IT security manager požadavky

[Sword]

A nezapomen na assembler, ten je taky potreba

[Reklama]

[martin]

Ono to je ve znacne mire i ovlivneno faktem, ze se u nas bezpecnost velice casto podcenuje. Firmy setri na nespravnych mistech a pak se divi. Je jedno jestli se jedna o malou, stredni nebo nadnarodni spolecnost, nicmene cim nize klesate, tim vice je bezpecnost opomijena.

Problém bezpečnosti je ten, že negeneruje přidanou hodnotu. Je na tom podobně (spíš hůře) jako zálohování. Nalijte xxx € do něčeho, co v podstatě není vidět, nepoužívá se a nic nového z hlediska zákazníka nepřináší. Já bych ty prostředky raději nalil do funkcionality pro uživatele. Jenže to bohužel nejde a je nutný kompromis. I proto black hats nesnáším.

Nejvetsim problemem bezpecnosti celkove je lidsky faktor, protoze to, ze Vam citliva a supertajna data vynese z firmy zamestnanec ktereho jste oskubali na premiich je daleko pravdepodobnejsi, nez-li ze jste se stali cilem profesionalniho hackera.

Tak tak. Ty uvedené standardy se snaží řešit bezpečnost na několika úrovních. V podstatě není větší problém sebrat z leckterého hostingu v CZ cizí mašinu nebo si ji napíchnout. Ne pro každého je problém zvednout zadek od klávesnice. A proto mám problém uznávat i white hats jako bezpečnostního specialistu. Jde jen o specialistu na penetrační testy.

Mimochodem před 2 měsíci náš systém procházel bezpečnostním auditem vládou schváleného auditora. Detaily zveřejnit nemohu, ale  2 linuxáři, co prováděli penetrační testy, byli fakt zábavní. Naprosto se trefili do mého skeptického pohledu na takové lidi. Ne že by byli hlupáci a s linuxem neuměli. To bych jim křivdil, ale z hlediska bezpečnosti naprostá nekoncepčnost.

Já vidím IT security managera spíš jako projektového managera, který ovládá nějakou metodiku IT bezpečnosti (např. tu standardizovanou) a pro projekty využívá nejrůznější specialisty (a mezi nimi i penetračního), protože nemá šanci obsáhnout celou oblast IT bezpečnosti detailně sám.

[smoofy]

Ja si myslim ze problematika zalohovani dat muze byt klidne zahrnuta v praci bezpecnostniho manazera. Jde tady prece jen o bezpecnost dat jako takovych a to nejen pred nenechavymi uzivateli ale i pred ruznymi vnejsimi vlivy.

Z tveho popisu vypliva, ze dokonalym bezpecnostnim managerem je Kevin Mitnick . Tady se dostavame znova k otazce, zda-li chce zadatel byti tim managerem, nebo bezpecnostnim technikem.

Pravdu je, ze u vetsiny poskytovatelu u nas neni vetsinou problem ziskat fyzicky pristup k masine a na to se velice casto zapomina. Dokonce si pamatuju na prekvapeny vyraz typka, co mel na starosti servery jedne velke prazske sluzby v jedne nejmenovane hostingovce kde jsem kdysi brigadnicil, kdyz jsem mu ukazoval ulozeni serveru etc a on ze si zapomnel klice od racku v praci tak mne prosil abych pouzil nase a ja mu to otevrel paratkem a pinzetou ze svycaraku, pac se mi nechtelo pro erar Naivne si zakladal na tom, ze klice ma jen on a my pro pripad nouze. Dalo by se to snad i nazvat "Jak manager prichazi o iluze..."

Jinak nemuzu tak uplne souhlasit s vyrokem, ze prostredky vynalozene na bezpecnost a zalohovani nic neprinasi. Prinasi rozhodne dostupnost a klidnejsi spanek. V pripade ze se neco poto tak umeji zachranit spoustu penez a i casu. Bohuzel se to spatne vysvetluje tem, co za to maji platit a to do te doby, nez-li se neco skutecne stane.

