среда, 28 сентября 2011 г.

Парадоксы безопасности или палка о трех концах (юмор)


Берем за пример известную дилемму: быстро, качественно, дешево. То, что будет в результате совмещения качеств видно на этом рисунке.

Всем известны основные свойства информации: конфиденциальность, целостность и доступность. Открываем ИСО/МЭК 27000 и читаем определения:

Конфиденциальность - свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам;
Целостность - свойство оберегания точности и полноты активов;
Доступность - свойство быть доступным и годным к употреблению по требованию уполномоченного лица.

Теперь аналогичным образом раскладываем свойства информации. И если подумать, вот что получается:
1.       Информация конфиденциальна и целостна, значит она точно никому не доступна;
2.       Информация конфиденциальна и всем доступна, значит она точно уже не целостна;
3.       Информация целостна и всем доступна, значит она точно уже не конфиденциальна.
?.    Это вообще нонсенс. Я не видел еще ни одной технологии и ни одной реализации этой технологии, чтобы и мед и пчелы и медведи были одновременно и целы и сыты и довольны.

среда, 21 сентября 2011 г.

Недостатки интернет банка Уралсиб

Являясь клиентом УралСиб, хочу обратить внимание на небольшие недостатки в подходах к безопасности в Интернет банке при подписании заявлений.
Клиентам предлагается подписывать заявления на выбор двумя путями: либо воспользоваться одноразовым паролем из списка паролей либо сгенерировать одноразовый пароль с помощью специального устройства. Мне видятся недостатки в реализации каждого способа.

Списки одноразовых паролей:
·         Списки печатаются на листах А4. Соответственно эту бумагу можно запросто разорвать, выкинуть, приняв за хлам или даже засунуть в шредер. Хороший путь размещать одноразовые пароли на скретч-картах, размером с банковскую карту.
·     Конверт с паролями продается за 50 рублей. Вместо того, чтобы их выдавать бесплатно, чтобы клиенты лишний раз не приходили в офис, с них берется лишняя копейка.


Генератор одноразовых паролей:
·         Устройство перед генерацией не спрашивает пароль . Получается, что любой злоумышленник может сгенерировать одноразовый пароль, просто нажав на нем кнопку. Справедливости ради отмечу, что устройство привязано к клиенту и в нем присутствует уникальная для каждого клиента информация, участвующая в алгоритме генерации одноразового пароля.
·         Устройство продается за 800 рублей. Это абсолютно завышенная цена, особенно учитывая, что это лишь OTP-токен. Тем более, что Интернет Банк позиционируется для физических лиц.


Также я обратил внимание на позитивную технологию. Это виртуальная клавиатура, по которой не нужно кликать мышью, а достаточно затаить мышь возле нужных клавиш. Как говорится, даже если у вас сломались все клавиши мыши, вы всё равно сможете подтвердить платеж. :-)



воскресенье, 18 сентября 2011 г.

Инновационное уничтожение информации

Сейчас только ленивый не говорит об инновационных технологиях, как они полезны для общества и государства. Я вот тоже не хочу отставать от тенденций современной России, поэтому предлагаю обсудить тему «стопудового» удаления информации.
Обратимся к некоторому продукту. Вот как это сделано в нем. Нужно выбрать файл для удаления, поставить всего лишь две галочки и нажать кнопку «Удалить». Сразу видно, что всё сделано по старинке, очень примитивно и совершенно нет никаких инноваций.

Гарантирует ли это безопасность удаления информации с точки зрения бизнеса? Конечно же, нет! Чтобы радикально исправить ситуацию предлагается следующий инновационный концепт (конечно же, это должны быть «облачные» технологии):

По-прежнему вначале нужно выбрать файл для удаления. Теперь нужно проставить всего 10 галочек в зависимости от уровня вашей квалификации, профессионального понимания и суждения, ну и ряда других качеств и причин. После нажатия кнопки «ДОВЕРИТЬСЯ ПРОГРАММЕ» происходит анализ по всем выбранным критериям. Вот здесь и кроется инновационное НОУ-ХАУ:
·         каждый сотрудник имеет собственный проходной балл (U1-UN);
·         каждый критерий имеет заранее определенный вес (К110).
Далее по формуле в зависимости от выбранных критериев вычисляется уровень доверия (D) и если он превышает проходной балл (U), то удаление файла разрешается.
Наконец-то удаление информации в организации стало таким простым и надежным! :-)




среда, 14 сентября 2011 г.

