Kanały organizacyjne zarządzania incydentami

Replies to This Discussion

Permalink Reply by Marcin Klonowski on May 12, 2009 at 3:59pm

Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne tak szybko, jak to możliwe.
Sadzę że powyższe sformułowanie powinno być przestrzegane. Idealnym przykładem potwierdzającym to pierwsze zdanie jest artykuł „Kradzież tożsamości”, który znajduje się na stronie portalu PC Word(http://www.pcworld.pl/artykuly/57127_0/Kradziez.tozsamosci.html).
Postawmy się w sytuacji tego „pewnego internauty z Hesji”. Co gdyby szybko nie zareagował?

Permalink Reply by Paweł Kalemba on June 8, 2009 at 9:07pm

Analizując zdanie „Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne tak szybko, jak to możliwe.” przypomniał mnie się artykuł na temat portalu społecznościowego, którego tak wielkie grono osób uwielbia, a jeszcze większa grupa mija szerokim łukiem nienawidząc go. Chodzi oczywiście o artykuł o portalu „Nasza-klasa” ( http://nasza-klasa.pl/ ), który wpadł mi w ręce jakiś czas temu. Znalazłem go m. in. na tej stronie http://di.com.pl/news/19171,0,1,Niechciane_zdjecie_Nasza-Klasa_nie_... . I co możemy przeczytać ??? Zgłoszenie nadużycia i … „Zgłoszenia rozpatrywane są w terminie od 2 dni do 2 tygodni.” Ale „Tyle teorii. W praktyce na odpowiedź z N-K odnośnie naszego zgłoszenia przyszło nam czekać aż 3 tygodnie.” Dla jednych to krótko, dla innych całe wieki. A przez „nieprzemyślany incydent”, czyli tak na dobrą sprawę „Kradzież tożsamości” ktoś może złą sławą zostać okryty.

Permalink Reply by Agata Januchowska on May 13, 2010 at 6:58pm

Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne tak szybko, jak to możliwe.
Stwierdzenie tak proste i oczywiste, że chciałoby się powiedzieć banalne. Można to nawet przyrównać do jednej z wielu formułek wpajanych nam przez rodziców np. gdy widzisz pożar dzwoń po straż pożarną. Podobnie jest w tym wypadku. Pracownik powinien wiedzieć na jakie zagrożenia jest narażony korzystając z komputera i jakie nieprzyjemne konsekwencje z braku tej wiedzy mogą wyniknąć.
Często też okazuje się, że jesteśmy nieświadomi zagrożenia. Dobrym przykładem jest np. próba podszycia się przez hakerów pod bank BZ WBK. Rozesłali oni kilka tysięcy maili do klientów z prośbą o podanie numerów kart płatniczych i PIN-ów w celu uaktualnienia rachunku. Więcej na stronie http://wyborcza.biz/biznes/1,101562,7138144,Oszusci_poluja_na_klien....
I jak tu się nie dać nabrać?
Kolejny raz pojawia się kwestia świadomości pracowników. Powinni wiedzieć na co są narażeni (bardzo dokładnie opisała to Marlena), a także powinni wiedzieć kogo poinformować, jeżeli dana sytuacja zaistnieje. I po raz kolejny należałoby się odnieść tu do szkoleń, które pokazują pracownikom nie tylko jak się bronić, ale także jak reagować, gdy obronić już się nie da.

Permalink Reply by Katarzyna Kaczmarek on May 16, 2010 at 12:09am

"Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne tak szybko, jak to możliwe"

Oczywiście, że trzeba zgłaszać jak najszybciej. Taka reakcja powinna być naturalna ze strony pracowników. Jednym słowem im szybciej zareagujemy tym lepiej. Rzecz jasna powinni być o tym poinformowani na szkoleniach, o tym jak to zrobić, gdzie a również jakie są konsekwencje nie zrobienia tego.

Dobrze by było gdyby firmy prowadziły pewnego rodzaju rejestr najczęściej powtarzających się incydentów, dzięki czemu mogłyby się bronić, zastosować jakiś system w celu zmniejszenia niebezpieczeństwa lub może nawet jego eliminacji. W wielu firmach zainstalowany jest system, który umożliwia wykrywanie pamięci przenośnych. Informatycy czuwający nad siecią dostają sygnał dotyczący próby kopiowania plików na pamięć zewnętrzną, a często nawet o samym podłączeniu pendrive’a czy dysku.