[martin]

Ja si myslim ze problematika zalohovani dat muze byt klidne zahrnuta v praci bezpecnostniho manazera. Jde tady prece jen o bezpecnost dat jako takovych a to nejen pred nenechavymi uzivateli ale i pred ruznymi vnejsimi vlivy.

určitě

Jinak nemuzu tak uplne souhlasit s vyrokem, ze prostredky vynalozene na bezpecnost a zalohovani nic neprinasi. Prinasi rozhodne dostupnost a klidnejsi spanek. V pripade ze se neco poto tak umeji zachranit spoustu penez a i casu. Bohuzel se to spatne vysvetluje tem, co za to maji platit a to do te doby, nez-li se neco skutecne stane.

Ale to jo, ale auto jsem si taky nepořizoval kvůli bezpečnostnímu pásu a airbagům. Ty k přesunu z místa A do místa B v podstatě nepotřebuji. Z tohoto pohledu je tam obojí jaksi "navíc". Nehledě na fakt, že se do bezpečnosti dá nalít celé jmění a stejně to nebude dlouhodobě 100% bezpečné. Koupil byste si auto, kde by v ceně byla sada přileb pro celou rodinu nebo video souprava?

[mexx]

jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI 

[Reklama]

[stewe]

jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI 

ja chodim na muni na bezpecnost, na magistra. predmety su v pohode, kryptografia je tazka (take iv054 s gruskom) ale spravitelna. http://is.muni.cz/predmet/fi/podzim2011/IV054 teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170 ostatne bezpecnostne predmety su v pohode, nejaky ten vlastny vyskum, seminar cely po anglicky alebo labaky kde sa kodia veci s bezpecnostou ... odtlacky prstov a podobne. vseobecne je bezpecnost na muni spravena velmi kvalitne a odporucam (nie preto, ze tam chodim, ale je to proste pravda )

[buy viagra]

jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI 

Zalezi co delas v oblasti bezpecnosti, napr. v AV oblasti se urcite hodi imho treba chapat kdy se ktere sifry pouzivaji - blokove, proudove. Rozeznat pouzite sifry, najit treba v binarce (napr. malware/virus, ktery neco sifruje) inicializacni vektor, klic a rozsifrovat co je potreba treba pomoci openssl a podobne. Hodi se to, ale nemyslim si, ze je nutnost znat, a uz vubec ne znat presne vzorce jak to matematicky funguje. Spis takove prakticke veci, bych rekl, se urcite hodi. hth

[sd@fucksheep.org]

Problém bezpečnosti je ten, že negeneruje přidanou hodnotu. Je na tom podobně (spíš hůře) jako zálohování. Nalijte xxx € do něčeho, co v podstatě není vidět, nepoužívá se a nic nového z hlediska zákazníka nepřináší. Já bych ty prostředky raději nalil do funkcionality pro uživatele. Jenže to bohužel nejde a je nutný kompromis. I proto black hats nesnáším.

Tadys uhodil hlavickou do kladiva. Ono je to totiz nachlup presne jako s pojistenim. Nekdo hackne vetsi databazi a zverejni L/P comba nekolika stovek tisic uzivatelu. Kdo za to muze? Samozrejme provozovatel ze neco takoveho umoznil, a uzivatele by meli mit ze zakona pravo na odskodneni. To same CA autority....

Ano, jedna se o car analogy.

Pokud nekomu zdemoulujes bavorak svym favoritem, clovek je prece jenom rad ze si tu pojistku platil. Reseni je tedy proste - povinne odskodneni (jehoz vyse je bez pojisteni likvidacni) za skody zpusobene vlastni nedbalosti a povinne pojisteni. Pojistovny si to uz samy osefujou, naprosto stejnym zpusobem jako to funguje u fyzickeho zabezpecni objektu.

