Temat: IX Kongres Bezpieczeństwa Sieci

Dzień dobry,
Chciałabym podzielić się moimi spostrzeżeniami na temat wczorajszego 9 Kongresu Bezpieczeństwa można napisać ogólnie informacji w Hotelu Novotel.

Dla mnie jako wykładowcy na rożnych uczelniach w Polsce i zagranicą czy też międzynarodowych seminariach, gdzie byłam prelegentem jest standardem (analizuję ryzyko i szacuje dojazdu etc,), że nigdy się nie spóźniłam na ogłaszany przeze mnie wykład. To podstawowy wymóg kultury. Spóźniając się na wykład lekceważę wszystkich słuchaczy/studentów etc...
Tymczasem 1 wykład planowany na godzinie 9:30, rozpoczął się o 9:40, bo Pan prelegent spóźnił się....około 10 minut i nawet nie przeprosił publikę za spóźnienie. Bezpieczeństwo jest tak niewymierne a nawet bezcenne, że niektórych rzeczy nie da się przeliczyć na mamonę. Podczas tego wykładu dowiedziałam się, że za pomocą między innymi NPV (Net present value), można wyliczyć bezpieczeństwo. Zaufanie, prestiż, marka - jak to wycenić????
Jako jedyny wykładowca nie dostał żadnych braw....

Najciekawszy ostatni wykład się nie odbył, bo prelegent zachorował. Nie mógł ktoś inny tego tematu zaprezentować??
No i w końcu goście, jak się dorwali do ciasteczek to potrzebowali co niektórzy dwóch talerzyków bo na jednym było mało.

Temat: IX Kongres Bezpieczeństwa Sieci

OT, czy aby czasem nie nastawiła się Pani za mocno na "NIE" na Pana Grzegorza K. ? :)

Temat: IX Kongres Bezpieczeństwa Sieci

Poza tym, aby być obiektywną powinna Pani odnieść się do wystąpień innych prelegentów. Brawa nie są miarą doświadczenia i profesjonalizmu prelegenta. Absolutnie nie bronię Pana Grzegorza, ale Pani wypowiedzi są ewidentnie "podszyte" jakimś uprzedzeniem, może warto to załatwić poprzez PW? Pozdrawiam.

Temat: IX Kongres Bezpieczeństwa Sieci

Piotrze.
Po pierwsze - konkurencja - co widać. Co mnie niebywale dziwi, bo ENSI pokazuję wszędzie jako prekursorów bezpieczeństwa informacji w Polsce. Jako zespół który opracował standardy zarządzania bezpieczeństwem jeszcze przed ISO.
Ale to było za czasów TISM i TSM, jak widać czasy się zmieniają. Cóż, czas odświeżyć kontakty i wpaść zapytać, czy tak się buduje własną markę.

Po drugie przeprosiłem nawet nawiązując do ryzyk. Wystarczy słuchać co mówi prelegent. Chyba, że nie zrozumiała Pani określenia kumulacja ryzyk i ryzyka krzyżowe.

Po trzecie, to już drugi wątek w którym jestem atakowany. Personalnie. Jeszcze jeden i obiecuję reakcję. Na początek z tym spóźnieniem. Czemu Pani pomawia? Mam kwit parkingowy - 9:26 wjechałem na parking. 15 minut z parkingu na salę - ze 200 metrów, to już zakrawa na pomówienie. Wszedłem równiutko 9:30.

Po czwarte - ocenia się wypowiedź. Rozwinąć coś Pani konkretnie? ROI? ROSI? NPV? Metody liczenia strat i kosztów w incydentach? Czy może inwestycji?

Po piąte - Software robi analizy i ankiety. Taka słaba prezentacja, a średnia powyżej 4 w skali 5 stopniowej. Na 8 wystąpień jestem mniej więcej po środku, przy czym poniżej 4 są 3 wystąpienia. Software wie jak robić konferencje i potrafi oceniać. A ankieta jest na moją prośbę zawsze do mnie przesyłana - bo lubię doskonalić swój warsztat i wiedzieć jak odbiorca odbiera, a po drugie.

