Temat: Program szkolenia/studiów

Tak czytając różne wątki i widząc różne problemy - czy na forum czy w praktyce zastanawiam się nad tym, czy nie przysiąść i nie zrobić wzorcowego programu szkolenia dla ABI. Ale takiego od początku do końca. Z jednej strony - może jakaś uczelnia zrobi z tego fajny kierunek. Z drugiej - jako pewne narzędzie do zbudowania swojej wiedzy dla ABI - żeby mieli świadomość, co już jest ok, a czego brakuje. Może by tak przypiąć wątek z takim wykazem i pomału go uzupełniać? I może po pewnym czasie wyszła by z tego jakaś fajna baza wiedzy?

Może zacznijmy od struktury? Bo gdzieś tam warto by się ułożyć, a potem rozwijać?

Blok prawny - czyli wszystko co z rozumieniem prawa się wiąże
Blok techniczny - czyli technika w ochronie danych osobowych
Blok IT - ten bym wypiął z techniki, bo specyficzny
Blok organizacyjny.

Temat: Program szkolenia/studiów

Jeżeli chodzi o studia, to właśnie rusza studium podyplomowe na PAN pod patronatem GIODO i Stowarzyszenia Administratorów Bezpieczeństwa Informacji:

http://www.inp.pan.pl/index.php?a=studia-podyplomowe&b...

Nie rozumiem zbytnio co mogłoby się znaleźć w bloku technicznym, skoro jest oddzielony od IT.
Zauważyłem, że wśród ABI głównym problemem jest nie wiedza, którą można nabyć, ale sposób jej przekazania i asertywność.
Dodałbym dodatkowy blok.
Coaching ABI - w nim nie tylko sposoby szkolenia pracowników, ale jak utrzymać dobre stosunki z ADO po sprawdzeniu, szczególnie na zlecenie GIODO ;)
W ramach bloku jeszcze warto uwzględnić jak korzystać z posiadanych uprawnień.

Blok szczególnie ważny patrząc na to, że często ABI zostają szeregowi pracownicy, którzy nie mają doświadczenia lub umiejętności potrzebnych do audytu, szkoleń czy zarządzania zespołem.

Tą część włączam tworząc swoje szkolenie.

Temat: Program szkolenia/studiów

Blok techniczny - zgodnie z zabezpieczeniami technicznymi:

Systemy sygnalizacji (alarmowania) - podstawy:

System sygnalizacji włamania (napadu można pominąć) plus norma PN-EN. Oraz zasady stosowania. Ot wiele razy widziałem, jak w zgłoszeniu było, że jest system sygnalizacji włamania i napadu (kiedyś po polsku - SSWIN, ale od zmiany normy - I&HAS - intrusion and hold up system). Tylko, że system nie działał, bo czujka PIR w pierwszej aranżacji pomieszczenia spokojnie sobie radziła, ale po wstawieniu wysokich szaf była tylko kawałkiem plastiku. Do tego podstawy wiedzy o konfiguracji - w sensie co z systemu można wycisnąć i jakich błędów unikać.
Odnosząc do ryzyka - przed utratą (np. w wyniku kradzieży kompa, czy włamania i zniszczenia mienia) plus przed kradzieżą.

Systemy kontroli dostępu - tu już nie trzeba chyba uzasadniać. Ale są pewne zasady plus norma, związane ze stosowaniem zabezpieczeń. Np podstawowy błąd używania systemów kontroli dostępu, których funkcjonalność to jest jedynie funkcja administracyjna (regulowanie ruchu) ale już nie zabezpieczenia. Np. stosując elektrozaczep na zwykłym zamku podklamkowym nie mówimi wcale o zabezpieczeniu, bo kartą do Makro można to przejść. Element zabezpieczenia technicznego, który komplementarnie będzie tworzył zabezpieczenie powinien być oparty np. o zworę elektromagnetyczną z odpowiednią siłą nacisku niezbędną do przełamania zabezpieczenia.

