Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów? Co zrobić, gdy w końcu ktoś zapyta o radę.

1. Jak przetrwać kolejną transformację?
Artur Marek Maciąg, Inicjatywa Kultury Bezpieczeństwa

2. PODSUMOWANIE

3. Bez ryzyka - nie ma motywacji
Kto wie po co to wszystko?
Czyli w poszukiwaniu szans... na sukces
Bez zaangażowania - nie ma konsekwencji
Stres, zaufanie i iluzja kontroli
Czyli świadome wędrowanie po diagramie stresu
Bez straty - nie ma zysku
Sens i rdzeń bezpieczeństwa informacji
Czyli po co komu narzędzia wywiadu informacyjnego
Bez wniosków - nie ma apetytu na ryzyko
Rachunek korzyści
Czyli dlaczego mniej to więcej
Analizując ryzyka pomijamy sznase.
Koncentrując się na zagrożeniach
stajemy się jednocześnie jednym z nich
- stresorem i hamulcowym!
Każda zmiana, w skutkach
wygląda jak cyber atak.
Im lepiej przygotowana
tym mniejsze są koszty
stabilizacji sytuacji.
Każda kontrola jest potencjalną słabością.
Każdy incydent jest źródłem zweryfikowanej
wiedzy o realnym stanie bezpieczeństwa.
Cały system jest tak bezpieczny jak dobrze
dopasowane są jego elementy.
Bezpieczeństwem informacji jest zapewnienie
jej właściwej dystrybucji, wraz z kontekstem,
tam gdzie powinna wytworzyć wartość.
Ta funkcja jest centralna dla organizacji
i zawsze wprowdza koszt niezbędny dla zysku.
tl;dr

4. TRANSFORMACJA?
Droga jest trudna, ale za to jakie widoki!!!

5. https://www.redbull.com/us-en/everest-world-records

6. https://newsela.com/read/yosemite-climbers/id/6967/quiz/0/

7. http://mistrzbranzy.pl/artykuly/pokaz/Mocne-i-slabe-strony-biznesu-994.html
ANALIZA STRATEGIA
http://www.jaknapisac.com/analiza-swot/
BIZNES IT SECURITY

8. TECHNOLOGIA I ZAUFANIE
Nie ufaj, kontroluj!

9. http://8a.pl/8academy/wspinanie-wielowyciagowe-sprzet-porady/
GRUNT TO PRZYGOTOWANIE!
+
http://www.arenafitness.com.pl/i3,scianka-wspinaczkowa.html
TECHNOLOGIA PSEUDO - DOŚWIADCZENIE
(TESTY)

10. czas
stres
GDY DOŚWIADCZENIE POZWALA
CI UŚPIĆ ZMYSŁY I ODPOCZĄĆ
GDY ZAUFANIE DO TECHNOLOGII
I/LUB LUDZI POZWALA CI DZIAŁAĆ
PRZEZ JAKIŚ CZAS POD OBCIĄŻENIEM
GDY „TRACISZ GRUNT POD NOGAMI”
I DECYDUJESZ:
• ATAKOWAĆ
• UCIEKAĆ
• CHOWAĆ SIĘ
STREFY ILUZORYCZNEJ KONTROLI
GDZIE NAJCZĘŚCIEJ POPEŁNIAMY BŁĘDY
STREFA KONTROLI I KOMFORTU
STREFA ZAUFANIA I ROZWOJU
STREFA PANIKI
APETYT NA RYZYKO
PRZESTRZEŃ
ADAPTACJI
https://sci-ikb.blogspot.com
TYPOWY ROZWÓJ
TYPOWA KONSULTACJA WENDORA
(FEAR UNCERTAINITY DOUBT)
TYPOWA TRANSFORMACJA
(np. SYNERGY EFFECT)

11. STABILIZACJA I KOTWICZENIE
http://images.huffingtonpost.com/2015-11-17-1447735033-4579840-PortaledgeFar01.jpg
PODSTAWY:
+ZERO TRUST
+WIRTUALIZACJA
+SEPARACJA
+PROXY
https://ropeandsummit.wordpress.com/technique/simuling-and-shortfixing/