A jako podsumowanie. Nie wiem ile lat pani pracuje w bezpieczeństwie, nie wiem ile lat w IT. Proszę mi wierzyć, że takich ataków i "faz" spodziewałem się w innych obszarach. W tej działce mimo, że jesteśmy konkurencją, bardzo się szanujemy. Co nawet widać po wypowiedzi Piotra. A przecież działanie ma konkurencyjne i na konferencji we Wrocławiu robi prelekcję z audytu, co wszyscy wiedzą (ci co w branży) że to jest nasza Instytutowa domena.

Ale ... no właśnie. Ale każdy z nas doskonale rozumie, że walka konkurencyjna to walka na SWOJE umiejętności. I jak możemy to sobie pomagamy. A tam gdzie konkurujemy - to jest to konkurencja CZYSTA. I nikt nie ma do nikogo żalu, że wygrał robotę.

Swoją drogą modlitwa z Dnia Świra mi się kojarzy...

Temat: IX Kongres Bezpieczeństwa Sieci

Marta Hummels:

Bezpieczeństwo jest tak niewymierne a nawet bezcenne, że niektórych rzeczy nie da się przeliczyć na mamonę. Podczas tego wykładu dowiedziałam się, że za pomocą między innymi NPV (Net present value), można wyliczyć bezpieczeństwo. Zaufanie, prestiż, marka - jak to wycenić????

Na to to powiem tak. Na prezentacji już powiedziałem - dla kogo i co jest jest bezcenne? Może warto zajrzeć do standardów, jak się buduje skalę skutku. O tym też mówiłem.

A te standardy mówią tak - nawet jak robimy coś w ujęciu jakościowym, np utrata zaufania - to też można zrobić to na skalach. Bo czym skutkuje utrata zaufania? Przypadkiem nie utratą klientów?

Dla przykładu, z ostatniego systemu szacowania i oceny ryzyka, jaki oddałem klientowi.,.. właśnie w dniu kongresu:
Utrata reputacji skutkująca utratą do 20% stałych klientów - poziom ryzyka 1.
Utrata reputacji skutkująca utratą powyżej 20% klientów do 40% stałych klientów - poziom ryzyka 2
Utrata reputacji skutkująca utratą powyżej 40% klientów do 60% stałych klientów - poziom ryzyka 3
Utrata reputacji skutkująca utratą powyżej 60% stałych klientów - poziom ryzyka 4

I skale opisowe:
1 - mało istotne
2 - istotne
3 - bardzo istotne
4 - katastrofalne

Proste prawda? Bo wyliczenie utraty klientów da się zliczyć w "mamonę". Zamiast klientów można podstawić bardziej precyzyjne wyliczenia. Mając założenie że 100% stałych klientów daje przychód na poziomie 1.000.000 to ryzyko na poziomie 4 to utrata przychodu na poziomie 600.000

Oczywiście skale są indywidualne dla firmy. I to nie my robimy, tylko my proponujemy. Co też na wykładzie było.

Tylko... NPV nie było przedstawiane do oceny BEZPIECZEŃSTWA. Tylko oceny PROJEKTÓW w obszarze bezpieczeństwa. A to jest drobna, acz istotna różnica.

Kojarzy mi się takie okreslenie - nie przekonasz nie przekonanych. I tu jest prawda. 6 lat temu pisałem o ROI w bezpieczeństwie - też wielu krytykowało, że sie nie da wyliczyć. Swoją drogą, co Pani na temat ROSI?

to też analiza finansowa, więc czemu do tej się Pani nie odnosi? Też liczy bezpieczeństwo.

Ode mnie - czekam na ROSE. Od ROE.

Temat: IX Kongres Bezpieczeństwa Sieci

Ups... i już całkiem na koniec:

http://www.infosecisland.com/blogview/8680-Applying-NP...
http://www.developer.com/tech/article.php/640831/Net-P...

Cóż...

Temat: IX Kongres Bezpieczeństwa Sieci

. Brawa nie są miarą doświadczenia i profesjonalizmu prelegenta. Absolutnie nie

bronię Pana Grzegorza,

Czy w moim poście napisałam, że brawa są miarą doświadczenia i profesjonalizmu?. Bardzo proszę o czytanie z zrozumieniem...Nic takiego nie miało miejsca.

Panie Piotrze, czy Pan jest adwokatem Pana Grzegorza?. Jeśli Pan Piotr używa metodyki szacowania ryzyka wymyślonej przez IBII to uważa Pan swoją wypowiedź za obiektywną?

