Рубрика «аудит» - 2

image

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Читать полностью »

Эта статья – о рисках смены руководства в больших компаниях и характерных явлениях при попытках игнорировать закон эффективного управления собственностью:

Эффективно управлять можно только той собственностью, которую мог бы создать сам.
Кто не может создать, – будет только разрушать!
И.А. Дедюхова, Кодекс Хамурапии

Картинка для привлечения внимания читателей из поколений Y и Z:
Как новые руководители разрушают доверенные им компании - 1

Краткое содержание

Новый директор себе в подчиненные и советники пригласит своих «проверенных людей». Увеличение штата топ-менеджеров в условиях фиксированного ФОТ повлечет за собой сокращение рядовых сотрудников на значительный процент.
Новый директор в первую очередь будет сокращать те подразделения, работу которых он не понимает. Под прессом психологического давления руководители этих подразделений возмут на себя обязательства самостоятельно разработать планы по сокращению и принять на себя все риски их реализации.
Сокращения пройдут под флагом повышения эффективности, но для «непонятных директору» подразделений не смогут сформулировать критерии этой эффективности, кроме «минимизации затрат». Цель по минимизации затрат без дополнительных обоснованных ограничений – это цель по уничтожению, и не имеет отношения к настоящей оптимизации.
Отсекая непонятные ему части компании (выводя в аутсорс и т.п.), директор попытается превратить компанию в ту, работу которой он полностью способен понять, которой он в полной мере способен управлять.
Проблему нехватки знаний в технической области новый директор и его команда компенсируют «помощью» от западных консалтинговых компаний. Это приведет к ситуации внешнего управления, причем без всякой ответственности за диктуемые извне решения.
Внешняя и внутренняя отчетность о работе компании до самого конца не будет показывать никаких признаков проблем, т.к. тому, кто принес плохие вести не выдают премию, а рубят голову.


Читать полностью »

image

Что же происходит в технологическом инвестировании сейчас? Снова 2001-й, когда рынок технологий схлопнулся? Или 2008-й, когда весь мир рухнул, но технологии прорвались? Или как с Facebook в 2012-м — всплеск оценки капитализации и шанс купить?
Анекдоты о «мёртвых единорогах» не принимаются. Объяснение должно начаться со структуры и качественного описания того, что двигает рынки, — затем наполнить эту модель данными. Это — моя модель и мои данные.

Оценка капитализации + вложение средств = двигатель рынка

Венчурные стартапы живут в сумасшедшем гиперцикличном мире под действием постоянной и взаимосвязанной динамики вложения средств и оценки капитализации. Легко быть похожим на почтенного политика в отставке, «обеспокоенного высокими вложениями» или «обеспокоенного высокими оценками», но толерантность к вложению средств и готовность платить за стремительный рост являются ключевыми аспектами всей венчурной модели.
Вопросом всегда является, создают ли вкладываемые средства достаточную действительную стоимость (доходы, заказчики и т.п.), чтобы оправдать высокую оценку капитализации. С этой позиции абсолютная оценка капитализации (миллиарды долларов, «да» или «нет») не является той мерой, которую стоило бы использовать. Она представляет собой выход, а не вход — и чрезвычайно подвержена выбросам в любую сторону, что ясно показывают последние пять лет. В тот период рынки капитала были «в любовном угаре» от роста.
Быстро растущие компании зарабатывали высокую оценку капитализации, которая позволяла им наращивать капитал и направлять его на дальнейший рост, что снова вело к увеличению оценки капитализации. Результатом становится нескончаемый цикл высоких вложений, более высокого роста, ещё более высоких оценок капитализации — в общем, петля с сильной положительной обратной связью.
Читать полностью »

image

Человек, желающий инвестировать, нередко делает множество ошибок в своей деятельности. Это или продажи в момент падения рынка, или излишние торговые операции, или нечто другое. Инвесторы надеются на то, что смогут обыграть фондовый рынок. Но не лучше ли станет, если финансовые дела будет вести компьютер?
Читать полностью »

Очередной пример, как легко прострелить себе ногу, на этот раз «переусердствовав» при защите сайта.
Имён как всегда не называю, однако история показательна как-таковая, т.е. в качестве примера, как не надо «защищать» свои сервера. Эх говоришь им, говоришь — а все без толку.

