Zdążyć przed hakerem Dobczyce

Cyberatak to dzisiaj jedno z poważniejszych zagrożeń dla biznesu, a przygotowanie firmy do ataku hakerów, który nieuchronnie nastąpi, to jedno z największych wyzwań dla kadry zarządzającej. Mimo że o cyberbezpieczeństwie mówi się dużo, komunikaty, które docierają do typowego menedżera, trudno przełożyć na konkretne działania zarządcze. Książka Zdążyć przed hakerem jest próbą sprostania temu wyzwaniu i przygotowania menedżerów do udziału w dyskusji z ekspertami. Skupia się na elementach zarządzania cyberbezpieczeństwem wybranych tak, aby nie wymagały one wiedzy specjalistycznej, a jednocześnie pokazywały związek między technologią informatyczną i nowoczesnym biznesem. Cyberbepieczeństwo jest w niej pokazane z perspektywy procesów zarządczych, standardów dobrej praktyki i wybranych regulacji. Jakub Bojanowski, wykorzystując swoje ponad 20-letnie doświadczenie doradcy, zdobyte podczas współpracy z instytucjami ze wszystkich ważniejszych działów gospodarki, pokazuje, że aktywny udział kadry menedżerskiej w zarządzaniu bezpieczeństwem jest nie tylko możliwy, ale także wcale nie tak skomplikowany, jak się powszechnie uważa. Więc jeśli chcesz zrozumieć, na jakie cyberzagrożenia musimy być przygotowani, to w tej książce znajdziesz nie tylko wyjaśnienia najważniejszych terminów, lecz także przydatne przykłady i case studies z praktyki zawodowej autora, które pokazują, że każdy menedżer, nawet z bardzo podstawową wiedzą z zakresu informatyki, może pełnić ważną funkcję w tworzeniu firmowego programu cyberbezpieczeństwa. Z książki dowiesz się: Dowiesz się, w jaki sposób hakerzy wybierają swoje ofiary, jak działają i jaką mają motywację. Zidentyfikujesz zasoby informatyczne firmy, które są szczególnie narażone na cyberzagrożenia. Poznasz standardy i kanony dobrej praktyki w zarządzaniu bezpieczeństwem informacji. Dowiesz się, jak kadra menedżerska powinna współpracować z fachowcami technicznymi i specjalistami od bezpieczeństwa, aby wspierać rozwój biznesu. Zrozumiesz, w jaki sposób i dlaczego pieniądz elektroniczny i systemy płatności on-line są narażone na ataki hakerów i dlaczego stosowane w tym obszarze zabezpieczenia i technologie muszą być cały czas rozwijane. Poznasz działania, które należy podejmować, aby ataki hakerów wykrywać odpowiednio wcześnie i ograniczać ich negatywne skutki. Dowiesz się, jak postępować, aby w sytuacji, kiedy firma jest ofiarą cyberataku, swoimi działaniami nie pogłębiać kryzysu i zachować swój wizerunek sprawnego i kompetentnego menedżera, który jest w stanie sprostać nawet tak trudnemu wyzwaniu. #zdazycprzedhakerem *** Przez ostatnie lata liderzy organizacji kierowani radami profesjonalistów i konsultantów specjalizujących się w cyberbezpieczeństwie sukcesywnie wprowadzali firmy na wyższy poziom świadomości zarządzania bezpieczeństwem. Z czasem pewne rozwiązania zadomowiły się w przedsiębiorstwach, nie nadążając za niezwykle dynamicznym środowiskiem zagrożeń cyberprzestrzeni. Zdążyć przed hakerem w zupełnie nowy sposób pokazuje, że podążanie za „normami” i regulacjami oraz szablonowe podejście do zarządzania cyberbezpieczeństwem to przeszłość. Książka w praktyczny sposób obrazuje, jak budować wartość biznesu i redukować jego koszty poprzez odpowiednie, na bieżąco weryfikowane praktyki zarządcze w zakresie zarządzania cyberryzykiem. Głęboko wierzę, że książka Kuby Bojanowskiego w dużym stopniu przyczyni się do podnoszenia świadomości, znaczenia profilaktyki