Temat: IX Kongres Bezpieczeństwa Sieci

W nawiązaniu do spóźnienia prelegenta.
Raz Pan pisze (...)przeprosiłem nawet.
Drugi raz Pan pisze (...)Czemu Pani pomawia? Mam kwit parkingowy - 9:26

wjechałem na parking. 15 minut z parkingu na salę - ze 200 metrów, to już zakrawa na pomówienie. Wszedłem równiutko 9:30. .

To jak z tym spóźnieniem było faktycznie, raz Pan przeprasza za spóźnienie podczas określania kumulacji ryzyk, drugi raz Pan wypiera się spóźnienia.
Prawda jest taka, że prowadząca przeprosiła za spóźnienie prelegenta i zwaliła wszystko na porę roku.
Faktycznie pomyliłam się wykład się rozpoczął o 9:35 a miał się rozpocząć o 0 9:30. Tak czy siak spóźnienie na wykład jest objawem lekceważenia słuchaczy.

Co do ataku na Pana. To nie atak, tylko wymiana zdań a wcześniej moja refleksja na temat 9 Kongresu. Czy wymiana poglądów jest wedle Pana zdaniem atakiem?

Po ostatnie w końcu wypowiadam się tutaj jako osoba prywatna. Proszę zarazem nie tworzyć jakieś sztucznej filozofii.

Grzegorz K.:
Piotrze.
Po pierwsze - konkurencja - co widać. Co mnie niebywale dziwi, bo ENSI pokazuję wszędzie jako prekursorów bezpieczeństwa informacji w Polsce. Jako zespół który opracował standardy zarządzania bezpieczeństwem jeszcze przed ISO.
Ale to było za czasów TISM i TSM, jak widać czasy się zmieniają. Cóż, czas odświeżyć kontakty i wpaść zapytać, czy tak się buduje własną markę.

Po drugie przeprosiłem nawet nawiązując do ryzyk. Wystarczy słuchać co mówi prelegent. Chyba, że nie zrozumiała Pani określenia kumulacja ryzyk i ryzyka krzyżowe.

Po trzecie, to już drugi wątek w którym jestem atakowany. Personalnie. Jeszcze jeden i obiecuję reakcję. Na początek z tym spóźnieniem. Czemu Pani pomawia? Mam kwit parkingowy - 9:26 wjechałem na parking. 15 minut z parkingu na salę - ze 200 metrów, to już zakrawa na pomówienie. Wszedłem równiutko 9:30.

Po czwarte - ocenia się wypowiedź. Rozwinąć coś Pani konkretnie? ROI? ROSI? NPV? Metody liczenia strat i kosztów w incydentach? Czy może inwestycji?

Po piąte - Software robi analizy i ankiety. Taka słaba prezentacja, a średnia powyżej 4 w skali 5 stopniowej. Na 8 wystąpień jestem mniej więcej po środku, przy czym poniżej 4 są 3 wystąpienia. Software wie jak robić konferencje i potrafi oceniać. A ankieta jest na moją prośbę zawsze do mnie przesyłana - bo lubię doskonalić swój warsztat i wiedzieć jak odbiorca odbiera, a po drugie.

A jako podsumowanie. Nie wiem ile lat pani pracuje w bezpieczeństwie, nie wiem ile lat w IT. Proszę mi wierzyć, że takich ataków i "faz" spodziewałem się w innych obszarach. W tej działce mimo, że jesteśmy konkurencją, bardzo się szanujemy. Co nawet widać po wypowiedzi Piotra. A przecież działanie ma konkurencyjne i na konferencji we Wrocławiu robi prelekcję z audytu, co wszyscy wiedzą (ci co w branży) że to jest nasza Instytutowa domena.

Ale ... no właśnie. Ale każdy z nas doskonale rozumie, że walka konkurencyjna to walka na SWOJE umiejętności. I jak możemy to sobie pomagamy. A tam gdzie konkurujemy - to jest to konkurencja CZYSTA. I nikt nie ma do nikogo żalu, że wygrał robotę.

Swoją drogą modlitwa z Dnia Świra mi się kojarzy...

Temat: IX Kongres Bezpieczeństwa Sieci

Marta Hummels:
. Brawa nie są miarą doświadczenia i profesjonalizmu prelegenta. Absolutnie nie

bronię Pana Grzegorza,

Czy w moim poście napisałam, że brawa są miarą doświadczenia i profesjonalizmu?. Bardzo proszę o czytanie z zrozumieniem...Nic takiego nie miało miejsca.