Systemy CCTV - najbardziej rozpowszechnione, ale też mają normę i zasady stosowania. Plus wiedza o tym, co i jak monitorować. Bo wpadają czasem misie kolorowe od ochrony fizycznej i potrafia przestawić lokalizacje, bo "to nie po ichniemu". Tylko "audytując" zapominają zapytać o cel tej kamery. Plus garść technicznej wiedzy o rodzajach, zasadach etc. CCTV sama w sobie nie jest systemem alarmowania, mimo, że jest w tej grupie. Nie ma po prostu modułu alarmowania, chyba, że jest z detekcją to przejmuje funkcje SSW (I&HAS).

Systemy zabezpieczenia technicznego - o których już wyżej było. Ogólnie - mechaniczne i budowlane. Mechaniczne - od "dużej architektury" po mniejszą. Czyli od ogrodzeń, bram, furtek, po zamki, wkładki etc. Znowu - kuriozalnie - drzwi mocne, kotwy mocne, a zamek poza klasą. W sensie nie ma nawet wyliczonej jednostki oporowej (RU), bo sie nie da. Do tego urządzenia do przechowywania, okucia drzwi, klasy okien. Z budowlanych - mniej, bo mamy mniej wpływu, ale klasa stropu i ścian - w odniesieniu do pożaru lub innego zagrożenia miejscowego - odniesienie do zniszczenia.

Wszystko razem - okna, drzwi, mury, kraty, zapory, szyby, zamki - tworzą pewną twierdzę, która jak dobrze zaplanowana (wystarczy znać pewne klasy, oporności etc) daje określony czas oporu przez zagrożeniami. I dzięki temu mamy wyliczone podstawy do projektowania reakcji człowieka. Czy grupy interwencyjnej, czy strazaków, czy inne.

Jako oddzielna grupa daję ochronę ppoż - zgodnie z definicją jest to ochrona przed pożarem oraz innymi zagrożeniami miejscowymi. A więc zalaniem, zniszczeniem pomieszczenia, etc, etc. Ale żeby kumać, to trzeba co najmniej umieć czytać Instrukcję bezpieczeństwa pożarowego i rozumieć dla konstrukcji (to to budowlane) - REI, czy dla elementów - EI (nie ma nośności). Plus wyliczenie obciążenia, liczonego w MJ/m2.
Dzięki tej wiedzy nikt ABI-iemy nie wciśnie magazynka ani serwerowni w lokalizacje wysoce zagrożone pożarem. A jeśli już - to ABI będzie wiedział, że w danym miejscu szafa nie z funkcją przeciwłamaniową, a raczej z funkcjami odporności na ogień, wodę (np. używaną do gaszenia) etc. Też warto znać zasady stosowania tryskaczy i zraszaczy, wiedzieć jaką maja funkcję i np burzyć się, jak ktoś nam chce zostawić tryskacz w standardowym wykonaniu (mało kto wie z ABIch, że jest tylko jeden typ tryskaczy, które GASZĄ. Pozostałe mają za zadanie kontrolę pożaru do czasu przyjazdu - a więc miejsce jeśli będzie miało takie tryskacze będzie pod wodą do czasu przyjazdu strażaków). Oczywiście też właściwy dobór urządzeń gaśniczych, a nawet podręcznego sprzętu gaśniczego.

To tak podstawowo - to co składa się na zespół zabezpieczeń przez zagrożeniami fizycznymi. Oczywiście do uzupełnienia "czynnikiem ludzkim" - ale to jest grupa organizacyjne. Ale też warto znać formy wykonywania ochrony fizycznej, uprawnienia, oraz ochronę związaną z ppoż (zadania, obowiązki, uprawnienia).

Bo skoro ABI ma nadzorować system chroniący dane - to sorry, ale moim zdaniem musi to znać.

Coaching mi się podoba, choć nazwa mi sie nie podoba. Ale może w drodze consensusu - podstawy zarządzania? Z negocjacjami?

