Drošība, Informācija, Tehnoloģijas

Juris PūceSIA “check-IT”

Iemesli kādēļ drošības prezentācijas parasti ir garlaicīgas

• Tehnisko detaļu tik daudz, ka tikpat labi tās var būt rakstītas vikingu rūnās

• Prezentācijai parasti nav īsta rezultāta

“Kāpēc es vispār te esmu?”

• Ir tomēr pavasaris– Motociklu sezona sākusies– Gaisā galīgi nav “darba sajūtas”

• Paldies “Neo” un darba šobrīd ir daudz– Dokumentu radīšana– Galvassāpju noņemšana

KAS IR AKTUĀLS ATTIECĪBĀ UZ DROŠĪBU?

Tehnoloģiskie temati

• Personas datu aizsardzība• Vīrusi• Phishing• Man in The Middle• SQL Injections• XSS• ...• Defacement – zaudējis aktualitāti

Daži aktuāli piemēri

• Sociālie portāli – SQL dump• E-pasta servisi – SQL dump• Valsts iestādes = welcome to UK – Datu iegūšana

Kas uztrauc Jūs personīgi?

• Darbs...– Vai rīt man vēl būs darbavieta?

• Personīgā reputācija...– Nevienam taču negribējās būt VID izstrādātāju vai

drošības testētāju vidū• Likums– Arī nosacīta sodāmība ir sodāmība..

Kā tad nodrošināt drošību?

• Kam jābūt atbildīgam par datu drošību?• Kā panākt, lai visas iesaistītās puses par to

domātu:– Vadība?– IT administratori?– Atbildīgie par noteiktiem datiem (kas ir atbildīgais?)– Izstrādātāji?– Tīkla uzturētāji?

• Dokumentācija?

Personīgais viedoklis

• Aizsardzība = ekvivalenta riskam

• KISS – Klasiskais trīsstūris• Konfidencialitāte, Integritāte, Pieejamība

– Informācijas klasifikācija– Drošība arī ārpakalpojumos– Ķēde ir tik stipra cik vājākais posms

Nedaudz par dažām tēmām

• Penetration testing– Kā pārliecināties, par kvalitāti pirms un pēc darba?

• Vai dokumentācija un atbildību dalījums nodrošina drošību un aizsardzību?– Un atbilde ir....

• DLP – kopā ar informācijas klasifikāciju• Informācijas klasifikācijas jautājumi– Kas vispār ir svarīgs?

Jautājumi