Panie Piotrze, czy Pan jest adwokatem Pana Grzegorza?. Jeśli Pan Piotr używa metodyki szacowania ryzyka wymyślonej przez IBII to uważa Pan swoją wypowiedź za obiektywną?

Nie używa. Nawet nie zna. I nie mówimy tu o metodyce szacowania ryzyka, a o sposobie oceny zyskowności inwestycji w bezpieczeństwo. Proszę nie spłaszczać. Dwa zupełnie odrębne obszary i zakresy, powiązane ze sobą ale działające na innych zasadach.

Temat: IX Kongres Bezpieczeństwa Sieci

Marta Hummels:
W nawiązaniu do spóźnienia prelegenta.
Raz Pan pisze (...)przeprosiłem nawet.
Drugi raz Pan pisze (...)Czemu Pani pomawia? Mam kwit parkingowy - 9:26

wjechałem na parking. 15 minut z parkingu na salę - ze 200 metrów, to już zakrawa na pomówienie. Wszedłem równiutko 9:30. .

To jak z tym spóźnieniem było faktycznie, raz Pan przeprasza za spóźnienie podczas określania kumulacji ryzyk, drugi raz Pan wypiera się spóźnienia.

Nie wypieram się, tylko mówię jak było.

Prawda jest taka, że prowadząca przeprosiła za spóźnienie prelegenta i zwaliła wszystko na porę roku.

Zwaliła to takie nieładne słowo.

Faktycznie pomyliłam się wykład się rozpoczął o 9:35 a miał się rozpocząć o 0 9:30. Tak czy siak spóźnienie na wykład jest objawem lekceważenia słuchaczy.

Jakby dopisała pani MOIM ZDANIEM, to by było wszystko ok.

A co do pory roku. Tego dnia zrobiłem łącznie prawie 400 km. Po drodze było 11 wypadków. Zanim na kongres dojechałem, mijałem po drodze. Dwa.

Woli Pani w takiej sytuacji, żeby zdjąć nogę z gazu i być 5 minut później (co nie wydaje mi się, żeby miało miejsce) czy żeby podnieść ryzyko i mieć dużo większe prawdopodobieństwo nie dotarcia?

Ja jednak cenię swoje życie i zdrowie. Jeśli potrafi pani przy warunkach jakie są na zewnątrz, w ogólnym paraliżu miast wrzucić tylko oklepany slogan o lekceważeniu, to ja naprawdę nie mam pytań.

Co do ataku na Pana. To nie atak, tylko wymiana zdań a wcześniej moja refleksja na temat 9 Kongresu. Czy wymiana poglądów jest wedle Pana zdaniem atakiem?

W przypadki nie wierzę. Zaczęła Pani od dwóch wypowiedzi na Goldenie. W jednej skrytykowała pani mój wpis na blogu, w drugim, pojechała w tonie jak wyżej. Przy tylu ciekawych, kontrowersyjnych tematach tak całkiem prywatnie? Cóż....

Po ostatnie w końcu wypowiadam się tutaj jako osoba prywatna. Proszę zarazem nie tworzyć jakieś sztucznej filozofii.

Cieszy mnie to. Niemniej podpisując się nazwą firmy wydaje mi się, że jednak nie do końca.

I po tych przepychankach - ponowię pytanie. Co dla Pani było niezrozumiałego w wykładzie, a czego jeszcze nie napisałem wcześniej? Chętnie odpowiem.

W sumie jeszcze warto sprecyzować, bo mam wrażenie, że mimo wszystko nie do końca pani słuchała.

Po pierwsze - główna teza, wielokrotnie powtarzana przeze mnie w trakcie wystąpienia - to fakt, że bezpieczeństwo jest liczone w sposób bardzo ocenny. Nie ma mierników w odniesieniu do finansowania bezpieczeństwa, co jest ogromnym problemem w rozwoju systemów, bo po prostu brak ekonomicznego uzasadnienia wydatków na bezpieczeństwo.

