[ neopravdano_odsutan @ 14.09.2015. 14:53 ] @
Pozdrav

Da li neko ima neki materijal o Sigurnosti informacionih sistema? Radim kao voditelj sigurnosti IS u jednoj banci, i moram odrzati predavanja radnicima banke vezano za sigurnost. Vec sam vise puta odrzavao predavanja o istom, i nemam jednostavno vise ideje o cemu da im pricam

[Ovu poruku je menjao jorganwd dana 17.09.2015. u 10:01 GMT+1]
[ dusans @ 14.09.2015. 15:11 ] @
Valjda bi na tom radnom mestu trebao da budeš ekspert i da imaš materijala za priču do besvesti.

[Ovu poruku je menjao dusans dana 14.09.2015. u 16:22 GMT+1]
[ neopravdano_odsutan @ 15.09.2015. 13:41 ] @
Nikad nisam razumio ljude koji imaju neizrecivu potrebu da daju glupe i nepotrebne komentare. Druze, tebi je ocito previse dosadno u zivotu dok imas vremena pisati postove koji nikome ne pomazu. Ako imas neku konstruktivnu informaciju s kojom bi mogao pomoci, samo izvoli, ako nemas, onda ucini sebi uslugu i preskoci nepotrebno komentarisanje, i to vrijeme iskoristi u nesto drugo.

Dobro sam upucen u sigurnost IS-a u bankama, gdje iste i odrzavam, ali ne znam sta bi im vise pricao o tome kad me svi gledaju ko ovce i pojma nemaju o cemu im pricam, a sve vec imaju precizno definisano cega se sve moraju pridrzavati.
[ Predrag Supurovic @ 15.09.2015. 13:47 ] @
Uvedi testove znanja, i onda kreni sa predavanjiam od pocetka.
[ jablan @ 15.09.2015. 16:22 ] @
Šta je cilj tih predavanja? Šta si im već pričao? Da li njima ima smisla to što im pričaš? Koje je predznanje tih ljudi koji slušaju? Nije mi jasno kako očekuješ da dobiješ neki predlog ako ništa od ovog ne znamo.
[ neopravdano_odsutan @ 16.09.2015. 09:33 ] @
Cilj ovih predavanja je podici svijest radnika o informacionoj sigurnosti. Svim radnicima IT odjel je podesio maksimalno sve sigurnosne mjere, i njih se ta predavanja o sigurnosti IS-a i ne tice puno, njihovo je da rade u bankarskom softveru, vezano za ekonomske stvari, i to je to. Mjere sigurnosti su izuzetno stroge, i mnogi (vecina) radnika nema pristupa Internetu nikako, i ne mogu puno ni raditi na samom OS-u, osim onog sto im je dodijeljeno. Ali zbog zakonske regulative njima se mora pricati jednom godisnje o sigurnosti.

Predzanje radnika je na niskom nivou, moglo bi se reci, sto se tice samog IT-a.

Imali su vec dosta predavanja na tu temu, i svi odlicno znaju sva pravila, politike i procedure kojih se moraju strogo i slijepo pridrzavati, i sad sam izgubio vise ideju i inspiraciju o cemu da im pricam, jer ih to nit interesuje, nit treba interesovati.

Treba mi neki materijal koji prica opcenito o sigurnosti IT sistema, kako bi im to mogao ispredavati samo pro forme radi. A instrukcije, edukaciju, i dokumentaciju sta sve moraju postovati prilikom rada na racunaru, to vec imaju odavno, i u to su dobro upoznati.
[ djoka_l @ 16.09.2015. 09:42 ] @
Ne znam da li tvoja banka primenjuje ISO 27001 standard za bezbednost informacionog sistema, ali mi se čini da je to neki okvir koji bi treba da se predaje službenicima banke koji nisu deo IT sektora.

Dakle, ne o samoj sigurnosti, nego o tome šta oni treba da rade po pitanju bezbednosti, kao na primer politika praznog stola (kad ustanu od stola, ne sme da ostane ni jedan poverljivi dokument na njemu), lockovanje ekrana kada ustanu od stola, odjavljivanje iz aplikacije pri dužem prekidu rada na aplikaciji, čuvanje tajnosti lozinke itd.

Ni njima neće biti teško da jednom godišnje ponovo čuju ono što je njihova konkretna uloga u ukupnoj zaštiti sistema.

Evo nešto za početak:
http://www.iso27001security.co...Awareness_presentation_v2.pptx
Na tom sajtu imaj još dosta materijala koji bi ti bio zanimljiv.
http://www.iso27001security.com/

[Ovu poruku je menjao djoka_l dana 16.09.2015. u 10:58 GMT+1]
[ nkrgovic @ 16.09.2015. 10:55 ] @
Probaj da pricas o social engineering-u. Sta raditi ako se pojavi neko, kaze da je iz IT-a i hoce da samo malo procacka racunar. Proveri stampac? Ili sta vec.... Ne pricaj im ono za sta imaju procedure i sto znaju, vec ono kako mogu da dovedu do kompromitovanja a da to mogu - a ne znaju da su ista kompromitovali.
[ jorganwd @ 17.09.2015. 08:58 ] @
Nije isto znanje znati i znanje dati.

Suvoparna priča na koju pola prisutnih zijeva ispunjava standarde (dok god ti se potpišu na papir da su razumjeli o čemu si pričao), međutim ako želiš profesionalno da odradiš posao onda moraš da ih navedeš da razmišljaju i da ih navedeš da ti postavljaju pitanja. Dakle, bolje je da predavanje bude 90% interakcija sa zaposlenima. Dok sam za obavezu imao istu stvar, znao sam da podijelim predavanje na dvije grupe, na IT sektor i na ostale. IT sektoru je dovoljno pokazati uživo dva exploita kako rade i objasniti uzrok i posljedice, potom proći kroz rizike od nekrpljenja sistema, rascjep izmedju 0day i zakrpe, (ne)efikasnosti antivirus programa, itd. Ostalima je dovoljno ispričati priču iz realnog života, neki najnoviji slučaj socijalnog inženjeringa i na tom primjeru objasniti uzroke, rizike, posljedice, preventivne i detektivne metode, efikasnost i opravdanje već uspostavljenih i najavljenih kontrola.
Jer na kraju krajeva, bitnije je da ih držiš opreznim i budnim pa da te nazovu kad trebaju nešto da urade a ne da im saspeš neku teoriju i praksu o slabim šiframa i fišing mailovima.
[ gogo82 @ 22.09.2015. 11:03 ] @
Pretpostavljam da u banci postoji dokument pod nazivom ''Politika informacione bezbednosti'' ili nešto slično tome.

Pokušaj da iz tog dokumenta izvučeš one segtmente koji se odnose na radna mesta i opise poslova koje ta ciljna grupa polaznika obavlja. Na primer politika lozinki, politika korištenja emaila i sl, ali pokušaj da ti izlaganje bude prilagođeno njihovom (laičkom) nivou poznavanja i pokušaj stvari što više objašnjavati kroz primere ili pretpostavke nekih situacija a manje kroz suvoparnu ''teoriju''. Naravno, kao što je neko već napomenuo, OBAVEZNO ubaci i deo oko socijalnog inženjeringa.