PS - możemy sobie darować PANA? ;-) tak mnie to nieco gryzie w oczy.. Ten post został edytowany przez Autora dnia 07.07.15 o godzinie 14:55

Temat: Program szkolenia/studiów

PS 2 - program jaki zobaczyłem odnosi się w dużej mierze do kwestii prawnych i uzyskania zgodności z wymaganiami prawnymi lub normatywnymi. Moim zdaniem to zdecydowanie za mało do PEŁNEJ funkcji. Jako podstawa - OK, jako KOMPLET - nie.

Pamiętam dyskusję z tego forum na temat technik i metod szkolenia. Okazało się, że jednak ABI potrzebują co najmniej minimum wiedzy w zakresie szkolenia i kształcenia, bo często sami układają zarówno programy szkoleniowe, jak i sami dostarczają wiedzy. A więc przynajmniej wiedza o nauczaniu dorosłych (andragogika) wiedza o technikach, metodach etc. A potem rozwój w kierunku bazy wiedzy, programów typu security awareness.

Do tego w organizacji - techniki i rodzaje audytu. Też nie widzę.

Ale wcale się nie czepiam - wszak to jest Instytut Nauk Prawnych. Więc robi stronę prawną ABI-ego. Zostaja jeszcze techniczne - IT i te co wyżej. Organizacyjne, w tym przydałoby się nieco zarządzania projektami, zarządzania zmianą etc (ale to juz w propozycji dodania bloku zarządzanie). Szkolenie w sumie też tu się zmięści.

Plus oczywiście umiejętności liczenia projektów - a więc nieco z zarządzania finansami. Ot ROI, NPV - jako metody liczenia "zyskowności" z wdrożenia systemów.

Temat: Program szkolenia/studiów

Odnosi się do zagadnień prawnych, ponieważ ABI powinien znać podstawy. Poza tym w studium dwusemestralnym program musi być ograniczony. Jeżeli chcemy przedstawić program na studia 4-letnie, to wtedy rozwijamy o blok techniczny - całkiem ciekawy, chociaż przyznam, że nigdy się nie zagłębiałem w odporność materiałów ;)

Jeżeli chodzi o zarządzanie finansami, to jednak wątpię, żeby to dużo wnosiło w prace ABIego. Chyba, że rozwinie się to jeszcze o normy - ISO 27001 i inne z tej rodziny, kiedy zarządzanie finansami może się przydać, ale tylko w małym stopniu.

Dalej idąc i rozwijając to tak, żeby powstał cały kierunek, to w bloku IT konieczne jest umieszczenie audytu systemu, baz danych, kryptografii + oczywiście całej podstawy zarządzania systemami serwerowymi.

Z całości wynika, że sporo będzie tego 'zarządzania' mimo, że faktycznie abi musi się w tym tylko orientować. ;)

Ad PS 1 Jasne, możemy sobie darować, oczy trzeba oszczędzać ;)

Temat: Program szkolenia/studiów

Paweł L.:
Odnosi się do zagadnień prawnych, ponieważ ABI powinien znać podstawy. Poza tym w studium dwusemestralnym program musi być ograniczony. Jeżeli chcemy przedstawić program na studia 4-letnie, to wtedy rozwijamy o blok techniczny - całkiem ciekawy, chociaż przyznam, że nigdy się nie zagłębiałem w odporność materiałów ;)

Dlatego nie czepiam się tylko zwracam uwagę, że jest to kwestia podstaw prawnych. Ale jednak to nie wszystko. Co do materiałów - nie trzeba się mocno znać. Są tabele i normy - wystarczy mieć wiedzę, który poziom daje ile, żądać urządzeń z atestem na konkret klasę i mamy "twierdzę" taką, jaką chcemy mieć.