Odnośnie kanałów, którymi to przekazujemy, może przedstawię taki banalny przykład. W grze on-line, w którą gram sporadycznie dla zabicia nudy ;) http://www.puzzlepirates.com/ jest specjalny przycisk „report a bug”, którego celem jest poinformowanie twórców o błędach występujących w grze. Sami moderatorzy nawet pojawiając się on-line wysyłają informacje o nie podawaniu haseł itp. w celu uniknięcia kradzieży konta. Przypominają również, że jeżeli ktoś o nas o to poprosi, to najlepiej jak najszybciej to zgłosić.

Tak samo jak Agata powołam się na wypowiedź Pawła: „W praktyce na odpowiedź z N-K odnośnie naszego zgłoszenia przyszło nam czekać aż 3 tygodnie”. Już sam przedział czasowy reakcji na zgłoszenie (2 dni do 2 tygodni) jest zdecydowanie za długi, nie wspominając o jego wydłużeniu. Incydent taki powinien być rozwiązany natychmiastowo. Ostatnio zdjęcie mojej znajomej umieszczone przez nią na naszej-klasie znalazło się na stronie http://demotywatory.pl/. Ktoś wykorzystał jej zdjęcie i umieścił pod nim obraźliwy komentarz. O naruszeniu zostali szybko poinformowani moderatorzy strony i „demotywator” zniknął już następnego dnia.

Ja nie musiałam nigdy zgłaszać nadużyć itp., ale w przypadku stwierdzenia nieprawidłowości nie zawahałabym się skorzystać z odnośników na stronach takich jak „kontakt” czy „ report an issue” .

Permalink Reply by Magdalena Kamińska on May 18, 2010 at 7:27am

Popieram oczywiście zdanie moich poprzedników, że tak długi czas reakcji na zgłoszone naruszenie na portalu ‘nasza-klasa’ jest niedopuszczalny.
Przecież umożliwienie natychmiastowego przekazania informacji dotyczącej zaburzenia bezpieczeństwa informacji jest niezwykle istotne („Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne tak szybko, jak to możliwe.”). Natomiast jeszcze ważniejsza jest reakcja na tę wiadomość.
W tym celu konieczne jest podjęcie odpowiednich kroków przez osobę odpowiedzialną za bezpieczeństwo informacji w organizacji. Powinny być ustanowione procedury, określające postępowanie w takich przypadkach.
Np. w przypadku wielu serwisów internetowych zastosowane są automatyczne narzędzia raportowania błędów.

Permalink Reply by Justyna Narożna on June 9, 2011 at 7:00pm

Do przykładów zdarzeń związanych z bezpieczeństwem informacji i incydentów związanych z bezpieczeństwem informacji wg PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007 zaliczamy:

a)    Utrata usługi , urządzenia lub funkcjonalności;

b)    Przeciążenie lub niepoprawne działanie systemu;

c)    Błędy ludzkie;

d)    Niezgodność z politykami lub zaleceniami;

e)    Naruszenia ustaleń związanych z bezpieczeństwem fizycznym;

f)     Niekontrolowane działanie oprogramowania lub sprzętu;

g)    Naruszanie dostępu.

Szybkość reagowania na większość incydentów nie jest zadowalająca, jednak moim zdaniem ważniejsze jest to, że mamy możliwość ich zgłoszenia. Im szybciej zgłosimy tym szybciej zostaną podjęte w tym kierunku działania. Należy mieć na uwadze również fakt, że zgłaszanie zdarzeń objęte jest procedurami. Ponadto możemy również zauważyć, iż istotną rolę w poprawnym postępowaniu stanowi gromadzenie materiału dowodowego (http://fedcba.ning.com/group/bi/forum/topics/gromadzenie-materialu ) Występowanie incydentów ma wpływ na świadomość użytkowników, sposób reagowania i możliwość unikania ich w przyszłości.