Совет дня: Регистрация и Восстановление пароля

Где бы вы не регистрировались, вас просят ввести адрес электронной почты для восстановления пароля. Какой адрес вводить?

Век живи – век учись

В ноябре, в далекой заокеанской многомиллионной стране, произошли события, которые активно обсуждались в англоязычной блогсфере посвященной ИБ. К моему глубочайшему удивлению русскоязычные эксперты уделили данному событию очень мало внимания.

Да, я понимаю, может и не актуально описывать историю, когда «директор ЦРУ  подает в отставку из-за любовной интрижки». Во-первых, у нас нет ЦРУ, во-вторых, да разве интрижка у нас это повод, а может это и не интрижка, а  задание такое…

Мне же, некоторая информация получившая огласку и приведшая к отставке директора ЦРУ Дэвида Петреуса (David Petraeus) показалась очень и очень интересной, потому как иллюстрирует ошибки часто встречаемые на практике…

Верить или не верить? Вот в чем вопрос

Пару дней назад, просматривая блоги экспертов в области информационной безопасности, натолкнулся на http://personal-data.livejournal.com/319360.html . Что привлекло? Ну конечно заглавие. Ведь о Украине речь.

Самая страшная тайна

Какая информация на предприятии должна охраняться сильнее всего?
Ради интереса напишите список ну или хотя бы прикиньте.
Можно идти дальше?

---

А есть в списке информация о пройденных тренингах по ИБ? Фамилии консультантов?

Каждый раз меня прошибает холодным потом когда я задумываюсь о угрозах которые таит не понимание выше приведенного. Каким бы талантливым не был консультант, но количество предлагаемых им подходов и приемов в реализации системы защиты ограничено. Более того, сокращая время консультации (все таки денег стоит), клиент еще больше усугубляет ситуацию.

Я для себя эффективного противоядия для данной уязвимости пока не придумал.

А Вы? 

В поисках взаимопонимания: Фальш-позитив или таки негатив?

На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?