Самооценка (перевод)

Сделал перевод подраздела любимой книги CISA Review Manual по интересной мне теме. Хоть сейчас не самое удачное время для проведения самооценки в банках с точки зрения легитимности СТО БР, но всё таки. Так как английский язык я пока знаю далеко не в совершенстве, возможная кривизна перевода может иметь место :) 

Управление самооценкой
Управление самооценкой может быть определено как технология менеджмента, которая обеспечивает уверенность руководству, заказчикам, другим заинтересованным сторонам, что система внутреннего контроля для бизнеса работоспособна. Самооценка обеспечивает осведомленность сотрудников о рисках для бизнеса, регулярную переоценку рисков, проактивный подход контролирования их. Эта методология используется для наблюдения за ключевыми бизнес процессами, связанными с ними рисками, и системой внутреннего контроля, разработанной для формального управления этими бизнес рисками, а также совместного документирования процесса.
Практически самооценка это ряд инструментов, предназначенных для постоянной тренировки, начиная с простого анкетирования до практических занятий. Она проводится для получения информации по рассматриваемой области для предоставления менеджменту организации. Основные инструменты проекта по самооценке: технические, финансовые и операционные. Это могут быть встречи с руководством, семинары с сотрудниками, письменные задания, тесты и др. Это нужно для получения информации с разных уровней организации (некоторые организации часто опрашивают клиентов или партнеров).
Самооценка может проводиться разными методами. Для небольших бизнес подразделений она проводится в виде практических семинаров, где менеджеры совместно с сотрудником, проводящим самооценку, вовлекаются в процесс контроля организации.
Для организаций, имеющих несколько территориальных офисов данная техника не применима. В этом случае нужны смешанные технологии. Для лучшего понимания положения дел может использоваться регулярное анкетирование, с последующим анализом эффективности оцениваемых процессов. Этим может заниматься управляющий менеджмент на регулярной основе. Однако такие технологии эффективны, только если анализ и уточнение вопросов проводится на постоянной основе.

Цели самооценки
У самооценки есть несколько целей. Первичная цель самооценки это воздействие на некоторые функции внутреннего аудита, путем перевода ответственности за наблюдаемые контроли в функциональную плоскость. Это не подразумевает ответственность за аудит, а лишь расширяет её. Линейные руководители, ответственны за управление доверенным им окружением. Самооценка также должна обучать менеджмент управлению, наблюдению, концентрации внимания о высоких рисках. Эти программы не только требуют политик для своего выполнения. Взамен они предлагают разные уровни поддержки, начиная с написанных советов и предложений до углубленных семинаров. Далее семинары включаются в программу в качестве дополнительных целей, после которых доверенные сотрудники определяют уже степень самооценки и улучшают её при необходимости.
Когда выполняется самооценка, измерение показателей успешности должно проводиться на каждой стадии (планирование, разработка, наблюдение) и их оценки должны подходить для последующего использования. Один важный фактор - проведение встреч с ответственными за бизнес процессы. Дополнительно, должны отождествляться действия, направленные на повышение вероятности в достижении главных целей организации.
Главное это установить цели и их метрики для каждого процесса, который может наблюдаться при самооценке, это все сведено в CobiT.
CobiT - это структурированный свод процессов управления и система их контролей, предоставляющая инструкции развитых методов и оценок. Это позволяет разработать метод самооценки, идентифицирующий задачи и процессы, действительные для бизнес окружения и определяющие контроли, подходящие для них. Самооценка, проводимая путем анкетирования, может быть разработана для достоверных целей, которые идентифицируют ИТ-процессы. Разные компоненты CobiT, такие как Матрица входов\выходов процессов, RACI-диаграмма, Цели и Метрики могут быть преобразованы в формы анкет для проведения самооценки по каждой требуемой области.

