Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Radim Nový 26. 12. 2011, 19:55:30
-
Dobrý den přeji všem :) chtel bych se vas jako odborniku v IT zeptat, co by mel umet spravny odbornik na pocitacovou bezpecnost? jsem jeste studentem stredni skoly, a toto odvetvi me velice zaujalo :) proto bych chtel vedel co vsechno konretne se musim naucit?? (site,jazyky a jine veci) budu vdecny za kazdou odpoved ;)
Diky moc predem
-
a co od toho ocekavas? bezpecnost siti a serveru nebo spise firemni bezpecnost, ohranu dat etc? Site budou nezbytnost, programovani alespon zakladni C, bash, python a v neposledni rade operacni systemy od microsoftu, linux a UNIX. Co se tyce bezpecnosti siti a systemu tak velice dobre materialy jsou zde:
http://www.offensive-security.com/. Ze vseobecnych znalosti mluvou certifikaci bych se vydal A+, Network+, Security+ a pote se zameril bud na nektere specifictejsi certifikace zabyvajici se problematikou bezpecnosti (ethical hacker etc.) urcite stoji za zminku nektere ze zakladnich certifikaci cisco. Certifikacni zkousky nejsou samy o sobe tak drahe (relativne), obrovsky drahe jsou vetsinou skoleni. Pokud se dokazes ucit sam z materialu (vetsina je pokoutne ke stazeni na netu, ale nikomu to nerikej) tak nemas problem. Nejlepsi nastroje pro trenink je pak obstojnej laptop s linuxem, nejakej ten virtualizator (virtual box, vmware player) na testovani OS a GNS na testovani siti. Nepotrebujes hromadu zeleza a s dostatecne velkym diskem nasimulujes temer cokoliv.
-
taky zalezi asi jestli chces bejt manager nebo technicky pracovnik, v tom je velky rozdil. Manager managuje lidi a nemusi znat nejnovejsi exploit techniky a vsechny flagy TCP paketu, kazdopadne i tak asi ty site, programovani, operacni systemy by mel umet imho dobre (orientovat se dobre a hbyte, v podstate cim vice vedomosti a zkusenosti, tim lepe). Manager musi mit dobre people skills, soft skills, umet vest lidi atd. Jinak trhu afaik chybi IT pracovnici, takze imho nebude problem se zamestnanim (Praha, Brno), staci mit dobry zaklad (umet dobre ty technicke veci), nejaky vzdelani, pak nekde naberes praxi, kde se remeslu naucis konkretne (te vychovaj). U IT security imho plati "cim vice vis a znas veci, tim lepe", hlavne ty low level teda :) hth
-
jeste sem zapomnel k tem managerum rict, ze by meli byt reprezentativni (dobre vystupovani) atp. - to je velmi cenne u manageru imho, protoze dela prezentace a hodne mluvi atp.
-
Super dekuji moc za tolik informaci :) tak se vrhnu do studia siti, OS atd...
-
Čteš Bezpečnostní střípky, které tady na Rootu vychází? Pokud je budeš číst včetně všech odkazů, myslím, že rychle zjistíš, o čem vlastně ta bezpečnost v praxi je...
Jinak pokud ti jde skutečně o management, tak si myslím, že je to víc o znalosti metodik (ne jen bezpečnostních, ale i projektového řízení apod.) než o jednotlivých technologiích. Zkus si třeba pro začátek něco málo přečíst o ITIL, Six Sigma apod. - možná zjistíš, že by tě to nebavilo a raději bys než manažera dělal bezpečnostního specialistu.
-
Stan se hackerem a nenech se chytit. Po par letech se prihlas k par utokum a prohlas ze jsi presel k bilejm kloboukum a mas o praci postarano.
-
Chceš být manažerem po škole? Taková pohroma!
Ono se to nezdá ale dobří manažeři jsou o tom že dokáží lidi chápat, motivovat a celkově dobře s ubermensch vycházet, mají hodně kontaktů. Úroveň znalostí problematiky je skoro až na posledním místě. Hlavně ty kontakty.
Chceš-li si vydělávat tím že řešíš exploity, ziskové je nejlépe prostě hledat a prodávat ať už černejm (různé phishing gangy) nebo bílejm figurkám (Coseinc, ZDI, iDefense, Secunia, Immunity..), případně si založit vlastní gang (v cz např Nethemba).