Zliczenie strat - nawet potencjalnych jest wykonywane w każdym szacowaniu i w każdej metodzie. Doskonale rozumiem, że życie jest bezcenne, ale skutki utraty już są szacowalne. Mało tego, ja nie jestem sam w kierunku w którym mówię o tym, ze straty trzeba liczyć i szacować - nawet te związane z utratą życia i zdrowia. Mówi tak każdy ze standardów, nakazując wartościowanie zasobów (serie ISO i wcześniej TR), czy ocenę miarą skutku (to nasze podejście). Nasze podejście mimo pozornych różnic jest bardzo podobne. Wartość zasobu wyliczona metodą księgową i tak w dalszym działaniu zostanie skorygowana o wartość dla systemu.

Przykład:
Router - koszt kilkaset złotych. Ale jak się wysypie, złoży część sieci na jakiś czas. I wartość w ujęciu księgowym musi zostać skorygowana wartością w ujęciu procesu (zatrzymania procesu przetwarzania informacji). Nazwijmy to kosztem przestoju. I wliczmy czas pracy pracowników, którzy siedzą i kawę piją, a powinni pracować, koszt awaryjnego działania (co na wykładzie tez było - ze niestety, mamy jeszcze komunistyczne podejście - że jak są to niech robią. Tylko czemu mają usuwać awarie, bo ktoś sępi parę pln na zastępcze urządzenia) i inne np właśnie utrata klientów bo nie świadczymy jakiejś usługi przez określony czas (pojawia sie MTPD z ciągłości działania).

My pomijamy tylko etap wartościowania metodami księgowymi, czy odtworzeniową lub PML, bo moim zdaniem i tak wartość procesów dla głównych zasobów (podejście mieszane z TR 13335-3, czy ISO 27005) pokaże nam wyższą wartość w ujęciu operacyjnym. Bo obsługuje informacje (czyli służy aktywom) z wielu obszarów i o różnych wartościach.

Wartość odtworzeniowa - o czym też mówiłem, pojawia się w sytuacji próby zestawienia kosztów. Gdzie najpierw musimy mieć wartość potencjalnej straty, liczonej (co również mocno podkreślałem) nie zawsze wartościami księgowymi, a tymi bardziej dynamicznymi - odtworzeniową (precyzyjną - na wykładzie proponowałem dla krytycznych raz na kwartał przegląd dostawców) lub PML.

I już mamy dwa podstawowe parametry do NPV czy ROI. Koszt maksymalny straty i koszt odtworzenia zasobu. Żeby wyszedł "zysk" bezpieczeństwa trzeba jeszcze mieć prawdopodobieństwo wystąpienia zdarzenia. Ale to już głębsze rozwiązania.

Przewiązanie z szacowaniem ryzyka jest takie, że zaawansowane karty oceny ryzyka, czy arkusze oceny ryzyka, robione dla ryzyk powyżej progu akceptacji mają takie pola (te o maksymalnej stracie) już wdrożone. Plany działania (action plan) natomiast w rozwinięciu opisu reakcji na ryzyko, w strategii redukcji, mają zestawione koszty z grupy odtworzenia routera.

Również rejestr incydentów (który może być już o normę ISO oparty - 27035) mają również w polach w raportach po zdarzeniu (AAR - after action reviev) wyliczenia zarówno straty jak i kosztu obsługi incydentu.

Daje to potem mierzalność i podstawę weryfikacji w górę lub w dół naszych szacunków.

Odniosę się jeszcze do

Marta Hummels:
Podczas tego wykładu dowiedziałam się, że za pomocą między innymi NPV (Net present value), można wyliczyć bezpieczeństwo. Zaufanie, prestiż, marka - jak to wycenić????

Marka jest wyceniana. Wartość marki jest parametrem który otrzymujemy czasem od naszych klientów. Są bardzo twarde dane wejściowe, wyliczenie mocno precyzyjne, wraz z historycznymi pomiarami wartości marki. Niektóre firmy się tm specjalizują.

Prestiż jest również wartością ocenianą. Również na to dostajemy materiały oraz oceny, tu czasem mniej zliczone do wartości prestiżu, ale w wielu firmach przewiązanie do wielkości rynku.

Zaufanie - badanie zaufania konsumenta do marki... cóż. To są klasyczne i podstawowe badania w większości nieco większych firm.

W firmach na audytach po prostu czasem warto zacząć wartościowanie od pogadania z marketingiem, PR/MR czy podobnymi stanowiskami. Bo może sie okazać, że bezpiecznik, gość od szacowania ryzyka, zacznie wymyślać własne kombinacje, albo właśnie stwierdzić, że sie nie da, a dane w firmie są.