Упала посещаемость сайта, не совсем чтобы совсем, но довольно заметно. Смотрели логи, аналитику поисковиков и т.д. и т.п. Все вроде нормально, и кто приходит, тот даже не уходит сразу.
Но не буду ходить вокруг, да около — проанализировав логи банов по IP выяснилась одна закономерность — за короткое время в бан попадало огромное количество IP-адресов. Все поголовно по одной причине — якобы как botsearch. Отротированные логи за последний месяц тоже ужасали своими размерами и даже заглядывать туда не нужно было, и так все ясно. Т.е. случилось следующее: куча клиентов просто не могла попасть на сайт.
На вопрос «что-то меняли где-то с месяц назад?» был получен отрицательный ответ.

Не буду утомлять здесь детективным чтивом, после недолгих поисков — картина маслом. Некий прямой конкурент этого сайта поспособствовал «утечке» клиентов, или вернее и организовал эту «странную непосещаемость».
Читать полностью »

Я решил вырасти из контент-менеджера в разработчика интерфейсов, потому что врождённая способность критиковать всё, что попадётся на глаза, давно переросла масштабы корректуры текстов. И если я не применю этот талант для совершенствования вселенной, то рискую состариться абсолютным брюзгой.

Аудит информационного табло станций пригородных электричек - 1
Читать полностью »

Билл Гурли, генеральный партнер Бенчмарк, позволяет себе говорить о том, что другие венчурные капиталисты могут сказать только будучи изрядно выпившими. Но зато Билл привлекает внимание и его высказывания не оставляют равнодушными.
Читать полностью »

image
Китайские СМИ утверждают, что в Apple согласились на требования китайского правительства и разрешат выполнить аудит безопасности своих устройств, включая iPhone, iPad и Mac-компьютеров. Генеральный директор китайского бюро по информации в интернет (State Internet Information Office) Лю Вэй лично в конце декабря прошлого года встречался с Тимом Куком, где и договорился о будущей инспекции.

Причина проверки связана с озвученными много раз подозрениями о том, что продукция Apple имеет средства удалённой слежки за пользователями и поэтому использовать их в государственных учреждениях как минимум небезопасно. Глава Apple заверил Лю Вэя, что Apple не передаёт данные со своих устройства третьим лицам.

Мы не делали и не будем делать бэкдоров

добавил Тим Кук.
Лю Вэй в ответ высказался в том смысле, что его правительству всё же убедиться в этом, чтобы «покупатели были уверены в своей безопасности». А с учётом того, что Китай — один из крупнейших рынков Apple, тов соглашении заинтересованы обе стороны.
Читать полностью »

Практика эксплуатационщика: 1000 дней без простоя ЦОДа TIER III
Окисление контактов перемычки аккумулятора вызвало нагрев. При наружном осмотре следов окисления не видно, поскольку оно произошло между клеммой аккумулятора и наконечником перемычки.

Пару недель назад у меня и коллег случился маленький праздник: 1000 дней непрерывной работы ЦОДа без простоя сервиса. В смысле — без влияния на оборудование заказчиков, но со штатными и не очень работами по системам.

Ниже я расскажу о том, как я и мои коллеги обслуживают ЦОД повышенной ответственности, и какие бывают подводные камни.
Читать полностью »

Эта история о том, как я получал сертификат CISA, чтобы стать сертифицированным аудитором информационных систем и присоединиться к армии из более чем 100.000 профессионалов (по утверждению самой ISACA). Думаю в общем виде аналогия может быть расширена на CISM, CGEIT и CRISC.
Сертификация довольно популярная, в России, судя по явке на экзамен, сдают пытаются сдать многие, но не так много материалов о том, как готовиться и просто личного опыта на эту тему. Я решил исправить эту ситуацию.

Получение CISA. История одного сертификата и помощь интересующимся

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js