Bejt zašitej v ňákym megacorpu je ve srovnání s tim dost hatecore, ale lidi to berou kvůli jistotám nebo proto že jim ta kultura vyhovuje (tj jsou to manažeři).
-
Docela mě překvapuje, že zdejší odborníci neuvedli:
ČSN ISO/IEC 27000
ČSN ISO/IEC 27001
ČSN ISO/IEC 27002
ČSN ISO/IEC 27003
ČSN ISO/IEC 27004
ČSN ISO/IEC 27005
ČSN ISO/IEC 27006
ČSN ISO/IEC 27011
ČSN ISO/IEC 27031
ČSN ISO/IEC 27033
ČSN ISO/IEC 27035
ČSN ISO/IEC 27799
+ další, které se připravují
Holt pro některé odborníky je bezpečnost v IT jen o exploitech :-(
-
V realu ve velkych korporacich je IT Security manager clovek, kterej nic moc neumi i kdyz je velice dobre placeny. A vsem lidem okolo sebe rika co vsechno nejde, a hazi klacky pod nohy ostatnim. Pro takovou karieru potrebujes ostry lokty a dobry self-promotion.
Pokud te opravdu zajima pocitacova bezpecnost, tak se koukni na www.nsa.gov a tam si najdi security guidelines pro jednotlivy OS.
V realu ale prace security managera spociva v papirovani. Vetsinou jde o to, ze tvoje firma potrebuje ziskat nejakou certifikaci a tak security manager ve spolupraci s nejakou drahou poradenskou firmou sepise stohy smeric, ktery se nasledne ulozi do skrine a pada na ne prach.
-
Hacker se člověk nestane jen tak, musí se tak narodit ;D ja bych ti osobně doporučoval podívat se na kryptografií, sítě, perl a jazyk C !! Samozřejmě pak bash, unixové systémy a windows
-
Docela mě překvapuje, že zdejší odborníci neuvedli:
ČSN ISO/IEC 27000
ISO27K se dodrzuje asi tolik jako ISO9K - tzn neni od veci generovat penize udelovanim certifikaci firmam, podobne jako certifikace lidem (cissp). Prakticky je ale oboji o nicem.
Takze jo, je to o tech exploitech. Protoze v tech papirech nikde neni napsany "Ne, neklikej na .doc prilohu ve kery je msword 0day"). Jednoduse proto ze takova jest denni praxe a utocnici se orientuji na realitu dne, nez na to co by "melo byt".
-
ISO27K se dodrzuje asi tolik jako ISO9K - tzn neni od veci generovat penize udelovanim certifikaci firmam, podobne jako certifikace lidem (cissp). Prakticky je ale oboji o nicem.
Takze jo, je to o tech exploitech. Protoze v tech papirech nikde neni napsany "Ne, neklikej na .doc prilohu ve kery je msword 0day"). Jednoduse proto ze takova jest denni praxe a utocnici se orientuji na realitu dne, nez na to co by "melo byt".
Ale je tam napsané, že máš takový papír vyrobit.
Většina větších problémů je způsobena procesními problémy. Chyby softwaru jsou a budou. Důležitější je chybám předcházet - opět metodická záležitost a vyrovnávat se s jejich následky (řízení rizik). Testování software systémem blackbox (script kiddies) je pochopitelně také důležité, ale je to spíš doplňková metoda, při které se jednoduše přehlédne většina problémů. Bohužel snad všichni studenti vidí pod IT bezpečností právě jen tuhle malou (opravdu malou) část.
-
Ono to je ve znacne mire i ovlivneno faktem, ze se u nas bezpecnost velice casto podcenuje. Firmy setri na nespravnych mistech a pak se divi. Je jedno jestli se jedna o malou, stredni nebo nadnarodni spolecnost, nicmene cim nize klesate, tim vice je bezpecnost opomijena. Nejvetsim problemem bezpecnosti celkove je lidsky faktor, protoze to, ze Vam citliva a supertajna data vynese z firmy zamestnanec ktereho jste oskubali na premiich je daleko pravdepodobnejsi, nez-li ze jste se stali cilem profesionalniho hackera.
