Organisation Security

Vsebina predavanj: • Organizacijske strukture - Vloge varnostnega osebja (npr. Enisa) - storitve v organizaciji (IT služba, Varnostna služba, ustreznost, VOC, Srebrne ekipe) - Potek dela pri odzivanju na incidente • Upravljanje s tveganji - Definicije - Praktični primeri upravljanja - prepoznavanje groženj - npr. preko ACL - modeliranje groženj - vektorji napadov, tipi groženj, notranje vs. zunanje - Manjšanje tveganj v praksi  modeliranje, prilagoditev, ponovno ocenjevanje, modeliranje  rangiranje tveganj preko: Izogibanje, Zmanjšanje, Prenos, Sprejemanje  komunikacija z deležniki  Preprečevanje / Preventiva  Pred-priprava  Srebrne ekipe  VOC • Varnostno upravljanje in politika - Formalne okvirji  Ogrodja (mikro .. makro, posameznik .. družba)  Standardi (npr. ISO27001)  Zakoni in etika (poglobljeno drugje)  Varnostne smernice (pasti, zahteve, potrebne komponente ...)  Celostni pristop (ljudje, stroji, kultura)  Kontekstualizirane smernice (zahteve glede na segment, npr. finance proti kmetijstvu) • Zasebnost - Definicije - Praktična uporabnost - Osnovni pojmi (vrednost, pravica do pozabe, izbira, zaupanje ...) kontekstualna vprašanja v zasebnosti (zakon v primerjavi z zdravo pametjo, formalne vs. neformalne norme, zahteve podjetij proti zasebnim; kulturne razlike; etika zasebnosti, zdravje in finance vs. e-trgovina ...) - Zasebnost v praksi (npr. pri razvoju programske opreme). • Zakoni, etika in skladnost (Zakoni in predpisi so zajeti v predmetu Pravni vidiki varnosti.) - Etika varnosti (neformalne vs. formalne norme, etične zmote v varnosti, racionalizacija, nagnjenost k uporabi svetopisemskih zapovedi za upravičevanje ...) • Komunikacija z vodstvom in nadzornim svetom (OPOMBA: Na tej ravni študija je zahtevano samo osnovno razumevanje te teme.) - Zakaj je potrebna učinkovita komunikacija. - Temelji učinkovite komunikacije - Kako komunicirati z nadrejenimi • Analitična orodja in analitika - Orodja - Pregled in osnove uporabe v praksi. - Analitika podatkov - Kaj je to. - Običajne zbirke in načini zbiranja (IDS, SOC, netflow logs ...). - Osnove analize in diagnostike. - Forenzika ali analitika - Analiza vektorjev človeških in mehanskih napadov. • Zbiranje, analiza in razširjanje varnostnih obveščevalnih podatkov - Tipi signalov (SIGINT, HUMINT, MASINT, ...) Razvrstitev in uporaba. - Pasti zbiranja obveščevalnih podatkov (šum, preobilje, verodostojnost, etika, zasebnost ...) - Pregled nekaterih orodij za zbiranje obveščevalnih podatkov (Shodan, Google, Spiderfoot, Maltego ...) • Varnost zaposlenih - Varnostno ozaveščanje, usposabljanje in izobraževanje - Utrjevanje zaposlenih (pregled področja, usposabljanje uporabnikov, pasti. Več v 2. letu) - Fizično varovanje (stroji, pisarne, brskanje po smeteh itd.) - Storitve tretjih oseb (zunanji SOC, varnostniki ...) - Zunanji sodelavci (pogodbeniki, zaposleni, poslovni partnerji).

Module contents: • Organisational structures - Roles of security personnel (e.g. Enisa taxonomy) - corporate services (IT Services, Security, Compliance, SOC, Silver Team) - Incident response workflow • Risk Management - Definitions - Practical usage - threat identification - ACL's threat modelling – (Attack vectors, types of threats, inside vs. outside) - Mitigation in practice  model, adapt, reassess, repeat  ranking of risk and the Avoid, Reduce, Transfer, Accept  communication with stakeholders  Prevention  Preparation  Silver teams  SOC • Security Governance & Policy - Formal structures  Frameworks (micro to macro, individual to society, ...)  Standards (e.g. ISO27001)  Laws and Ethics (covered in-depth elsewhere)  Security Policy (pitfalls, requirements, necessary components)  Holistic approach (Humans, Machines, Culture)  Policy in context (requirements depending on the segment, e.g. Finance vs. Agriculture) • Privacy - Definitions - Applicability - Basic concepts (value, right to be forgotten, choice, trust) - contextual issues in privacy (Law vs. common sense, formal vs. informal norms, requirements of businesses vs. individuals; cultural discrepancies; ethics of privacy, health and finance vs. e-commerce ...) - Practical application (e.g. in software development. Addressed in other modules). • Laws, ethics, and compliance (Laws and regulations are covered in the module Judicial aspects of INFOSEC.) - Ethics of security (informal vs. formal norms, ethical fallacies in security, rationalisation, the inclination to use biblical precepts to justify ones’ actions...) • Executive and board level communication (NOTE: On this study level, only basic understanding of this topic is required.) - Why is effective communication needed. - Foundations of effective communication - How to communicate with superiors • Analytical Tools and analysis - Tools - Overview and practical use (basics). - Data analytics - What is it. - What data is expected and how is it gathered (IDS, SOC, netflow logs...). - Basics of analysis and diagnosis. - Forensics vs. analytics - Analysis of human and mechanical attack vectors. • Security intelligence collection, analysis, and dissemination of security information Intelligence types (SIGINT, HUMINT, MASINT, ...) - Classification and use. - Pitfalls of intelligence gathering (noise, overabundance, establishing veracity, ethics, privacy ...) - Overview of some intelligence gathering tools (Shodan, Google, Spiderfoot, Maltego...) • Personnel Security - Security awareness, training and education - Hardening employees (overview, user training, pitfalls. More in year 2) - Physical security (machines, offices, dumpster diving, etc) - Third party services (External SOC, security guards ... ) - Third party contractors (contractors, employees, business partners)"