Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie
transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak
zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów?
Co zrobić, gdy w końcu ktoś zapyta o radę.
3. Bez ryzyka - nie ma motywacji
Kto wie po co to wszystko?
Czyli w poszukiwaniu szans... na sukces
Bez zaangażowania - nie ma konsekwencji
Stres, zaufanie i iluzja kontroli
Czyli świadome wędrowanie po diagramie stresu
Bez straty - nie ma zysku
Sens i rdzeń bezpieczeństwa informacji
Czyli po co komu narzędzia wywiadu informacyjnego
Bez wniosków - nie ma apetytu na ryzyko
Rachunek korzyści
Czyli dlaczego mniej to więcej
Analizując ryzyka pomijamy sznase.
Koncentrując się na zagrożeniach
stajemy się jednocześnie jednym z nich
- stresorem i hamulcowym!
Każda zmiana, w skutkach
wygląda jak cyber atak.
Im lepiej przygotowana
tym mniejsze są koszty
stabilizacji sytuacji.
Każda kontrola jest potencjalną słabością.
Każdy incydent jest źródłem zweryfikowanej
wiedzy o realnym stanie bezpieczeństwa.
Cały system jest tak bezpieczny jak dobrze
dopasowane są jego elementy.
Bezpieczeństwem informacji jest zapewnienie
jej właściwej dystrybucji, wraz z kontekstem,
tam gdzie powinna wytworzyć wartość.
Ta funkcja jest centralna dla organizacji
i zawsze wprowdza koszt niezbędny dla zysku.
tl;dr
10. czas
stres
GDY DOŚWIADCZENIE POZWALA
CI UŚPIĆ ZMYSŁY I ODPOCZĄĆ
GDY ZAUFANIE DO TECHNOLOGII
I/LUB LUDZI POZWALA CI DZIAŁAĆ
PRZEZ JAKIŚ CZAS POD OBCIĄŻENIEM
GDY „TRACISZ GRUNT POD NOGAMI”
I DECYDUJESZ:
• ATAKOWAĆ
• UCIEKAĆ
• CHOWAĆ SIĘ
STREFY ILUZORYCZNEJ KONTROLI
GDZIE NAJCZĘŚCIEJ POPEŁNIAMY BŁĘDY
STREFA KONTROLI I KOMFORTU
STREFA ZAUFANIA I ROZWOJU
STREFA PANIKI
APETYT NA RYZYKO
PRZESTRZEŃ
ADAPTACJI
https://sci-ikb.blogspot.com
TYPOWY ROZWÓJ
TYPOWA KONSULTACJA WENDORA
(FEAR UNCERTAINITY DOUBT)
TYPOWA TRANSFORMACJA
(np. SYNERGY EFFECT)
12. OBSERWACJA SŁABOŚCI
DOSTOSOWANIE NARZĘDZI
ZASTAWIENIE PUŁAPKI
URUCHOMIENIE PUŁAPKI
ADAPTACJA DO ŚRODOWISKA
PRZEJĘCIE KONTROLI
WYKORZYSTANIE KONTROLI
ANALIZA PROBLEMU – POTRZEBA ZMIANY
PROJEKTOWANIE I TESTY USPRAWNIENIA
ZGODA NA ZMIANĘ KONFIGURACJI
WYKONANIE ZMIANY KONFIGURACJI
ADAPTACJA ZMIANY (DROBNE POPRAWKI W ZWIĄZKU Z ODPOWIEDZIĄ ŚRODOWISKA – INCYDENTY/DEVOPS)
MONITOROWANIE ZYSKÓW ZE ZMIANY
STABILIZACJA ŚRODOWISKA (MAŁE ZMIANY)
ŁAŃCUCH ZDARZEŃ PODCZAS ATAKU
LUB LEGALNEJ ZMIANY
14. DANE WYWIADOWCZE
I Z SYSTEMÓW BEZPIECZEŃSTWA
SOC
KTO?
DLACZEGO?
CO?
GDZIE?
KIEDY?
JAK?
WALIDACJA ŹRÓDŁA
INFORMACJA TECHNICZNA
INFORMACJA
FUNKCJONALNA
INFORMACJA STRATEGICZNA
DECYZJE
https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf
RUTYNOWE
PODWYŻSZONE
KRYTYCZNE
OGÓLNE SEKTOR RYNKU ORGANIZACJA
ZAGROŻENIE ZZAGROŻENIE Z
APT X
ANALIZA
STRATEGICZ.
CYBER
BEZPIECZ.
ANALIZA
FUNKCJON.
ZBIERANIE
DANYCH
ŚRODOWISKO
UDZIAŁOWCY
KOMUNIKACJA WIZUALNA
EFEKTYWNA
DYSTRYBUCJA
I KONSUMPCJA
INFORMACJI
20. Bez ryzyka - nie ma motywacji
Bez zaangażowania - nie ma konsekwencjiBez straty - nie ma zysku
Bez wniosków - nie ma apetytu na ryzyko
Analizując ryzyka pomijamy sznase.