-
Většina větších problémů je způsobena procesními problémy. Chyby softwaru jsou a budou. Důležitější je chybám předcházet - opět metodická záležitost a vyrovnávat se s jejich následky (řízení rizik). Testování software systémem blackbox (script kiddies) je pochopitelně také důležité, ale je to spíš doplňková metoda, při které se jednoduše přehlédne většina problémů. Bohužel snad všichni studenti vidí pod IT bezpečností právě jen tuhle malou (opravdu malou) část.
Hrani pokru je taktez o rizeni rizik :) Urcite se nehadam ze korektne implementovane procesy jsou k nicemu. Jen se pozastavuji nad tim ze z toho prakticky lezou nesmysly protoze si laskavi generatori cancu neuvedomuji souvislosti. Napriklad je velice caste zakazovat odchozi http jednak kvuli tomu aby lidi v ofisech necuceli do fejsbucku, ale druhak kdyz uz se nejaky ten trojan prifari, nema se jak dovolat domu. Zde je prave ten problem protoze to zastavi 99% necilenych utoku (rizeni rizik) ale rozumny utocnik umi vyuzit postranni kanaly na ktere se zapomina (typicky dns/email/smb pipe...).
Script kiddie (rozumej nessus/metasploit) pristup nikdy nikoho nehacknul/nezachranil a kazdej normalni clovek s takovym security "guru" vyrazi dvere. A 0day zranitelnosti bych takto zrovna nenazyval (presto ze se pouzivaji pouze v kvantech malych), ponevadz vzkutku byvaji prvotnim a cenenym vstupnim bodem.
O cemze tady flejmujem? Smeteni technickeho aspektu ze stolu s tim ze to zachrani nejaky papiry je dosti kratkozrake. Stejne tak jako je kratkozrake pro utocniky ignorovat vyse uvedene ISO standarty.
-
A nezapomen na assembler, ten je taky potreba ::)
-
Ono to je ve znacne mire i ovlivneno faktem, ze se u nas bezpecnost velice casto podcenuje. Firmy setri na nespravnych mistech a pak se divi. Je jedno jestli se jedna o malou, stredni nebo nadnarodni spolecnost, nicmene cim nize klesate, tim vice je bezpecnost opomijena.
Problém bezpečnosti je ten, že negeneruje přidanou hodnotu. Je na tom podobně (spíš hůře) jako zálohování. Nalijte xxx € do něčeho, co v podstatě není vidět, nepoužívá se a nic nového z hlediska zákazníka nepřináší. Já bych ty prostředky raději nalil do funkcionality pro uživatele. Jenže to bohužel nejde a je nutný kompromis. I proto black hats nesnáším.
Nejvetsim problemem bezpecnosti celkove je lidsky faktor, protoze to, ze Vam citliva a supertajna data vynese z firmy zamestnanec ktereho jste oskubali na premiich je daleko pravdepodobnejsi, nez-li ze jste se stali cilem profesionalniho hackera.
Tak tak. Ty uvedené standardy se snaží řešit bezpečnost na několika úrovních. V podstatě není větší problém sebrat z leckterého hostingu v CZ cizí mašinu nebo si ji napíchnout. Ne pro každého je problém zvednout zadek od klávesnice. A proto mám problém uznávat i white hats jako bezpečnostního specialistu. Jde jen o specialistu na penetrační testy.
Mimochodem před 2 měsíci náš systém procházel bezpečnostním auditem vládou schváleného auditora. Detaily zveřejnit nemohu, ale 2 linuxáři, co prováděli penetrační testy, byli fakt zábavní. Naprosto se trefili do mého skeptického pohledu na takové lidi. Ne že by byli hlupáci a s linuxem neuměli. To bych jim křivdil, ale z hlediska bezpečnosti naprostá nekoncepčnost.
Já vidím IT security managera spíš jako projektového managera, který ovládá nějakou metodiku IT bezpečnosti (např. tu standardizovanou) a pro projekty využívá nejrůznější specialisty (a mezi nimi i penetračního), protože nemá šanci obsáhnout celou oblast IT bezpečnosti detailně sám.