Jeżeli chodzi o zarządzanie finansami, to jednak wątpię, żeby to dużo wnosiło w prace ABIego. Chyba, że rozwinie się to jeszcze o normy - ISO 27001 i inne z tej rodziny, kiedy zarządzanie finansami może się przydać, ale tylko w małym stopniu.

W wielu dyskusjach widzę kwestię problemu przekonania szefa do zabezpieczenia. Czy będzie to organizacyjne - np. umowa, czy nawet banalne rozmieszczenie pomieszczeń, czy technika, zawsze pada pytanie - a po co mi to.

Przy dobrze zrobionym ryzyku i obsłudze incydentów, z zejściem do finansowego aspektu każdego ze zdarzeń nagle okazuje się, że dany incydent kosztuje więcej niż nam się wydaje. Drugi przypadek - koszt zabezpieczeń. Chcemy coś zmienić, ale... szef mówi - po co? przecież to koszt. Np. z kluczy na kontrole dostępu.

I tu się przydaje zrobienie finansowego aspektu - zarówno w obszarze ryzyka wyliczenie ile będzie kosztować materializacja ryzyka, czy ile kosztuje dany incydent, jak i pewnej "zyskowności" liczonej jako spadek kosztów (przez spadek ilości incydentów) po wdrożenia zabezpieczenia. To można zrobić jako projekty i NPV czy ROI pomozę w przekonaniu nieprzekonanych.

No i kolejna rzecz - plan postępowania z ryzykiem, czy strategia bezpieczeństwa. Bez planu finanasowego jest to tylko kilka celów.

Dalej idąc i rozwijając to tak, żeby powstał cały kierunek, to w bloku IT konieczne jest umieszczenie audytu systemu, baz danych, kryptografii + oczywiście całej podstawy zarządzania systemami serwerowymi.

W podstawach jak najbardziej tak. Plus sieci, zabezpieczenia etc.

Z całości wynika, że sporo będzie tego 'zarządzania' mimo, że faktycznie abi musi się w tym tylko orientować. ;)

Pytanie - jaka jest rola ABI? Według umocowania, jest w strukturze sztabowo - liniowej, na stanowisku sztabowym, a więc doradczym do samego wodza. W związku z tym jego głównym celem jest godzenie tego co szef chce (zarządczo - więc zarządzanie niezbędne) z tym co ma być wykonane.

Temat: Program szkolenia/studiów

Grzegorz K.:

Przy dobrze zrobionym ryzyku i obsłudze incydentów, z zejściem do finansowego aspektu każdego ze zdarzeń nagle okazuje się, że dany incydent kosztuje więcej niż nam się wydaje. Drugi przypadek - koszt zabezpieczeń. Chcemy coś zmienić, ale... szef mówi - po co? przecież to koszt. Np. z kluczy na kontrole dostępu.

I tu się przydaje zrobienie finansowego aspektu - zarówno w obszarze ryzyka wyliczenie ile będzie kosztować materializacja ryzyka, czy ile kosztuje dany incydent, jak i pewnej "zyskowności" liczonej jako spadek kosztów (przez spadek ilości incydentów) po wdrożenia zabezpieczenia. To można zrobić jako projekty i NPV czy ROI pomozę w przekonaniu nieprzekonanych.

No i kolejna rzecz - plan postępowania z ryzykiem, czy strategia bezpieczeństwa. Bez planu finanasowego jest to tylko kilka celów.

Jeżeli tak, to trzeba by to połączyć z analizą SWOT i przedstawić jako część analizy ryzyka lub ogólnie jako część zarządzania ryzykiem. Samo zarządzanie finansami tak mi się nie widzi... chociaż z nazwy. Jako element to jak najbardziej.

Jeżeli już mówimy o szkoleniu przyszłych ABI, to trzeba też uwzględnić etykę zawodową.
I nie zapomnijmy też o prawie unijnym.