12. OBSERWACJA SŁABOŚCI
DOSTOSOWANIE NARZĘDZI
ZASTAWIENIE PUŁAPKI
URUCHOMIENIE PUŁAPKI
ADAPTACJA DO ŚRODOWISKA
PRZEJĘCIE KONTROLI
WYKORZYSTANIE KONTROLI
ANALIZA PROBLEMU – POTRZEBA ZMIANY
PROJEKTOWANIE I TESTY USPRAWNIENIA
ZGODA NA ZMIANĘ KONFIGURACJI
WYKONANIE ZMIANY KONFIGURACJI
ADAPTACJA ZMIANY (DROBNE POPRAWKI W ZWIĄZKU Z ODPOWIEDZIĄ ŚRODOWISKA – INCYDENTY/DEVOPS)
MONITOROWANIE ZYSKÓW ZE ZMIANY
STABILIZACJA ŚRODOWISKA (MAŁE ZMIANY)
ŁAŃCUCH ZDARZEŃ PODCZAS ATAKU
LUB LEGALNEJ ZMIANY

13. https://www.threatconnect.com/methodology/
http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

14. DANE WYWIADOWCZE
I Z SYSTEMÓW BEZPIECZEŃSTWA
SOC
KTO?
DLACZEGO?
CO?
GDZIE?
KIEDY?
JAK?
WALIDACJA ŹRÓDŁA
INFORMACJA TECHNICZNA
INFORMACJA
FUNKCJONALNA
INFORMACJA STRATEGICZNA
DECYZJE
https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf
RUTYNOWE
PODWYŻSZONE
KRYTYCZNE
OGÓLNE SEKTOR RYNKU ORGANIZACJA
ZAGROŻENIE ZZAGROŻENIE Z
APT X
ANALIZA
STRATEGICZ.
CYBER
BEZPIECZ.
ANALIZA
FUNKCJON.
ZBIERANIE
DANYCH
ŚRODOWISKO
UDZIAŁOWCY
KOMUNIKACJA WIZUALNA
EFEKTYWNA
DYSTRYBUCJA
I KONSUMPCJA
INFORMACJI

15. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

16. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/
ELEMENT
WYMAGANIA
BEZPIECZEŃSTWA
DLA INFORMACJI
WEJŚCIOWEJ
WYMAGANIA
BEZPIECZEŃSTWA
DLA INFORMACJI
WYJŚCIOWEJ
ELEMENT A ELEMENT B
A<B>C
A TO RYZYKO DLA B
B TO ZBĘDNY KOSZT DLA C
ELEMENT C

17. https://pxhere.com/en/photo/1383350

18. KEEP IT SIMPLE

19. PODSUMOWANIE

20. Bez ryzyka - nie ma motywacji
Bez zaangażowania - nie ma konsekwencjiBez straty - nie ma zysku
Bez wniosków - nie ma apetytu na ryzyko
Analizując ryzyka pomijamy sznase.
Koncentrując się na zagrożeniach
stajemy się jednocześnie jednym z nich
- stresorem i hamulcowym!
Każda zmiana, w skutkach
wygląda jak cyber atak.
Im lepiej przygotowana
tym mniejsze są koszty
stabilizacji sytuacji.
Każda kontrola jest potencjalną słabością.
Każdy incydent jest źródłem zweryfikowanej
wiedzy o realnym stanie bezpieczeństwa.
Cały system jest tak bezpieczny jak dobrze
dopasowane są jego elementy.
Bezpieczeństwem informacji jest zapewnienie
jej właściwej dystrybucji, wraz z kontekstem,
tam gdzie powinna wytworzyć wartość.
Ta funkcja jest centralna dla organizacji
i zawsze wprowdza koszt niezbędny dla zysku.