-
Ja si myslim ze problematika zalohovani dat muze byt klidne zahrnuta v praci bezpecnostniho manazera. Jde tady prece jen o bezpecnost dat jako takovych a to nejen pred nenechavymi uzivateli ale i pred ruznymi vnejsimi vlivy.
Z tveho popisu vypliva, ze dokonalym bezpecnostnim managerem je Kevin Mitnick :). Tady se dostavame znova k otazce, zda-li chce zadatel byti tim managerem, nebo bezpecnostnim technikem.
Pravdu je, ze u vetsiny poskytovatelu u nas neni vetsinou problem ziskat fyzicky pristup k masine a na to se velice casto zapomina. Dokonce si pamatuju na prekvapeny vyraz typka, co mel na starosti servery jedne velke prazske sluzby v jedne nejmenovane hostingovce kde jsem kdysi brigadnicil, kdyz jsem mu ukazoval ulozeni serveru etc a on ze si zapomnel klice od racku v praci tak mne prosil abych pouzil nase a ja mu to otevrel paratkem a pinzetou ze svycaraku, pac se mi nechtelo pro erar :) Naivne si zakladal na tom, ze klice ma jen on a my pro pripad nouze. Dalo by se to snad i nazvat "Jak manager prichazi o iluze..."
Jinak nemuzu tak uplne souhlasit s vyrokem, ze prostredky vynalozene na bezpecnost a zalohovani nic neprinasi. Prinasi rozhodne dostupnost a klidnejsi spanek. V pripade ze se neco poto tak umeji zachranit spoustu penez a i casu. Bohuzel se to spatne vysvetluje tem, co za to maji platit a to do te doby, nez-li se neco skutecne stane.
-
Ja si myslim ze problematika zalohovani dat muze byt klidne zahrnuta v praci bezpecnostniho manazera. Jde tady prece jen o bezpecnost dat jako takovych a to nejen pred nenechavymi uzivateli ale i pred ruznymi vnejsimi vlivy.
určitě
Jinak nemuzu tak uplne souhlasit s vyrokem, ze prostredky vynalozene na bezpecnost a zalohovani nic neprinasi. Prinasi rozhodne dostupnost a klidnejsi spanek. V pripade ze se neco poto tak umeji zachranit spoustu penez a i casu. Bohuzel se to spatne vysvetluje tem, co za to maji platit a to do te doby, nez-li se neco skutecne stane.
Ale to jo, ale auto jsem si taky nepořizoval kvůli bezpečnostnímu pásu a airbagům. Ty k přesunu z místa A do místa B v podstatě nepotřebuji. Z tohoto pohledu je tam obojí jaksi "navíc". Nehledě na fakt, že se do bezpečnosti dá nalít celé jmění a stejně to nebude dlouhodobě 100% bezpečné. Koupil byste si auto, kde by v ceně byla sada přileb pro celou rodinu nebo video souprava?
-
jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI :(
-
jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI :(
ja chodim na muni na bezpecnost, na magistra. predmety su v pohode, kryptografia je tazka (take iv054 s gruskom) ale spravitelna. http://is.muni.cz/predmet/fi/podzim2011/IV054 teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170 ostatne bezpecnostne predmety su v pohode, nejaky ten vlastny vyskum, seminar cely po anglicky alebo labaky kde sa kodia veci s bezpecnostou ... odtlacky prstov a podobne. vseobecne je bezpecnost na muni spravena velmi kvalitne a odporucam (nie preto, ze tam chodim, ale je to proste pravda :) )
-
jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI :(
Zalezi co delas v oblasti bezpecnosti, napr. v AV oblasti se urcite hodi imho treba chapat kdy se ktere sifry pouzivaji - blokove, proudove. Rozeznat pouzite sifry, najit treba v binarce (napr. malware/virus, ktery neco sifruje) inicializacni vektor, klic a rozsifrovat co je potreba treba pomoci openssl a podobne. Hodi se to, ale nemyslim si, ze je nutnost znat, a uz vubec ne znat presne vzorce jak to matematicky funguje. Spis takove prakticke veci, bych rekl, se urcite hodi. hth
-
Problém bezpečnosti je ten, že negeneruje přidanou hodnotu. Je na tom podobně (spíš hůře) jako zálohování. Nalijte xxx € do něčeho, co v podstatě není vidět, nepoužívá se a nic nového z hlediska zákazníka nepřináší. Já bych ty prostředky raději nalil do funkcionality pro uživatele. Jenže to bohužel nejde a je nutný kompromis. I proto black hats nesnáším.