oraz budowania odporności firm na zagrożenia, które jak otaczający nas świat zmieniają się i ewaluują każdego dnia. - Marcin Ludwiszewski, wieloletni lider i ekspert ds. cyberbezpieczeństwa w organizacjach prywatnych i publicznych. Zachowania ludzkie zmieniają się wolniej od technologii, co tworzy najgroźniejszą lukę w obszarze cyberbezpieczeństwa, którą na razie można zniwelować tylko poprzez budowanie świadomości dotyczącej cyberzagrożeń z naciskiem na działania socjotechniczne oraz popełniane błędy. (…) Ta książka zawiera trafne przykłady, skierowane do szerokiego grona odbiorców: menadżerów, decydentów, pracowników, specjalistów IT i cyberbezpieczeństwa, wykonujących swoją pracę zarówno na rzecz administracji państwowej, jak i w sektorze prywatnym, pozwalające na pogłębienie wiedzy z cyberbezpieczeństwa. - prof. Katarzyna Śledziewska, dyrektor DELab UW, kierownik Katedry Transformacji Technologicznej, Wydział Nauk Ekonomicznych UW Spis treści: Wstęp 11 Podziękowania . 17 Rozdział 1 Menedżer w obliczu cyberincydentu . 21 Zaklinanie rzeczywistości . 23 Deprecjonowanie skali incydentu 24 Poszukiwanie łatwych rozwiązań 25 Trudności w analizie zdarzenia . 26 Straty wizerunkowe i chaos komunikacyjny 27 Słabe programy szkoleniowe dla pracowników 28 Prywatne i służbowe zasoby informatyczne 29 Poleganie na fachowcach 32 Rozdział 2 Typowy scenariusz cyberataku 35 Etap rozpoznania 39 Etap uzbrojenia . 41 Etap dostarczenia . 41 Etap wykorzystania . 43 Etap instalacji . 45 Etap dowodzenia i kontroli 46 Etap działania . 47 MITRE ATT&CK®, czyli kill chain dla zaawansowanych . 48 Rozdział 3 Cyberprzestępcy 51 Aktorzy i ich motywy 51 Pozyskiwanie środków z cyberprzestępczości 53 Kierunki i narzędzia ataku 54 Phishing . 56 Ransomware 57 Ataki na aplikacje internetowe . 59 Denial of Service . 59 Błędy ludzkie . 61 Działania na szkodę pracodawcy 63 Podsumowanie . 64 Rozdział 4 Aktywa informacyjne . 67 Sieć, urządzenia sieciowe 69 Usługi sieciowe, serwery aplikacyjne 70 Serwery w sieci wewnętrznej, systemy operacyjne, kontroler domeny 72 Bazy danych i repozytoria danych . 75 Systemy przemysłowe 77 Komputery osobiste, urządzenia mobilne i przenośne nośniki danych 79 Zasoby w chmurze obliczeniowej 80 Skrzynki poczty elektronicznej . 82 Rozdział 5 Uwierzytelnienie 85 Silne uwierzytelnienie 89 Silne uwierzytelnienie z perspektywy hakera . 94 Rozdział 6 Bezpieczeństwo informacji . 97 Rozdział 7 Bezpieczeństwo informacji z perspektywy kierownictwa . 107 Poufność . 110 Integralność 112 Dostępność 113 Podsumowanie – profil ryzyka 115 Rozdział 8 Profil ryzyka cybernetycznego – studium przypadku . 117 Pierwsze wnioski 121 Perspektywa audytora finansowego (biegłego rewidenta) 122 Perspektywa rady nadzorczej . 124 Perspektywa dyrektora finansowego . 125 Perspektywa szefa IT 125 Perspektywa zarządu 125 Perspektywa audytora bezpieczeństwa 126 Analiza scenariuszowa 127 Ocena dostępnych informacji . 128 Sceptycyzm zawodowy i zasada ograniczonego zaufania . 130 Podsumowanie . 132 Rozdział 9 Współpraca z CISO . 135 Organizacja w „pułapce cyberbezpieczeństwa” 138 CISO jako gatekeeper . 138 Zawężenie perspektywy . 139 Blindspot 140 Realistyczne oczekiwania wobec CISO . 141 Raporty na temat bezpieczeństwa . 144 Model referencyjny 147 Ekspert od bezpieczeństwa jako konsultant 149 Incydent u dużego klienta 150 Kradzież komputera z salonu 152 Konkurencja cenowa 153 Rozdział 10 Zarządzanie bezpieczeństwem – kanon dobrej praktyki . 