22. INFORMACJA I CZYNNIK LUDZKI

23. Określ nagrody za
aktywność
Komunikuj rozwój
postawy
Nagroda:
punkty
kompetencji
+ bonus
Odpowiedzi:
Poprawna
Prawdopodobna
Błędna
Absurdalna
Zbuduj
3 - 5 wyzwań
określ priorytety
wiedzy
i kompetencje
Wybierz incydent
Określ wymagane
kompetencje na
stanowisku
• WSPÓLNE AUTORSTWO TREŚCI
• ZACHOWANIE WIEDZY PRAKTYCZNEJ
• KONCENTRACJA NA WERYFIKACJI
• KLASYFIKACJA TREŚCI
• # UŁATWIA WYSZUKIWANIE
• WSPÓŁZAWODNICTWO
• WZAJEMNA POMOC
• WYRÓŻNIENIE
• SAMOROZWÓJ
• WŁASNE TEMPO
• WIRTUALNA WALUTA
• RÓŻNE POZIOMY TRUDNOŚCI
• NEUTRALNE TECHNOLOGICZNIE
• PRZENOSZONE MIĘDZY ŚRODOWISKAMI PRACY
• OCENA RYZYKA CZYNNIKA LUDZKIEGO

24. 2014 -2017
Inicjatywa Kultury Bezpieczeństwa v.1.0
Elementarz
Bezpieczeństwa
https://www.youtube.com/watch?v=
5YoUpCYxmH0
O bezpieczeństwie
do porannej kawy
FB, LN, repozytorium:
https://goo.gl/j4cmYA
Od zera do Bohatera
https://sci-ikb.blogspot.com/2017/10/czy-swiat-
potrzebuje-bohatera.html
BAJKI, PLAKATY I AKCJE
UŚWIADAMIANIA
https://sci-ikb.blogspot.com
DOCENDO DISCIMUS
Biuletyny Polskiego Towarzystwa Informatycznego i
https://sci-ikb.blogspot.com/2017/10/docendo-
discimus-nauczajac-uczymy-sie.html

26. TRANSFORMACJA
DLA ODWAŻNYCH

27. TRANSFORMACJA (A->B), uniwersalnie:
• Podstawową zasadą funkcjonowania wszechświata jest minimalizacja energii (kosztów).
• Stan stabilny, czyli o niskiej energii (zoptymalizowany) jest niewrażliwy na małe zaburzenie.
Destabilizacja wymaga pokonania bariery energetycznej. Komfort (poczucie bezpieczeństwa) jest
praktyczną manifestacją stanu stabilnego.
• Zaburzenie (działanie) przeprowadza układ ze stanu stabilnego do wzbudzonego skąd relaksuje do
(nowego) stanu stabilnego. Postęp (wyciąganie wniosków) jest praktyczną realizacją procesu relaksacji i
zależy od czasu adaptacji do nowej sytuacji. Bez podjęcia ryzyka nie ma postępu.
• Skuteczna ścieżka transformacji realizowana jest przez minimalizowanie funkcjonału działania – ciągłego
podążania ścieżką stanów o najniższej lokalnie energii (koszcie). Analiza ryzyka jest praktyczną realizacją
rachunku wariacyjnego.
• Zmiana symetrii układu (przejście fazowe) jest realizacją minimalizacji energii w reakcji na ekstremalne
lub długotrwałe zaburzenie. Jeśli spontaniczna, to wymaga oddziaływania dalekozasięgowego –
obejmującego cały układ. Rewolucje (kosztowne) lub ewolucje (długotrwałe) są praktyczną realizacją
zmian relacji i zasad funkcjonowania oraz postrzegania rzeczywistości w granicach możliwego wpływu.
• Bieżącą wartość energii układu i jego stabilności określa pomiar w skali niezależnej od stanu układu.
Pomiar powinien stanowić małe zaburzenie dla układu. Powstrzymanie wpływu procesu monitorowania
na stan układu jest praktyczną realizacją zasady obiektywizmu.