Tadys uhodil hlavickou do kladiva. Ono je to totiz nachlup presne jako s pojistenim. Nekdo hackne vetsi databazi a zverejni L/P comba nekolika stovek tisic uzivatelu. Kdo za to muze? Samozrejme provozovatel ze neco takoveho umoznil, a uzivatele by meli mit ze zakona pravo na odskodneni. To same CA autority....
Ano, jedna se o car analogy.
Pokud nekomu zdemoulujes bavorak svym favoritem, clovek je prece jenom rad ze si tu pojistku platil. Reseni je tedy proste - povinne odskodneni (jehoz vyse je bez pojisteni likvidacni) za skody zpusobene vlastni nedbalosti a povinne pojisteni. Pojistovny si to uz samy osefujou, naprosto stejnym zpusobem jako to funguje u fyzickeho zabezpecni objektu.
A nebud na blackhats tak tvrdy, vetsinou to furt delaj pro zabavu, bez nich se k vyse uvedenemu systemu nedoberem a budes mit jenom ty snake oil linux kiddies.
-
jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI :(
ja chodim na muni na bezpecnost, na magistra. predmety su v pohode, kryptografia je tazka (take iv054 s gruskom) ale spravitelna. http://is.muni.cz/predmet/fi/podzim2011/IV054 teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170 ostatne bezpecnostne predmety su v pohode, nejaky ten vlastny vyskum, seminar cely po anglicky alebo labaky kde sa kodia veci s bezpecnostou ... odtlacky prstov a podobne. vseobecne je bezpecnost na muni spravena velmi kvalitne a odporucam (nie preto, ze tam chodim, ale je to proste pravda :) )
no ja v Praze na ČVUT FEL a tady bohuzel bezp. predmetu mame malo :-(
-
Co si myslíte o tomhle oboru http://www.fd.cvut.cz/pro-studenty/dokumenty/studijni_plany/magistr_bi.pdf ?
-
sd@fucksheep.org:
Dovolim si nesouhlasit. Stale za to muze ten, kdo danou databazi nahackoval a data ukradl. Ono totiz fakt, ze jdes ven veset pradlo a nechas otevreny dvere ponevadz budes hned zpet a ses linej odemykat vubec nikoho neopravnuje k tomu, aby ti tam lezl. Stejny s poskytovatelem sluzeb. To by ve finale treba mohla MHD taky zalovat sebe sama, ze umoznuje lidem jezdit nacerno. Tam se dostavame k faktu, ze obe strany maji smluveny nejake podminky a paklize se jedna strana zavazuje te druhe na splneni nejakych bezpecnostnich pozadavku etc. pak bude samozrejmosti asi domluvene odskodne. Kdyz nekomu das svoji kartu a pin k ni a potom zjistis, ze ti vybral ucet tak taky dostanes kulovy a ne odskodny. Jedna se tady zcela nepochybne o cizi zavineni a to umyslne. Malokdo bude jezdit ve favoritu a umyslne bourat do bavoraku, takze v tomto pripade se jedna o nehodu a ta je neumyslna. Pokud by byla umyslna tak by to uz asi nebyla nehoda, ze?. Takze ono to zase az tak nachlup stejne neni ponevadz zde bude zalezet na druhu spoluprace a smlouve kterou mezi sebou oba subjekty maji. Problemem je, ze poskytovatele muzes vinit pouze v pripade, ze mohl udalosti zabranit a vedome to neudelal. Jinak se obavam ze mas smulu a v takovychto okamzicich prichazi prave na radu to pojisteni :). Navic jsme tady hovorili o tom, ze firmy nechteji investovat do VLASTNI bezpecnosti a ony jsou v drtive mire tim provozovatelem, takze si za pripadne potize muzou ledatak samy a Martin zminoval, ze se do toho majitelum mnohdy nechce, protoze neni ten vysledek videt a jsou to investovane penize, ktere se treba nikdy nevrati. Oprati pojisteni je tu jeste dalsi argument a to ten, ze pojistku proste platite a kdyz se neco stane tak dostanete zaplaceno, tady platite za zalohovaci system pripadne za celkove zabezpeceni a skoleni personalu a kde mate tu jistotu ze neprijde nejakej ten Franta co se tam i pres veskere vase snahy dostane? V pojisteni mate alespon tu jistotu, ze stane-li se neco, dostanete penize, tady muzete jen doufat a jistotu nemate zadnou.