Temat: Program szkolenia/studiów

Grzegorz K.:

Przy dobrze zrobionym ryzyku i obsłudze incydentów, z zejściem do finansowego aspektu każdego ze zdarzeń nagle okazuje się, że dany incydent kosztuje więcej niż nam się wydaje. Drugi przypadek - koszt zabezpieczeń. Chcemy coś zmienić, ale... szef mówi - po co? przecież to koszt. Np. z kluczy na kontrole dostępu.

I tu się przydaje zrobienie finansowego aspektu - zarówno w obszarze ryzyka wyliczenie ile będzie kosztować materializacja ryzyka, czy ile kosztuje dany incydent, jak i pewnej "zyskowności" liczonej jako spadek kosztów (przez spadek ilości incydentów) po wdrożenia zabezpieczenia. To można zrobić jako projekty i NPV czy ROI pomozę w przekonaniu nieprzekonanych.

No i kolejna rzecz - plan postępowania z ryzykiem, czy strategia bezpieczeństwa. Bez planu finanasowego jest to tylko kilka celów.

Jeżeli tak, to trzeba by to połączyć z analizą SWOT i przedstawić jako część analizy ryzyka lub ogólnie jako część zarządzania ryzykiem. Samo zarządzanie finansami tak mi się nie widzi... chociaż z nazwy. Jako element to jak najbardziej.

Jeżeli już mówimy o szkoleniu przyszłych ABI, to trzeba też uwzględnić etykę zawodową.
I nie zapomnijmy też o prawie unijnym.

Temat: Program szkolenia/studiów

Ależ oczywiście że SWOT. Przecież jeśli dobrze zrobimy PEST(LE), to dodanie do tego efektywnego (lub mniej) systemu zarządzania bezpieczeństwem da nam wytyczne do strategii.

Prawo unijne wpiąłbym ogólnie pod prawo. Tylko pytanie w co wpiąć Safe Harabour?

Temat: Program szkolenia/studiów

Paweł L.:

Coaching ABI - w nim nie tylko sposoby szkolenia pracowników, ale jak utrzymać dobre stosunki z ADO po sprawdzeniu, szczególnie na zlecenie GIODO ;)

A więc polecam się jako akredytowany coach ICF (największej organizacji coachingowej) i ABI :)

Temat: Program szkolenia/studiów

Nie polecaj się, tylko dodaj coś do programu ;-)

Temat: Program szkolenia/studiów

Grzegorz K.:
Nie polecaj się, tylko dodaj coś do programu ;-)

Mi bardzo przydatny coaching jest podczas audytu - aktywne słuchanie, zadawanie pytań. Wielokrotnie rozmowy z "szeregowymi" pracownikami pozwoliło zdiagnozować wiele problemów a potem praktycznie bezboleśnie je rozwiązać. Coach wychodzi z założenia że wszystkie rozwiązania ma w sobie klienta i wielokrotnie było tak że po moim przedstawieni ram prawnych i minimalnych wymagań na moje pytanie co Pan Pani proponuje sami zainteresowani
znajdowali rozwiązania i mało tego przez to że sami je znaleźli traktują je jako swoje przez co zdecydowanie łatwiej jest im potem ich przestrzegać. Oczywiście coaching jest mi bardzo przydatny podczas szkoleń ( dobrze aby ABI miał przynajmniej jakieś podstawy do przygotowywania i prowadzenia szkoleń) . Podczas prowadzenia szkoleń jak się pozostawi odpowiednią przestrzeń dla uczestników można również wiele się dowiedzieć o relacjach panujących w firmie i wartościach które w firmie funkcjonują. To również jest przydatne w pełnieniu funkcji ABI. Oczywiście to wszystko piszę z pozycji zewnętrznego ABI - więc są to często informację, które trzeba zdobywać wchodząc do firmy.
A i jeszcze jedna rzecz - ciekawość - ABI musi być ciekawy (nie mylić z ciekawskim)
A więc zrobił się z tego bloczek kompetencji "miękkich" a tam :
komunikacja
aktywne słuchanie
umiejętność zadawanie otwartych pytań
podstawy kompetencji trenerskich
co ważne - poznanie siebie jako ABI - nawet ten SWOT co się pojawia wcześniej ale zrobiony na osobie ABI - da obraz silnych stron i obszarów do poprawy
można dorzucić zarządzanie sobą i sobą w czasie czasem
zarządzanie poprzez cele
I mogę tak długo tylko czy po analizowaniu każdego obszaru w ten sposób nie wyjdą studia 5- letnie :)
A i jeszcze jedna rzecz łączenie wiedzy i umiejętność jej poszukiwania (uświadomienie sobie braków )- mam uprawnienia budowlane w telekomunikacji, podyplomówkę BHP, byłem w komisji elektroenergetycznej, przez 10 lat kierowałem pionem łączności i informatyki, jest ten coaching i kompetencje trenerskie a jedna czasem wiedzy i tak brakuje i trzeba szukać i węszyć ( to się pochaliłem :))Ten post został edytowany przez Autora dnia 12.07.15 o godzinie 19:24