A nebud na blackhats tak tvrdy, vetsinou to furt delaj pro zabavu, bez nich se k vyse uvedenemu systemu nedoberem a budes mit jenom ty snake oil linux kiddies.

[mexx]

jak moc potreba je znalost kryptografie? je to dosti slozita matematika a studovat to na VŠ je mozne jen v Pze na MFF nebo v Brně na MUNI 

ja chodim na muni na bezpecnost, na magistra. predmety su v pohode, kryptografia je tazka (take iv054 s gruskom) ale spravitelna. http://is.muni.cz/predmet/fi/podzim2011/IV054 teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170 ostatne bezpecnostne predmety su v pohode, nejaky ten vlastny vyskum, seminar cely po anglicky alebo labaky kde sa kodia veci s bezpecnostou ... odtlacky prstov a podobne. vseobecne je bezpecnost na muni spravena velmi kvalitne a odporucam (nie preto, ze tam chodim, ale je to proste pravda )

no ja v Praze na ČVUT FEL a tady bohuzel bezp. predmetu mame malo :-(

[ABC]

Co si myslíte o tomhle oboru http://www.fd.cvut.cz/pro-studenty/dokumenty/studijni_plany/magistr_bi.pdf ?

[smoofy]

sd@fucksheep.org:
Dovolim si nesouhlasit. Stale za to muze ten, kdo danou databazi nahackoval a data ukradl. Ono totiz fakt, ze jdes ven veset pradlo a nechas otevreny dvere ponevadz budes hned zpet a ses linej odemykat vubec nikoho neopravnuje k tomu, aby ti tam lezl. Stejny s poskytovatelem sluzeb. To by ve finale treba mohla MHD taky zalovat sebe sama, ze umoznuje lidem jezdit nacerno. Tam se dostavame k faktu, ze obe strany maji smluveny nejake podminky a paklize se jedna strana zavazuje te druhe na splneni nejakych bezpecnostnich pozadavku etc. pak bude samozrejmosti asi domluvene odskodne. Kdyz nekomu das svoji kartu a pin k ni a potom zjistis, ze ti vybral ucet tak taky dostanes kulovy a ne odskodny. Jedna se tady zcela nepochybne o cizi zavineni a to umyslne. Malokdo bude jezdit ve favoritu a umyslne bourat do bavoraku, takze v tomto pripade se jedna o nehodu a ta je neumyslna. Pokud by byla umyslna tak by to uz asi nebyla nehoda, ze?. Takze ono to zase az tak nachlup stejne neni ponevadz zde bude zalezet na druhu spoluprace a smlouve kterou mezi sebou oba subjekty maji. Problemem je, ze poskytovatele muzes vinit pouze v pripade, ze mohl udalosti zabranit a vedome to neudelal. Jinak se obavam ze mas smulu a v takovychto okamzicich prichazi prave na radu to pojisteni . Navic jsme tady hovorili o tom, ze firmy nechteji investovat do VLASTNI bezpecnosti a ony jsou v drtive mire tim provozovatelem, takze si za pripadne potize muzou ledatak samy a Martin zminoval, ze se do toho majitelum mnohdy nechce, protoze neni ten vysledek videt a jsou to investovane penize, ktere se treba nikdy nevrati. Oprati pojisteni je tu jeste dalsi argument a to ten, ze pojistku proste platite a kdyz se neco stane tak dostanete zaplaceno, tady platite za zalohovaci system pripadne za celkove zabezpeceni a skoleni personalu a kde mate tu jistotu ze neprijde nejakej ten Franta co se tam i pres veskere vase snahy dostane? V pojisteni mate alespon tu jistotu, ze stane-li se neco, dostanete penize, tady muzete jen doufat a jistotu nemate zadnou.

