Successfully reported this slideshow.

Tror du stadig du kan sige nej tak til Web 2.0 og skyen?

1,060 views

Published on

Sikkerhed ved Web 2.0 set i et forretningsmæssigt perspektiv.
Præsentationen indeholder flere konkrete forslag til politik for brug af sociale netværk virksomheder. Politik-eksemplerne er taget fra skabelonerne i SecureAware Policy

Published in: Technology, Design
  • Be the first to comment

  • Be the first to like this

Tror du stadig du kan sige nej tak til Web 2.0 og skyen?

  1. 1. Tror du stadig, du kan sige nej tak til Web 2.0 og skyen?<br />Lars Neupart<br />LN@neupart.com<br />
  2. 2. Wikipedia, først den lidt ældre:<br />Web 2.0 er anden generation af tjenester, der er udbudt på internettet. Begrebet Web 2.0 er opfundet af Tim O´Reilly . Web 2.0 handler om at skabe relationer mellem mennesker i cyberspace, ved brug af Social Software. Dette begreb dækker over forskellige former for kommunikationsværktøjer som fx Forums, Blogs, Wikies, Chatsosv. Fælles for disse værktøjer er, at det er dynamiske hjemmesider, som for eksempel kan være programmeret i PHP eller ASP - der i modsætning til statiske hjemmesider bliver opdateret regelmæssigt.<br />
  3. 3. Wikipedia, så den lidt nyere<br />The term &quot;Web 2.0&quot; (2004–present) is commonly associated with web applications that facilitate interactive information sharing, interoperability, user-centered design and collaborationon the World Wide Web. Examples of Web 2.0 include web-based communities, hosted services, web applications, social-networking sites, video-sharing sites, wikis, blogs, mashups and folksonomies. A Web 2.0 site allows its users to interact with other users or to change website content, in contrast to non-interactive websites where users are limited to the passive viewing of information that is provided to them.<br />
  4. 4. Et eksempel: Google wave<br />Hvad er det? <br />Samarbejdsplatform...?<br />Email/Messenger/officepakke/Collaboration/social network<br />http://vodpod.com/watch/2268955-google-wave-overview<br />http://www.youtube.com/watch?v=rDu2A3WzQpo<br />”Email blev opfundet da computere så sådan ud”<br />
  5. 5. ERP med sociale netværk<br />NetSuiteannonceredederes “Social ERP”<br />Detgavlidtomtale…. <br />Fx: “Just Throw Some Social Media Sauce on Your Sorry SaaS…”<br />(citatChris Maher B2B Lead Generator, Creative Messenger and Intense Marketing Guy).<br />
  6. 6. Muligheder med Web 2.0<br />Samarbejde & Vidensdeling<br />Markedsføring<br />Dialog<br />Lead-generering<br />Kommunikations-platform....<br />
  7. 7. Hvad vej tipper vægt-skålen?<br />
  8. 8. Reelle Trusler & FUD<br />
  9. 9.
  10. 10. Facebook og Myspace helt åbne<br />Funktionel udfordring for programmør viste hul i Facebook<br />Fandt samme hul i Myspace<br />Adgang til brugerdata fra 3.parts appl.<br />Ikke sporbart<br />Slå autologin fra<br />Kilde: yovschaap.com<br />
  11. 11. Applikationer checkes ikke<br />Applikationer i Facebook er uden eller med meget lille kontrol. <br />Hvem som helst kan skrive apps<br />Ingen – udover brugerne – afgører om en app er skadelig<br />Særligt behov for politik – men hvordan håndhæver vi den?<br />http://web2.sys-con.com/node/1232518<br />
  12. 12. Twitter, mere Google, Facebook<br />Twitter and Google Calendar XSS vulnerabilities revealed<br />Garlik warns of iTunes voucher phishing scam on Facebook<br />
  13. 13. Identitetstyveri<br />“Social networking is key to stealing an identity” (InfoSecurity Magazine: RSA Europe by Brian Honan, a principal security consultant with BH Consulting of Ireland).<br />
  14. 14. 2010 forudsigelser<br />Fx fra Websense: Web 2.0 angreb topper listen over botnet, email, angreb mod MS-produkter, søgemaskine angreb, og smartphone-angreb, skadelige annoncer, og angreb mod Apple-produkter.<br />
