RSS
piątek, 29 stycznia 2010
Pomyłka w wysyłaniu poczty

Warto sprawdzać do kogo wysyłamy email.

JS do JN i NW:

Mam do zaproponowania pomysł

JN do JS(!):

Wygląda mi to na zawodowego organizatora czarnego PR a sam e-mail jest elementem szantażu.

JN do JS:

Otrzymałem od Pana dość dziwny e-mail, czy mógłby Pan wyjaśnić bliżej, o co Panu chodzi?

Pełna historia i rozwinięcie inicjałów: Gazeta Finansowa

12:05, tmkasprzak
Link Dodaj komentarz »
czwartek, 28 stycznia 2010
Lekceważone bezpieczeństwo personelu

Kiedy przeglądarka internetowa stała się podstawowym programem na komputerze i powstają projekty systemów operacyjnych służących głównie uruchomieniu przeglądarki, trochę w cieniu "dziur w aplikacjach" pozostają pewne tradycjne aspekty zapewnienia bezpieczeństwa. Przykładem takich zapomnianych obszarów bezpieczeństwa jest bezpieczeństwo osobowe, albo bezpieczeństwo zasobów ludzkich. Pisaliśmy już o przykładzie błędu w zarządzaniu bezpieczeństwem osobowym 

Wystawiając jakąś usługę do Internetu (zwykle) pamiętamy, że próbować może z niej skorzystać każdy - stąd zwykle jest w nich wiele zabezpieczeń. Pracownicy, np. administratorzy mogą zrobić więcej, więc powinniśmy móc im zaufać. Według standardu zarządzania bezpieczeństwem informacji ISO 27001, "cykl życia" pracownika w organizacji składa się z trzech etapów:

  • przed zadrudnieniem,
  • podczas zatrudnienia,
  • przy zakończeniu lub zmianie zatrudnienia.

Przed zatrudnieniem powinniśmy określić wymagania wobec pracownika i zweryfikować, czy te wymagania spełnia. Tu pojawia się "postępowanie sprawdzające, czyli background screening.

Podczas zatrudnienia, powinniśmy wymagać od pracowników przestrzegania określonych zasad, szkolić pracowników, a w razie naruszenia zasad - wyciągać konsekwencje. Przy zakończeniu zatrudnienia zadbać odebranie uprawnień dostępu i "aktywów". To czasem ignorowany kompletnie aspekt, bo nieodebranie uprawnień zwykle przeszkadza mniej, niż nienadanie uprawnień człowiekowi, który jest w pracy.

Niepowodzenie w doborze personelu może powodować duże konsekwencje. Podczas gruniowych ataków na Twittera pojawiły się sygnały, że do podmiany wpisów DNS wykorzystano konta administratorów serwisu - pojawiły się podejrzenia, że pracownik Twittera mógł być członkiem grupy, która dokonała ataku. Do kont ludzi Twittera włamywano się jednak już wcześniej. Także we włamaniu do usług Google w Chinach sygnalizuje się możliwość działania pracowników firmy.

Czasami porażkę powodują znudzeni ochroniarze w banku.

Kiedy pojawiły się pierwsze komunikaty o kradzieży napisu z Auschwitz  byłem przekonany, że okaże się, że przynajmniej niektórzy ochroniarze są neonazistami lub z nimi współpracowali. Byłby to przykład porażki w postępowaniu sprawdzającym. Na szczęście nic na to nie wskazuje.

Coś jednak się zmienia. W USA wzrasta odsetek pracowników poddawanych postępowaniom sprawdzającym. Problem dopuszczalności przeprowadzania postępowania sprawdzającego dostrzegli Generalny Inspektor Ochrony Danych Osobowych i Minister Pracy i Polityki Społecznej  (także tu). Co ciekawe, z artykułu wynika, że sprawdzanie przeszłości pracownika jest niedopuszczalne - a z taką tezą zgodzić się nie mogę. Zakres informacji, które można zbierać jest ograniczony przepisami art. 221, ale nie do takiego stopnia, aby uniemożliwiać sprawdzenie przeszłości kandydata do pracy. Słabo wygląda jednak kwestia sprawdzania niekaralności kandydata, jeśli nakazuje tego pracodawcy przepis ustawowy.

22:24, tmkasprzak
Link Dodaj komentarz »
wtorek, 26 stycznia 2010
Ewidencjonowanie ważnych dla organizacji dokumentów

Jak donosi portal onet.pl podając za Dziennikiem Gazetą Prawną (link do wiadomości tutaj) w Ministerstwie Sprawiedliwości została przeprowadzona w 2008 roku kontrola dotycząca ewidencjonowania i zabezpieczenia materiałów dowodowych z ważnych śledztw i postępowań sądowych.

