torsdag 31 juli 2008
onsdag 30 juli 2008
PCI DSS Web-facing vs. Internet-facing
Jag jobbar med att införa standarden PCI DSS hos olika kunder så som betalväxlar och större företag, främst genom införande av informationspolicys med tillhörnade regelverk för informations- och säkerhetsstyrning.
Läste idag ett stycke ur ett nyhetsbrev där man tog upp vikten av att vara noga när man läser standarden PCI DSS. Man tog ett exempel som jag fått frågor på ang kraven 5.5 och 5.6. "Consider the phrase "web-facing", as opposed to "internet-facing." Requirements 6.5 and 6.6 both mention the need to protect web-facing applications. This could be interpreted to mean that companies must place application layer firewalls in front of internal applications that may be served over the intranet. The expense to such a measure would clearly outweight the risk to data posed by internally facing applications. In fact, companies should protect internet-facing applications, which are exposed to an untrusted network (World Wide Web)."
Slutsats är alltså att man inte behöver inskaffa och implementera applikatiosbrandväggar för interna webapplikationer som finns på intranätet, innanför brandväggen.
Läste idag ett stycke ur ett nyhetsbrev där man tog upp vikten av att vara noga när man läser standarden PCI DSS. Man tog ett exempel som jag fått frågor på ang kraven 5.5 och 5.6. "Consider the phrase "web-facing", as opposed to "internet-facing." Requirements 6.5 and 6.6 both mention the need to protect web-facing applications. This could be interpreted to mean that companies must place application layer firewalls in front of internal applications that may be served over the intranet. The expense to such a measure would clearly outweight the risk to data posed by internally facing applications. In fact, companies should protect internet-facing applications, which are exposed to an untrusted network (World Wide Web)."
Slutsats är alltså att man inte behöver inskaffa och implementera applikatiosbrandväggar för interna webapplikationer som finns på intranätet, innanför brandväggen.
fredag 4 juli 2008
USA:s ambassad har olagliga kameror
Ekot rapporterar att USA:s ambassad i Stockholm har fått avslag från länsstyrelsen när det gäller kameraövervakning men använder kamerorna ändå.
Det är väl lite som vi gör i Sverige? Lite av en tradition. FRA har ju övervakat oss under de senasta 10 åren utan restektioner så varför ska inte andra få tänja lite på svenskarnas personliga integritet? Man hänvidar väl även på USAs ambassad till "yttre hot".
onsdag 2 juli 2008
Fysiska intrång effektivast för data-stöld
IDG Många företag är så fokuserade på att hindra ID-stöld via nätet att de glömmer att skydda sig mot fysiska stölder av känslig information. Det hävdar en säkerhetsexpert efter att ha gjort många tester av företags fysiska säkerhet.
Min erfarenhet är att organisationer kan ha en väldit bra mognad när det gäller fysiska säkerhet. Man har kontroll på lås och dörrar etc. Kanske för att det är ganska lätt att förstå. Svårare är det med "social engenering-attacker" som beskrivs i artikeln. Att ta sig in på ett företag genom att tex. verka stressad och prata i mobiltelefon är lätt eftersom snälla människor gärna håller upp dörren för en. Därför är det viktigt att man har en säkerhetspolicy som reglerar detta, men farmför allt att man regelbundet utbildar personalen vad som gäller vid mottagande av besök. Att pränta in ett säkert beteende hos sina anställda. Snäll är inte alltid bra.
Min erfarenhet är att organisationer kan ha en väldit bra mognad när det gäller fysiska säkerhet. Man har kontroll på lås och dörrar etc. Kanske för att det är ganska lätt att förstå. Svårare är det med "social engenering-attacker" som beskrivs i artikeln. Att ta sig in på ett företag genom att tex. verka stressad och prata i mobiltelefon är lätt eftersom snälla människor gärna håller upp dörren för en. Därför är det viktigt att man har en säkerhetspolicy som reglerar detta, men farmför allt att man regelbundet utbildar personalen vad som gäller vid mottagande av besök. Att pränta in ett säkert beteende hos sina anställda. Snäll är inte alltid bra.
Prenumerera på:
Inlägg (Atom)