[sd@fucksheep.org]

Oprati pojisteni je tu jeste dalsi argument a to ten, ze pojistku proste platite a kdyz se neco stane tak dostanete zaplaceno, tady platite za zalohovaci system pripadne za celkove zabezpeceni a skoleni personalu a kde mate tu jistotu ze neprijde nejakej ten Franta co se tam i pres veskere vase snahy dostane? V pojisteni mate alespon tu jistotu, ze stane-li se neco, dostanete penize, tady muzete jen doufat a jistotu nemate zadnou.

Kde mas tu jistotu ze ti favorit nenaboura do bavoraku???

tl;dr, zkus priste odstavce :)

Proc to takto alegorizuju - kdo za co muze je sice hezky, ale bavime se o pripade kdy neni mozne ukazat na vinika. Ber to tedy jako rizikovy faktor pohromy, nahody. Pokud nekdo z banky ukradne MOJE penize, je mi uplne putna ze to byl nejaky zly osklivy hacker. Chci svoje penize zpatky (a zpravidla je taky dostanu, protoze toto zarizeni je soucast jejich licence). A banky se taktez setsakra snazi aby k takovemu pripadu nedoslo. Vsimni si ze je velkou raritou ze nekdo vyloupi ucty bez pricineni blbosti uzivatele (tj zadnej skimming, phishing etc - ale i v techto pripadech byva po jistou dobu zarucen chargeback).

Cela ta idea je o tom ze zabezpeceni firmy aby nedejbooze JIM nekdo udelal bebicko mi je jako beznymu clovickovi naprosto ukradena. Spolecensky dopad je totiz nulovy. Co ale hodne lidi pali je ze nejakej jouda si spatla neco v phpku a protoze to neumi, moje osobni udaje jsou najednou free na webu. Z perspektivy uzivatele je to chyba toho provozovatele a ten by za to mel byt take zodpovedny.

Zeptej se tapinek z libimseti :))

Martin spravne postrehl ze firmy logicky nemaji duvod to resit neb tu neni ekonomicka incentiva - vsechno svedou na zlyho osklivyho hackera a jaksi ignoruji svoji moralni povinost chranit data/penize svych zakazniku. Povinne ruceni (ve stylu jak ho mame ve zdravotnictvi a v doprave) mi prijde jako schudne reseni, nebo mas nejakou jinou konstruktivni teorii?

Btw, toto se vztahuje napriklad i na Microsoft kde ocividne neni best effort chranit uzivatele. Masovy update jednou za 14 (deploy M$ updatu je pro ne dost nakladna zalezitost z pohledu poskytovani supportu), i kdyz vsichni vi ze po webu lita mrcha co takto leze do exploreru.... To je nastesti tak bolestive niche ze to zalepujou AV vendori pomoci signatur.

[Mirek Prýmek]

teraz si davam za jar toto http://is.muni.cz/predmet/1431/M0170

Jo, kryptografie s Pasekou byla paseka Nerad na to vzpomínám, silně jsem to podcenil přesto, že jsem to potřeboval udělat - na přednášce jsem byl tak třikrát... Zachránil mě jenom ten jeho systém "já od zkoušky nevyhazuju, budete tady sedět tak dlouho, dokud sami neuznáte, že na to nemáte". Tvrdošíjně jsem to asi dvě hodiny odmítal uznat

[smoofy]

sd@fucksheep.org:
Ja prece netvrdim, ze favorit nemuze nabourat do bavoraku, jenom rikam, ze to na 99.9% bude neumyslne a to je rozdil, proto se tomu rika nehoda. Pokud se ti naboura do databaze hacker tak to ma k nehode hodne daleko, nakolik na to, aby si se nekam naboural, musis v prvni rade chtit.

Ja bych investice do bezpecnosti prirovnal k hlidanemu parkovisti. Prijedes, zaplatis, dostanes listek a jdes nakoupit. Pokud se ale vratis a auto tam nebude, nebo v nem bude neco chybet tak mas smulu. Zni to sice divne, ale kolik z vas skutecne nekdy cetlo podminky placeneho parkovani? Viceme platite za flek a kdyz se neco stane mate vymluvu pro pojistovnu a mozna CCTV zaznam pro cajty. Od provozovatele nedostanete ani popel. Vicemene si zainvestoval do zviseni pravdepodobnosti ze se to nestane. Je to jako nakupovani koni v dostihah a sazkach, cim vice jich mas, tim vetsi pravdepodobnost ze ti na ne nekdo slapne a bude cvakat, na druhou stranu nikde neni jistota ze se tak stane.