Niejeden z nas zadaje sobie pytanie patrząc na relacje z Polskich sądów - "jak oni panują nad tymi stertami akt sądowych". W każdym obrazku z sali sądowiej pokazywane są sterty teczek, dokumentów i innych papierów. Otóż odpowiedź w przytaczanym artykule jest dosyć prosta - nie panują :).

  • nie ewidencjonowanie dokumentów sprawy
  • osoby uczestniczące w postępowaniu nie posiadające wiedzy gdzie akta się znajdują
  • tajemnicze wędrówki dokumentów ze śledztw między kancelariami

to tylko przykłady zachowań z takich śledztw jak w przypadku śmierci generała Papały, czy afery Rywina. Zresztą trudno się dziwić. Skoro istnieje podejrzenie iż stosuje się do ochrony tego typu dokumentów wyłącznie wymagania ustawowe ochrony informacji (których możliwość praktycznego wykorzystania jest dosyć ograniczona) to trudno się dziwić.

Na pewno w takim przypadku wymagane byłoby ustalenie skutecznych zasad ewidencjonowania i ochrony informacji pod kątem jej poufności i integralności. Nie oglądając się na wymagania prawne (będąc z nimi co prawda w zgodzie), ale dodając "coś" ekstra w postępowaniu z tak licznymi zbiorami można zrobić z tym porządek. Zwłaszcza iż akta spraw bardzo często są przenoszone, zmienia się skład osobowy zespołów prowadzących śledztwa itp.  Również zarządzanie uprawnieniami dostępu do tak licznych zbiorów akt może być mocno utrudnione.

Trzeba tylko chcieć coś zrobić i nie chcieć ponosić porażek  bezpieczeństwa..

09:25, wkasprz
Link Komentarze (1) »
czwartek, 21 stycznia 2010
Bezpieczeństwo usług świadczonych przez stronę trzecią.

W Gazecie Wyborczej w artykule "Libacje ochroniarzy Pekao S.A. [.]" (dostępny pod tym adresem) można przeczytać o takich rzeczach, ze musiałem dwa razy przeczytać tekst, żeby do mnie dotarło czy to aby na pewno nie żart. Jeszcze tylko zerknięcie na kalendarz czy dzisiaj nie jest na pewno 1 kwietnia.

Ochroniarze zatrudnieni przez Pekao S.A. urządzali sobie w miejscu pracy (Centrali banku!) takie ot sobie libacje alkoholowe. Zapraszali dziewczyny, otwierali wódeczkę i impreza do rana na całego. Pomijam już fakt, iż tego rodzaju zachowanie w miejscu pracy jest naganne i kwalifikuje się bez żadnego naciągania na artykuł 52 kodeksu pracy. Natomiast zastraszający w tym wszystkim jest fakt, ze mogło podczas tych imprez dojść do ujawnienia informacji o zabezpieczeniach, klientach i planach budynku w których znajduje się bank. Nie żyjemy co prawda w czasach Henryka Kwinto, i nie należy sie raczej spodziewać zuchwałego włamania do skarbca banku, z którego wyciągnie się ciężarówkę ze złotem, jednak wizerunek banku został tak mocno nadszarpnięty, że straty z pewnością można liczyć w grubej gotówce. Kto jest teraz chętny na założenie lokaty? Albo konta osobistego?

Zdumiewa również informacja, iż to nie pierwszy raz taka sytuacja miała miejsce. Tymczasem są dosyć proste metody żeby zapobiegać tego typu sytuacjom.

  • prosty audyt podwykonawcy;
  • upewnianie się iż pracownicy są szkoleni;
  • przegląd zapisów video w odpowiednich odstępach czasu;
  • dostarczanie pracownikom ochrony wniosków odnośnie ich codziennej pracy (na podstawie zebranych materiałów audytowych);

Jeżeli tylko ktoś z pracowników Banku skorzystałby z dobrych praktyk w zakresie zapewnienia ochrony informacji, o których można nawet w internecie przeczytać - nie jest to żadna tajemna wiedza - to z dużą dozą prawdopodobieństwa uniknąłby tego rodzaju kompromitacji. Każdy pracownik, nawet największy ignorant i olewus, jeżeli będzie wiedział że ktoś przygląda się jego pracy, czy też może być audytowany od czasu do czasu, że istnieją zasady i standardy pracy w danym banku których trzeba przestrzegać żeby nie wylecieć, na pewno sie zastanowi kilka razy zanim urządzi taką imprezkę.

W normie ISO/IEC 27001 jest mowa o identyfikowaniu ryzyk przy usługach świadczonych przez stronę trzecią. Są też wskazówki jak dokonywać audytów i przeglądów realizowanych przez pracowników lub podwykonawców obowiązków. Można bardzo łatwo opracować zasady pracy pracowników ochrony, które wyeliminują tego typu zachowania, jeżeli nie całkowicie to chociaż mocno ograniczą możliwość ich wystąpienia.. trzeba tylko chcieć to zrobić...

08:19, wkasprz
Link Dodaj komentarz »