito pripravo in izvajanje načrta neprekinjenega poslovanja, se bomo pogovarjali z Vanjo Nastran, vodjo projektov v Oddelku svetovanja v podjetju Palsit d.o.o. Vanja se ukvarja predvsem s projekti svetovanja na področju upravljanja neprekinjenega poslovanja v podjetjih in organizacijah. V januarski številki Varnostnega foruma boste našli veliko nasvetov, ki vam bodo v pomoč, da bo vaše poslovanje potekalo »kot po maslu«.
na vrh
|