Jinak urcite mas pravdu, ze v urcitych pripadech je to primo dano predmetem cinnosti dane spolecnosti. U banky je to jine nez u webu s nahatejma holkama. Tyto spolecnosti urcite budou chtit do bezpecnosti investovat, navic budou jistojiste pojisteny, ale vyplyva to z jejich podstaty. Zase ale potreba zopakovat to, co dle meho nazoru mel na mysli martin, a to ze spolecnosti pristupuji ke SVYM vlastnim datum dosti nezodpovedne a podcenuji zalohy a bezpecnost systemu, protoze penize, ktere by do toho meli dat si pani velkopodnikatele radeji strci do kapsy aby mohli ject na dovolenou a koupit si nove auto. Nejednu spolecnost uz to stalomisto na slunci. V tomto pripade to muzou svadet na koho chteji nicmene slo o jejich data, ktere potrebovaly ke sve cinnosti..

Btw. vzdycky mne zajimalo, co se da z libika ukrast tak zajimaveho .

Ja bych na ten M$ tak tvrdej nebyl. Ono to s nima totiz neni tak spatny jak se nekteri zaryti odpurci snazi tvrdit. To jejich vysadni postaveni na trhu je tak nejak odsuzuje k zajmu hackeru a script kiddie vseho druhu takze je hrozne snadne je odsuzovat, ale za vetsinu widlacke pruchodnosti si ale muze beztak uzivatel sam.

[Queeg]

Ahoj Radime,
pokusím se ti naformulovat odpověď, sám jsem na podobné pozici nějakou doubu pracoval.

Nejprve co to IT Security Manager může být. Ve firmách se náplň často liší, podle velikosti a zaměření. Obecně, firem, které mají dedikovanou pozici pro security je velmi málo, objevuje se u firem od 300 zaměstnanců. Pozice čistě pro IT security je ještě vzácnější a najdeš ji u velkých firem nebo těch, které se zabívají čistě IT. Většinou je pozice spojena s funkcí CISO. Často pod to spadne ïnformační bezpečnost obecně a i fyzická bezpečnost facility, nedejbože i EHS (BOZP). Holt, jinak se jeden ve firmě neuživí. To samo o sobě determinuje zaměření člověka. Pokud chceš opravdu dělat čistě IT securitu, tak máš na výběr z velmi malého počtu firem, z těch ne-IT jen ty největší: telco, energetika ...

Často jde o velmi samostatnou pozici. Bezpečnostní manažer nemívá exekutivní pravomoce, takže musí reportovat CIO nebo na Board. Z toho tak někjak vyplývá požadavek na vysokoškolské vzdělání. Přehled v IT by měl být všeobecný. Měl by rozumnět obvyklým technologiím. Měl by být schopen psát skripty. Rozumět používaným operačním systémům a databázím.
Měl by chápat pojem operační riziko, být schopen je popisovat a hodnotit a navrhovat opatření. A to v jazyce, kterému bude rozumět každá trubka (= Board).
Měl by znát, téměř zpaměti všechny kapitoly ISO 27k. Měl by znát základní domény CobIT a hlavní části ITIL. To proto aby byl schopen podložit jakýkoliv závěr či opatření.
Samozřejmě velmi vhodné je investovat do certifikace. Pro mne je relevantní třeba CISA (CISM/CRISC).

Ještě jednou, náplň se může značně lišit firma od firmy. Větší, čistě IT firma bude mít třeba bezpečáků víc a pak se lze profilovat na konkretnejsi technologie.