-
Oprati pojisteni je tu jeste dalsi argument a to ten, ze pojistku proste platite a kdyz se neco stane tak dostanete zaplaceno, tady platite za zalohovaci system pripadne za celkove zabezpeceni a skoleni personalu a kde mate tu jistotu ze neprijde nejakej ten Franta co se tam i pres veskere vase snahy dostane? V pojisteni mate alespon tu jistotu, ze stane-li se neco, dostanete penize, tady muzete jen doufat a jistotu nemate zadnou.
Kde mas tu jistotu ze ti favorit nenaboura do bavoraku???
tl;dr, zkus priste odstavce :)
Proc to takto alegorizuju - kdo za co muze je sice hezky, ale bavime se o pripade kdy neni mozne ukazat na vinika. Ber to tedy jako rizikovy faktor pohromy, nahody. Pokud nekdo z banky ukradne MOJE penize, je mi uplne putna ze to byl nejaky zly osklivy hacker. Chci svoje penize zpatky (a zpravidla je taky dostanu, protoze toto zarizeni je soucast jejich licence). A banky se taktez setsakra snazi aby k takovemu pripadu nedoslo. Vsimni si ze je velkou raritou ze nekdo vyloupi ucty bez pricineni blbosti uzivatele (tj zadnej skimming, phishing etc - ale i v techto pripadech byva po jistou dobu zarucen chargeback).
Cela ta idea je o tom ze zabezpeceni firmy aby nedejbooze JIM nekdo udelal bebicko mi je jako beznymu clovickovi naprosto ukradena. Spolecensky dopad je totiz nulovy. Co ale hodne lidi pali je ze nejakej jouda si spatla neco v phpku a protoze to neumi, moje osobni udaje jsou najednou free na webu. Z perspektivy uzivatele je to chyba toho provozovatele a ten by za to mel byt take zodpovedny.
Zeptej se tapinek z libimseti :))
Martin spravne postrehl ze firmy logicky nemaji duvod to resit neb tu neni ekonomicka incentiva - vsechno svedou na zlyho osklivyho hackera a jaksi ignoruji svoji moralni povinost chranit data/penize svych zakazniku. Povinne ruceni (ve stylu jak ho mame ve zdravotnictvi a v doprave) mi prijde jako schudne reseni, nebo mas nejakou jinou konstruktivni teorii?
Btw, toto se vztahuje napriklad i na Microsoft kde ocividne neni best effort chranit uzivatele. Masovy update jednou za 14 (deploy M$ updatu je pro ne dost nakladna zalezitost z pohledu poskytovani supportu), i kdyz vsichni vi ze po webu lita mrcha co takto leze do exploreru.... To je nastesti tak bolestive niche ze to zalepujou AV vendori pomoci signatur.
-
teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170
Jo, kryptografie s Pasekou byla paseka :) Nerad na to vzpomínám, silně jsem to podcenil přesto, že jsem to potřeboval udělat - na přednášce jsem byl tak třikrát... Zachránil mě jenom ten jeho systém "já od zkoušky nevyhazuju, budete tady sedět tak dlouho, dokud sami neuznáte, že na to nemáte". Tvrdošíjně jsem to asi dvě hodiny odmítal uznat ;)
-
sd@fucksheep.org:
Ja prece netvrdim, ze favorit nemuze nabourat do bavoraku, jenom rikam, ze to na 99.9% bude neumyslne a to je rozdil, proto se tomu rika nehoda. Pokud se ti naboura do databaze hacker tak to ma k nehode hodne daleko, nakolik na to, aby si se nekam naboural, musis v prvni rade chtit.