Koncentrując się na zagrożeniach
stajemy się jednocześnie jednym z nich
- stresorem i hamulcowym!
Każda zmiana, w skutkach
wygląda jak cyber atak.
Im lepiej przygotowana
tym mniejsze są koszty
stabilizacji sytuacji.
Każda kontrola jest potencjalną słabością.
Każdy incydent jest źródłem zweryfikowanej
wiedzy o realnym stanie bezpieczeństwa.
Cały system jest tak bezpieczny jak dobrze
dopasowane są jego elementy.
Bezpieczeństwem informacji jest zapewnienie
jej właściwej dystrybucji, wraz z kontekstem,
tam gdzie powinna wytworzyć wartość.
Ta funkcja jest centralna dla organizacji
i zawsze wprowdza koszt niezbędny dla zysku.
23. Określ nagrody za
aktywność
Komunikuj rozwój
postawy
Nagroda:
punkty
kompetencji
+ bonus
Odpowiedzi:
Poprawna
Prawdopodobna
Błędna
Absurdalna
Zbuduj
3 - 5 wyzwań
określ priorytety
wiedzy
i kompetencje
Wybierz incydent
Określ wymagane
kompetencje na
stanowisku
• WSPÓLNE AUTORSTWO TREŚCI
• ZACHOWANIE WIEDZY PRAKTYCZNEJ
• KONCENTRACJA NA WERYFIKACJI
• KLASYFIKACJA TREŚCI
• # UŁATWIA WYSZUKIWANIE
• WSPÓŁZAWODNICTWO
• WZAJEMNA POMOC
• WYRÓŻNIENIE
• SAMOROZWÓJ
• WŁASNE TEMPO
• WIRTUALNA WALUTA
• RÓŻNE POZIOMY TRUDNOŚCI
• NEUTRALNE TECHNOLOGICZNIE
• PRZENOSZONE MIĘDZY ŚRODOWISKAMI PRACY
• OCENA RYZYKA CZYNNIKA LUDZKIEGO
24. 2014 -2017
Inicjatywa Kultury Bezpieczeństwa v.1.0
Elementarz
Bezpieczeństwa
https://www.youtube.com/watch?v=
5YoUpCYxmH0
O bezpieczeństwie
do porannej kawy
FB, LN, repozytorium:
https://goo.gl/j4cmYA
Od zera do Bohatera
https://sci-ikb.blogspot.com/2017/10/czy-swiat-
potrzebuje-bohatera.html
BAJKI, PLAKATY I AKCJE
UŚWIADAMIANIA
https://sci-ikb.blogspot.com
DOCENDO DISCIMUS
Biuletyny Polskiego Towarzystwa Informatycznego i
https://sci-ikb.blogspot.com/2017/10/docendo-
discimus-nauczajac-uczymy-sie.html
27. TRANSFORMACJA (A->B), uniwersalnie:
• Podstawową zasadą funkcjonowania wszechświata jest minimalizacja energii (kosztów).
• Stan stabilny, czyli o niskiej energii (zoptymalizowany) jest niewrażliwy na małe zaburzenie.
Destabilizacja wymaga pokonania bariery energetycznej. Komfort (poczucie bezpieczeństwa) jest
praktyczną manifestacją stanu stabilnego.
• Zaburzenie (działanie) przeprowadza układ ze stanu stabilnego do wzbudzonego skąd relaksuje do
(nowego) stanu stabilnego. Postęp (wyciąganie wniosków) jest praktyczną realizacją procesu relaksacji i
zależy od czasu adaptacji do nowej sytuacji. Bez podjęcia ryzyka nie ma postępu.
• Skuteczna ścieżka transformacji realizowana jest przez minimalizowanie funkcjonału działania – ciągłego
podążania ścieżką stanów o najniższej lokalnie energii (koszcie). Analiza ryzyka jest praktyczną realizacją
rachunku wariacyjnego.
• Zmiana symetrii układu (przejście fazowe) jest realizacją minimalizacji energii w reakcji na ekstremalne
lub długotrwałe zaburzenie. Jeśli spontaniczna, to wymaga oddziaływania dalekozasięgowego –
obejmującego cały układ. Rewolucje (kosztowne) lub ewolucje (długotrwałe) są praktyczną realizacją
zmian relacji i zasad funkcjonowania oraz postrzegania rzeczywistości w granicach możliwego wpływu.
• Bieżącą wartość energii układu i jego stabilności określa pomiar w skali niezależnej od stanu układu.
Pomiar powinien stanowić małe zaburzenie dla układu. Powstrzymanie wpływu procesu monitorowania
na stan układu jest praktyczną realizacją zasady obiektywizmu.