https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:23 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1656 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) Czasem język również w znaczeniu dosłownym. Zwłaszcza jeśli po drugiej stronie siedzi osoba nadużywająca swojego żargonu, która nie zauważa, lub nie chce zauważyć, że w rozmowie uczestniczą również nieco inni ludzie. Warto o tym pamiętać również w drugą stronę :) Thu, 08 Oct 2009 16:41:32 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1656 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1655 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Krawczyk) Przemek - oczywiście nie chodzi o język w sensie dosłownym. Chodzi po prostu o to, żeby rozumieć potrzeby drugiej strony - zwłaszcza, jeśli ma się w stosunku do niej stosunek "usługowy" (my świadczymy dla nich usługi, a oni nam za to płacą). Najlepszy menedżer dla działu bezpieczeństwa powinien być pośrodku między bezpieczeństwem a biznesem. Można to osiągnąć startując od MBA i robiąc np. CISSP (chyba najbardziej wszechstronny), albo startując od bezpieczeństwa i np. prowadząc przez jakiś czas własny biznes. Thu, 08 Oct 2009 15:08:22 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1655 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1653 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) Ciekawa i bardzo prawdziwa. Oczywiście z góry zaznaczam, że nie uważam, że każdy na stanowisku kierowniczym jest osobą niekompetentną. Chodzi mi o to, że ludzie dobrzy w określonych działkach bywają przymusowo wypychani do góry do zadań, do których nie mają odpowiedniego przygotowania. Dziwi mnie trochę to podejście, bo w końcu management powinien być sprawny, jest to w interesie samej organizacji/korporacji. Ale jest wiele zagadnień z dziedziny zarządzania, których nie rozumiem, a na MBA się nie wybieram, przynajmniej na razie :) Thu, 08 Oct 2009 13:52:07 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1653 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1652 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) "Widzieć las mimo drzew" Thu, 08 Oct 2009 13:47:44 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1652 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1651 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Przemyslaw Skowron) Ciekawa zasada, nie znałem :) Co do mojego miejsca pracy to masz dużo racji. Patrząc jednak trochę wstecz widzę innego szefa, który też sobie radzi i wiele razy mnie miło zaskoczył - pozdrowienia dla Roberta :) Ciekawy jestem jak te relacje IT-Security-Biznes wyglądają w firmach poza naszymi granicami. Czy w ewolucji opóźnieni są wszyscy czy może należymy do pewnej grupy bardziej/mniej opóźnionych? Thu, 08 Oct 2009 13:37:57 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1651 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1650 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Piotr Konieczny) Bardzo często potrzebne jest świeże/inne spojrzenie na jakieś techniczne zagadnienie. Ja osobiście zgadzam się z tezą, że management powinien mieć więcej doświadczenia w biznesie niż wiedzy technicznej (aczkolwiek ta druga zdecydowanie pomaga w sprawnym zarządzaniu, chociażby poprzez zaskarbienie sobie zaufania zespołu). To swoją drogą zabawne, ile potrafi taka z pozoru nietechniczna osoba wnieść podczas brain-stormingu nad jakimś problemem z gatunku "techniczne aspekty bezpieczeństwa"... Thu, 08 Oct 2009 13:00:44 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1650 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1648 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) Odnośnie MBA - zwróć uwagę na charakterystykę swojego miejsca pracy. Chodzi mi o czas jego istnienia na rynku i sposób budowania kadry. Moje doświadczenia potwierdzają niestety teorię o awansowaniu do zajęcia swojego poziomu niekompetencji (http://pl.wikipedia.org/wiki/Zasada_Petera). Osoba dobra technicznie nie koniecznie jest najlepszym kandydatem na stanowisko kierownicze (czy nawet do kierowania projektem), przynajmniej nie bez wcześniejszego przygotowania. Mam po prostu wrażenie, że IT jest nieco do przodu w stosunku do "działów bezpieczeństwa" w ewolucji :) Thu, 08 Oct 2009 11:00:39 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1648 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1647 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Przemyslaw Skowron) Nie marudźmy ;> Thu, 08 Oct 2009 10:55:45 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1647 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1646 