157 Zakres ISO 27000 158 Dostosowanie ISO do potrzeb instytucji . 161 Przypisanie odpowiedzialności a szczegółowość procedur . 162 Ścieżka rewizyjna 163 Rutynowa ocena bezpieczeństwa 165 Rozwój oprogramowania . 166 Obsługa urządzeń mobilnych 166 Rozdział 11 Polityka bezpieczeństwa informacji 169 Polityka bezpieczeństwa informacji . 169 Polityka bezpieczeństwa a procedury . 171 Aktualizacja polityki 172 Rozdział 12 Organizacja zarządzania bezpieczeństwem . 175 Komitet bezpieczeństwa teleinformatycznego . 175 Skład komitetu . 175 Statut i tryb pracy komitetu . 176 Zespół (szef) ds. bezpieczeństwa informacji . 178 Zadania innych menedżerów związane z zapewnieniem bezpieczeństwa . 178 Podległość służbowa zespołu ds. bezpieczeństwa 179 Bezpieczeństwo w „pionie prezesa” 180 Bezpieczeństwo w strukturach IT 180 Bariery prawne . 181 Korzystanie z zasobów zewnętrznych . 182 Rozdział 13 Klasyfikacja informacji . 187 Klasyfikacja informacji a uprawnienia systemowe 188 Użytkownicy specjalni 190 Klasyfikacja informacji – podejście teoretyczne 192 Klasyfikacja informacji – podejście pragmatyczne 193 Klasyfikacja informacji – podejście superpragmatyczne 195 Klasyfikacja informacji a informacje niejawne . 196 Rozdział 14 Od bezpieczeństwa informacji do cyberbezpieczeństwa . 199 Krytyczne spojrzenie na ISO 27000 . 200 Model NIST . 203 Program poprawy cyberbezpieczeństwa według modelu NIST . 206 Podsumowanie 208 Rozdział 15 Ryzyko innowacji 209 Poszerzenie bazy użytkowników . 210 Elektroniczny pieniądz 211 Przygotowanie do e-biznesu 214 Case study – ujednolicenie handlu elektronicznego . 216 Rozdział 16 Bezpieczeństwo kart kredytowych 219 Wymagania PCI DSS 220 Rozdział 17 Ochrona płatności internetowych 225 Rozdział 18 Potwierdzanie tożsamości w internecie 231 Inne wykorzystanie usług zaufania 236 Rozdział 19 Zagrożenia dla prywatności . 239 Rozdział 20 Ochrona danych osobowych 247 Identyfikacja informacji . 251 Wybór środków ochrony 253 Podejście oparte na analizie ryzyka . 255 Podsumowanie . 257 Rozdział 21 Zapobieganie cyberincydentom 259 Obrona przed phishingiem . 260 Data Leakage Protection 263 Systemy automatycznego wykrywania zdarzeń 265 Dalsza rozbudowa SIEM 268 Rozdział 22 Security Operations Center . 271 CSIRT 274 Rozdział 23 Zarządzanie kryzysowe podczas cyberincydentu 277 Jak dobre praktyki mogą pomóc w cyberkryzysie . 281 Realna ocena cyberzagrożeń . 281 Współpraca z ekspertami 283 Polityka bezpieczeństwa i zasady eksploatacji systemów . 284 Bezpieczna konfiguracja techniczna . 285 Szkolenie dla pracowników . 286 Kompleksowy program budowy świadomości cyberzagrożeń . 287 Monitorowanie zagrożeń 288 Rzetelna ocena skali incydentu . 290 Dodatek A Protokoły sieciowe 293 Perspektywa użytkownika 293 Architektura warstw, protokoły komunikacyjne . 295 Model referencyjny ISO OSI 296 Poziomy fizyczny i łącza danych . 298 Poziom sieci – internet . 300 Poziom transportu 303 Poziom sesji – usługi sieciowe 305 Poziomy prezentacji i aplikacji . 307 Dodatek B Adresy sieciowe . 309 Adresy IP 309 Adresy alfanumeryczne 312 Firewall . 313 Rozszerzenia funkcjonalności zapory sieciowej . 315 Jak oszukać zaporę sieciową 316 VPN . 317 Dodatek C Podstawy kryptografii 321 Szyfrowanie . 322 Szyfrowanie symetryczne 325 Kryptografia asymetryczna 327 Porównanie kryptografii symetrycznej i asymetrycznej 328 Funkcja skrótu 332 Kwestia tożsamości – trzecia strona zaufania 335 Blockchain 340 Dodatek D Modelowe zarządzanie uprawnieniami 347 Bibliografia . 353 Słownik 357