Temat: Program szkolenia/studiów

Przemysław C.:
A i jeszcze jedna rzecz łączenie wiedzy i umiejętność jej poszukiwania (uświadomienie sobie braków )

Tworzenie programu studiów przygotowujących do pracy jako ABI ma na celu przygotowanie pod każdym względem kandydata. Trzeba jednak pamiętać, że w tej chwili ABI jest tylko funkcją a nie zawodem. Wiąże się z tym to, że podczas studiów należy zdobyć dodatkowe umiejętności, żeby móc pełnić dodatkowe obowiązki w firmie. Na tą chwilę żadna uczelnia nie otworzy też kierunku kształcącego tylko na ABI. Pamiętajmy o tym, że niedługo dostaniemy prezent od UE i ABI przeobrazi się w DPO.
Czy to dobrze, zależy jak do tego podejdziemy. Szkolenia powinny być prowadzone w kierunku aktualnego statusu ABI, jednak studia - przygotowawcze do wejścia w życie dyrektywy UE.

Jak wcześniej mówiłem coaching jest niezbędny, nie tylko przydatny w pracy ABI. Jest to dodatkowy atut i jakby nie patrzeć - umiejętności. Zauważyłem, że w Polsce istnieje jeszcze przekonanie, że coaching jest przeznaczony dla osób, które nie mogą dostosować się do życia w społeczeństwie, pracy. Chociaż sam nie miałem przyjemności przejścia takiego szkolenia, to bardzo chętnie poszerzyłbym horyzonty o nowe rozwiązania.

@Przemysław, potrafisz sobie zrobić reklamę ;) A jaki skromny jesteś :P Ja niestety na st podyplomowe nie mam czasu, ale poza budowlanką przeszedłem tą samą ścieżkę w 'dodatkowych obowiązkach' + organizację, finanse, przetargi, księgowość i doradztwo w formie wolontariatu dla ludzi z nie moich szkoleń (to trzeba w końcu zmienić, ponieważ niedługo nie będą chcieli mnie na nie zapisywać :P ).

Temat: Program szkolenia/studiów

Ale różnica polega na tym, że będą nieco inne podstawy prawne. Same zasady generalnie nie wykraczają poza dobrą praktykę, która widoczna jest we wszystkich obszarach bezpieczeństwa. Czy jest to fizyczna, ppoż, ochrona środowiska, bezpieczeństwo informacji. Wszędzie mamy praktycznie ten sam mechanizm zarządzania ryzykiem i myślę, że to byłoby całkiem niezłe, gdyby zgrać wszystko i ABI umiał sobie poradzić z każdym obszarem.

Bo na dziś mam wrażenie, że mówiąc ABI wiele osób ma na myśli PRAWNIK. I mówiąc o obowiązkach ABI - ma na myśli - zrobienie dokumentacji zgodnej z prawem. Tylko jak się wgłębić w tą zgodność, to nie tak łatwo.