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) Mogę Ci opowiedzieć kilka historii odnośnie braku takich danych w organizacji i braku możliwości pozyskania danych zewnętrznych. Ale to już nieco mniej publicznie :) Thu, 08 Oct 2009 10:52:41 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1646 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1645 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Krawczyk) W przypadku banków większość danych wejściowych powinna być już w środku instytucji - tzn. ilość fraudów w transakcjach w przeszłości oraz koszt ich obsługi. Ja akurat działam w trochę innej branży (głównie wrażliwe dane np. osobowe) - dla mnie dobrym źródłem zewnętrznym jest cytowany raport Ponemon Institute bo pasuje do rzeczywistych przypadków, które znalazłem w historii firmy. W banku ostatecznie może się okazać, że np. two-factor authentication nie ma uzasadnienia biznesowego i taniej jest jednak wypłacać odszkodowania czy wykupić ubezpieczenie. Ten pierwszy scenariusz jest nieintuicyjny, ale większość banków amerykańskich na tym do niedawna jechała co świadczy o tym, że podchodzili racjonalnie do analizy kosztów i zysków. Oczywiście w pewnym momencie może okazać się odwrotnie - że koszt obsługi fraudów jest tak duży, że two-factor authentication szybko się zwróci. Wtedy racjonalne będzie wprowadzenie nowego mechanizmu. I w przeciwną stronę to też działa. Znam przypadek polskiego banku, który wycofał się z tokenów RSA bo całą korzyść niweczyły ogromne koszty - nawet nie zakupu, tylko zarządzania zgubionymi tokenami czy zapomnianymi PINami. Znam też inny przypadek banku, który z tego samego powodu wycofał się z kwalifikowanego podpisu elektronicznego do autoryzacji transakcji, ale to akurat był poroniony pomysł od początku :) Thu, 08 Oct 2009 10:50:45 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1645 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1644 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Przemyslaw Skowron) Paweł K. i G., Jeszcze nie doczytałem do końca, ale może pomocny będzie nowy papierek by Microsoft&iSEC Partners (http://blogs.msdn.com/sdl/archive/2009/10/05/getting-the-most-for-your-security-investment.aspx). Dodatkowo (chociaż nie lubię pisać o swojej pracy na etacie ;)) mój aktualny szef jest po MBA - a pracuję zdecydowanie w departamencie bezpieczeństwa. Może to wyjątek albo mam szczęście, ale moi poprzedni szefowie również wykazywali rozwinięte umiejętności rozmowy z biznesem. To chyba nie tylko o sam język chodzi... Thu, 08 Oct 2009 10:49:59 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1644 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1641 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Goleń) A znasz dobre źródło danych, które można wykorzystać przy przygotowaniu analizy koszt/zysk? Przykładowo dane, które można wykorzystać do uzasadnienia wprowadzenia autoryzacji transakcji kodami SMS? Bo moje doświadczenia wskazują, że takimi informacjami raczej się nie dzieli z "konkurencją". Ciekawym porównaniem byłoby zestawienie wykształcenia szefów IT i szefów działów bezpieczeństwa. Mam wrażenie, że ci pierwsi zdecydowanie częściej mogą się pochwalić czymś w stylu MBA, dzięki czemu "rozmawiają językiem biznesu". Thu, 08 Oct 2009 10:36:08 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1641 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#c1640 https://archive.mroczna-zaloga.org/archives/731-raport-bezpieczenstwo-w-polskim-internecie-2009.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=731 nospam@example.com (Paweł Krawczyk) W kontekście "postrzegania bezpieczeństwa jako kosztu" polecam swoją prezentację poświęconą dokładnie temu problemowi - mówiłem o tym tydzień temu na konferencji w Sofii: http://ipsec.pl/files/ipsec/Selling_security.ppt Generalnie moje wnioski są takie, że biznes można przekonać do tego, że wydatki na bezpieczeństwo są inwestycją a nie kosztem. Warunek konieczny: trzeba mieć na poparcie tej tezy rzetelne dane i koszty te muszą być rzeczywiście uzasadnione. A następnie trzeba umieć udowodnić biznesowi, że poprzedni wydatek został wydany rzetelnie, zanim się poprosi się o następny. Z jednym i z drugim wiele działów bezpieczeństwa ma poważne problemy. W szczególności jako "rzetelny argument" nie liczą się tutaj "niezależne raporty", pisane na życzenie producentów i usługodawców z branży bezpieczeństwa, z których zawsze wynika, że "wydatki są za małe" :) Thu, 08 Oct 2009 10:13:57 +0200 https://archive.mroczna-zaloga.org/archives/731-guid.html#c1640