  15. 15. Det er ikke nemt<br />5% høj-trafik, ”trusted sites” er inficerede<br />Web er det primære distributionskanal for skadelige programmer<br />Kilde: http://newarticles.co.tv/internet/security/the-evolving-challenge-of-security.html?utm_content=newspArticles<br />Måske lidt for meget FUD / leverandørsnak her<br />
  16. 16. Twitter<br />Hacker harstjålet intern information herunderkreditkortdata<br />Kilde: Silicon Republic<br />Botnet styret via Twitter<br />Kilde: http://www.wired.com/threatlevel/2009/08/botnet-tweets/<br />ddos angreb , overbelastning<br />Kilder: Info Security Magazine1, Info Security Magazine2 , Info Security Magazine3, The Register<br />Blokerer nu for skadelige links: ”Oops! Your tweet contained a URL to a known malware site!«<br />Kilde: Version2<br />
  17. 17. Web 2.0 er ofte forbundet med Cloud Computing<br />
  18. 18. Hvader Cloud Computing?<br />
  19. 19. S-P-I Model<br />You “RFP”<br />security in<br />SaaS<br />Software as a Service<br />You build<br />security in<br />PaaS<br />Platform as a Service<br />IaaS<br />Infrastructure as a Service<br />
  20. 20. Derfor Cloud Computing<br />
  21. 21. Politikker for sociale netværk<br />DoD overvejer – ordre om at lade alle baser tillade Facebook<br />Kilde: SCMagazine<br />Flere arbejdsgivere blokerer jf. ScanSafe<br />Kilde: v3<br />US Marines forbyder sociale netværk<br />Kilde: MSNBC<br />Politiforbundet vejleder medlemmer<br />Kilde: Politiforbundet<br />UK Forsvarsministerium tillader og vejleder<br />Kilde: Nextgov<br />MI6 skulle nok have været tidligere ude og inddraget familien<br />Kilde: The Register<br />
  22. 22. Løser det sig selv? ... før du laver regler?<br />Næppe – men “Facebook-træthed” haralleredeindfundet sig- Fx:<br />Web 2.0 Suicide Machine - Meet your Real Neighbours again! - Sign out forever!:<br />
  23. 23. Forslag til jeres politik...<br />
  24. 24. Blokering sjældent farbar vej <br /> It-afdelingen skal sikre, at brugere advares, når de forsøger at få adgang til forbudte sociale netværk<br />eller<br /> It-afdelingen skal blokere brugernes adgang til forbudte sociale netværk<br />
  25. 25. Skal / skal ikke<br />
  26. 26. Må du dele din arbejdsgivers informationer?<br />Facebook vilkår, citat start: <br />For content that is covered by intellectual property rights, like photos and videos (&quot;IP content&quot;), you specifically give us the following permission, subject to your privacy and application settings: <br />you grant us a non-exclusive, transferable, sub-licensable, royalty-free, worldwide license to use any IP content that you post<br />on or in connection with Facebook (&quot;IP License&quot;). This IP License ends when you delete your IP content or your account (<br />except to the extent your content has been shared with others, and they have not deleted it). <br />Citat slut.<br />(Deter Neupart, derharlavetfremhævningerneovenfor)<br />
  27. 27. Virksomhedens informationer<br />
  28. 28. Omfang <br />
  29. 29. BRUGERENS ”AWARENESS-NIVEAU” ER EKSTRA VIGTIGT MED WEB 2.0<br />
  30. 30. Overvågning<br />Bevidstheden om, at jeg måske overvåges kan fremme min mere sikre adfærd<br />
  31. 31. DS484, ISO27000<br />Kast ikke de gamle dyder overbord<br />Fx risikovurdering, tilpasning med forretningsbehov, politikker, opfølgning, gennemgang, ISMS.<br />Nogle områder er vanskeligere:<br />Fx applikations- og system-godkendelser, ejerskab, informationslækager<br />Kompenserende kontroller vigtigere:<br />Fx brugeradfærd, logning, anti-malware<br />
  32. 32. Tid til spørgsmål og kommentarer<br />Vejledning i ”Facebook-sikkerhed: http://bit.ly/5pcZ2n<br />Nyhedsbrev på www.neupart.dk<br />Tak for nu!<br />Hvem siger Twitter ikke kan bruges til noget fornuftigt?Flere idéer på wired.com<br />

×