Ja bych investice do bezpecnosti prirovnal k hlidanemu parkovisti. Prijedes, zaplatis, dostanes listek a jdes nakoupit. Pokud se ale vratis a auto tam nebude, nebo v nem bude neco chybet tak mas smulu. Zni to sice divne, ale kolik z vas skutecne nekdy cetlo podminky placeneho parkovani? Viceme platite za flek a kdyz se neco stane mate vymluvu pro pojistovnu a mozna CCTV zaznam pro cajty. Od provozovatele nedostanete ani popel. Vicemene si zainvestoval do zviseni pravdepodobnosti ze se to nestane. Je to jako nakupovani koni v dostihah a sazkach, cim vice jich mas, tim vetsi pravdepodobnost ze ti na ne nekdo slapne a bude cvakat, na druhou stranu nikde neni jistota ze se tak stane.
Jinak urcite mas pravdu, ze v urcitych pripadech je to primo dano predmetem cinnosti dane spolecnosti. U banky je to jine nez u webu s nahatejma holkama. Tyto spolecnosti urcite budou chtit do bezpecnosti investovat, navic budou jistojiste pojisteny, ale vyplyva to z jejich podstaty. Zase ale potreba zopakovat to, co dle meho nazoru mel na mysli martin, a to ze spolecnosti pristupuji ke SVYM vlastnim datum dosti nezodpovedne a podcenuji zalohy a bezpecnost systemu, protoze penize, ktere by do toho meli dat si pani velkopodnikatele radeji strci do kapsy aby mohli ject na dovolenou a koupit si nove auto. Nejednu spolecnost uz to stalomisto na slunci. V tomto pripade to muzou svadet na koho chteji nicmene slo o jejich data, ktere potrebovaly ke sve cinnosti..
Btw. vzdycky mne zajimalo, co se da z libika ukrast tak zajimaveho :).
Ja bych na ten M$ tak tvrdej nebyl. Ono to s nima totiz neni tak spatny jak se nekteri zaryti odpurci snazi tvrdit. To jejich vysadni postaveni na trhu je tak nejak odsuzuje k zajmu hackeru a script kiddie vseho druhu takze je hrozne snadne je odsuzovat, ale za vetsinu widlacke pruchodnosti si ale muze beztak uzivatel sam.
-
Ahoj Radime,
pokusím se ti naformulovat odpověď, sám jsem na podobné pozici nějakou doubu pracoval.
Nejprve co to IT Security Manager může být. Ve firmách se náplň často liší, podle velikosti a zaměření. Obecně, firem, které mají dedikovanou pozici pro security je velmi málo, objevuje se u firem od 300 zaměstnanců. Pozice čistě pro IT security je ještě vzácnější a najdeš ji u velkých firem nebo těch, které se zabívají čistě IT. Většinou je pozice spojena s funkcí CISO. Často pod to spadne ïnformační bezpečnost obecně a i fyzická bezpečnost facility, nedejbože i EHS (BOZP). Holt, jinak se jeden ve firmě neuživí. To samo o sobě determinuje zaměření člověka. Pokud chceš opravdu dělat čistě IT securitu, tak máš na výběr z velmi malého počtu firem, z těch ne-IT jen ty největší: telco, energetika ...
Často jde o velmi samostatnou pozici. Bezpečnostní manažer nemívá exekutivní pravomoce, takže musí reportovat CIO nebo na Board. Z toho tak někjak vyplývá požadavek na vysokoškolské vzdělání. Přehled v IT by měl být všeobecný. Měl by rozumnět obvyklým technologiím. Měl by být schopen psát skripty. Rozumět používaným operačním systémům a databázím.
Měl by chápat pojem operační riziko, být schopen je popisovat a hodnotit a navrhovat opatření. A to v jazyce, kterému bude rozumět každá trubka (= Board).
Měl by znát, téměř zpaměti všechny kapitoly ISO 27k. Měl by znát základní domény CobIT a hlavní části ITIL. To proto aby byl schopen podložit jakýkoliv závěr či opatření.
Samozřejmě velmi vhodné je investovat do certifikace. Pro mne je relevantní třeba CISA (CISM/CRISC).
Ještě jednou, náplň se může značně lišit firma od firmy. Větší, čistě IT firma bude mít třeba bezpečáků víc a pak se lze profilovat na konkretnejsi technologie.
-
Děkují moc všem za odpovědí, hold to asi nebude snadná cesta, ale je to velice zajímavé a chci se s tím poprat ;)