Преимущества самооценки
Некоторые преимущества самооценки:
·         Легкое обнаружение рисков;
·         Более эффективная, по сравнению с внутренним контролем;
·         Создание сплоченной команды, вовлеченной в процесс;
·         Разработка разумных для собственников контролей персонала и процессов, и снижение их сопротивляемости к инициативам для усовершенствования контролей;
·         Увеличение осведомленности персонала организации целям, рискам и внутренним контролям;
·         Улучшение уровня взаимодействия между линейными руководителями и топ менеджментом;
·         Повышение уровня мотивации персонала;
·         Повышение уровня значимости аудита;
·         Снижение стоимости контрольных процедур;
·         Уверенность руководства и заказчиков;
·         Некоторая уверенность топ менеджмента об адекватности системы внутреннего контроля, требованиям различных проверяющих организаций, законов, таких как US Sarbanes-Oxley Act.

Недостатки самооценки
Самооценка потенциально содержит несколько недостатков, среди которых:
·         Это может быть ошибкой, так как функции аудитора замещаются;
·         Это может быть оценено как дополнительная нагрузка (например, лишние отчеты для руководства);
·         Отказ от действий по улучшению может повредить моральным качествам персонала;
·         Недостаток мотивации может ограничить эффективность в обнаружении слабых сторон.

Роль аудитора при проведении самооценки
Когда отдел аудита проводит самооценку, роли аудиторов должны быть достаточно широкими и продуманными. Когда роли разработаны, аудиторы могут профессионально помогать службе внутреннего контроля. Результаты оценки – данные, которые являются собственностью организации, за которые менеджмент организации берет ответственность в процессе улучшения структуры управления, включающей действия по наблюдению за оцениваемой областью.
Для того, чтобы аудит был эффективным и рациональным, аудитор должен понимать оцениваемые бизнес процессы. Он может использовать такие традиционные подходы, как предварительное изучение и только потом выход на место. Также аудитор должен помнить, что он частично помогает менеджменту организации управлять персоналом, проводя самооценку. Например, в течение семинаров, аудитор проводит детализированные процедуры, ведет и обучает процессу аудита с целью получения свидетельств, согласующихся с целями аудита,  используя риск ориентированный подход. Менеджеры, наблюдая за тем как проходит процесс аудита и желая его улучшить, должны предлагать заменять одни технологии на лучшие. В этом случае, аудитор лучше может объяснить риски, которые ассоциируются с подобными изменениями.

Технологии проведения самооценки
Разработка техник получения информации и принятия решений необходимая часть самооценки. Некоторые техники предписывают включать аппаратные и программные средства для поддержки самооценки и использовать электронные системы проведения собраний, а также системы, помогающие принимать решения. Группа принятия решений - важный компонент проводимых семинаров, целью которой является проверка полномочий, присутствующих на них сотрудников. В случае анкетирования определенные принципы применяются для анализа и совершенствования анкет.

Традиционный подход против самооценки
Традиционный подход основывается преимущественно на обязанности анализировать и сообщать службе внутреннего контроля о выявленных аудиторами рисках, причем, делая это нужно стремиться уменьшать область проводимой оценки, контролируемую отделом аудита или внешними консультантами. Этот подход создан и укрепляется позициями традиционных аудиторов и консультантов, но не менеджмента организации и рабочих групп, ответственных за оценку и подготовку отчетов для службы внутреннего контроля.
Самооценка же проводится по-другому:  подчеркивается участие менеджмента, в том числе финансового для наблюдения за важными и критичными бизнес процессами и последующей подготовки отчета для службы внутреннего контроля.
Отличие одного подхода от другого:
Традиционный (исторически сложившийся)
Самооценка
Определение обязанностей / возможностей персонала
Понимание полномочий / подотчетность персонала
Следование политикам и правилам
Постоянное улучшение / обучающие курсы
Ограничение участия персонала
Тренинги для расширения участия персонала
Ограниченное наблюдение руководством
Наблюдение советом директоров
Аудиторы и другие специалисты
Персонал всех уровней, выполняющий все контролируемые функции
Подготовка отчетов
Подготовка отчетов