Varnost organizacij

Vsebina predavanj: • Organizacijske strukture - Vloge varnostnega osebja (npr. Enisa) - storitve v organizaciji (IT služba, Varnostna služba, ustreznost, VOC, Srebrne ekipe) - Potek dela pri odzivanju na incidente • Upravljanje s tveganji - Definicije - Praktični primeri upravljanja - prepoznavanje groženj - npr. preko ACL - modeliranje groženj - vektorji napadov, tipi groženj, notranje vs. zunanje - Manjšanje tveganj v praksi  modeliranje, prilagoditev, ponovno ocenjevanje, modeliranje  rangiranje tveganj preko: Izogibanje, Zmanjšanje, Prenos, Sprejemanje  komunikacija z deležniki  Preprečevanje / Preventiva  Pred-priprava  Srebrne ekipe  VOC • Varnostno upravljanje in politika - Formalne okvirji  Ogrodja (mikro .. makro, posameznik .. družba)  Standardi (npr. ISO27001)  Zakoni in etika (poglobljeno drugje)  Varnostne smernice (pasti, zahteve, potrebne komponente ...)  Celostni pristop (ljudje, stroji, kultura)  Kontekstualizirane smernice (zahteve glede na segment, npr. finance proti kmetijstvu) • Zasebnost - Definicije - Praktična uporabnost - Osnovni pojmi (vrednost, pravica do pozabe, izbira, zaupanje ...) kontekstualna vprašanja v zasebnosti (zakon v primerjavi z zdravo pametjo, formalne vs. neformalne norme, zahteve podjetij proti zasebnim; kulturne razlike; etika zasebnosti, zdravje in finance vs. e-trgovina ...) - Zasebnost v praksi (npr. pri razvoju programske opreme). • Zakoni, etika in skladnost (Zakoni in predpisi so zajeti v predmetu Pravni vidiki varnosti.) - Etika varnosti (neformalne vs. formalne norme, etične zmote v varnosti, racionalizacija, nagnjenost k uporabi svetopisemskih zapovedi za upravičevanje ...) • Komunikacija z vodstvom in nadzornim svetom (OPOMBA: Na tej ravni študija je zahtevano samo osnovno razumevanje te teme.) - Zakaj je potrebna učinkovita komunikacija. - Temelji učinkovite komunikacije - Kako komunicirati z nadrejenimi • Analitična orodja in analitika - Orodja - Pregled in osnove uporabe v praksi. - Analitika podatkov - Kaj je to. - Običajne zbirke in načini zbiranja (IDS, SOC, netflow logs ...). - Osnove analize in diagnostike. - Forenzika ali analitika - Analiza vektorjev človeških in mehanskih napadov. • Zbiranje, analiza in razširjanje varnostnih obveščevalnih podatkov - Tipi signalov (SIGINT, HUMINT, MASINT, ...) Razvrstitev in uporaba. - Pasti zbiranja obveščevalnih podatkov (šum, preobilje, verodostojnost, etika, zasebnost ...) - Pregled nekaterih orodij za zbiranje obveščevalnih podatkov (Shodan, Google, Spiderfoot, Maltego ...) • Varnost zaposlenih - Varnostno ozaveščanje, usposabljanje in izobraževanje - Utrjevanje zaposlenih (pregled področja, usposabljanje uporabnikov, pasti. Več v 2. letu) - Fizično varovanje (stroji, pisarne, brskanje po smeteh itd.) - Storitve tretjih oseb (zunanji SOC, varnostniki ...) - Zunanji sodelavci (pogodbeniki, zaposleni, poslovni partnerji).