Sikkerhed ved Web 2.0 set i et forretningsmæssigt perspektiv.
Præsentationen indeholder flere konkrete forslag til politik for brug af sociale netværk virksomheder. Politik-eksemplerne er taget fra skabelonerne i SecureAware Policy
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
1. Tror du stadig, du kan sige nej tak til Web 2.0 og skyen? Lars Neupart LN@neupart.com
2. Wikipedia, først den lidt ældre: Web 2.0 er anden generation af tjenester, der er udbudt på internettet. Begrebet Web 2.0 er opfundet af Tim O´Reilly . Web 2.0 handler om at skabe relationer mellem mennesker i cyberspace, ved brug af Social Software. Dette begreb dækker over forskellige former for kommunikationsværktøjer som fx Forums, Blogs, Wikies, Chatsosv. Fælles for disse værktøjer er, at det er dynamiske hjemmesider, som for eksempel kan være programmeret i PHP eller ASP - der i modsætning til statiske hjemmesider bliver opdateret regelmæssigt.
3. Wikipedia, så den lidt nyere The term "Web 2.0" (2004–present) is commonly associated with web applications that facilitate interactive information sharing, interoperability, user-centered design and collaborationon the World Wide Web. Examples of Web 2.0 include web-based communities, hosted services, web applications, social-networking sites, video-sharing sites, wikis, blogs, mashups and folksonomies. A Web 2.0 site allows its users to interact with other users or to change website content, in contrast to non-interactive websites where users are limited to the passive viewing of information that is provided to them.
4. Et eksempel: Google wave Hvad er det? Samarbejdsplatform...? Email/Messenger/officepakke/Collaboration/social network http://vodpod.com/watch/2268955-google-wave-overview http://www.youtube.com/watch?v=rDu2A3WzQpo ”Email blev opfundet da computere så sådan ud”
5. ERP med sociale netværk NetSuiteannonceredederes “Social ERP” Detgavlidtomtale…. Fx: “Just Throw Some Social Media Sauce on Your Sorry SaaS…” (citatChris Maher B2B Lead Generator, Creative Messenger and Intense Marketing Guy).
6. Muligheder med Web 2.0 Samarbejde & Vidensdeling Markedsføring Dialog Lead-generering Kommunikations-platform....
10. Facebook og Myspace helt åbne Funktionel udfordring for programmør viste hul i Facebook Fandt samme hul i Myspace Adgang til brugerdata fra 3.parts appl. Ikke sporbart Slå autologin fra Kilde: yovschaap.com
11. Applikationer checkes ikke Applikationer i Facebook er uden eller med meget lille kontrol. Hvem som helst kan skrive apps Ingen – udover brugerne – afgører om en app er skadelig Særligt behov for politik – men hvordan håndhæver vi den? http://web2.sys-con.com/node/1232518
12. Twitter, mere Google, Facebook Twitter and Google Calendar XSS vulnerabilities revealed Garlik warns of iTunes voucher phishing scam on Facebook
13. Identitetstyveri “Social networking is key to stealing an identity” (InfoSecurity Magazine: RSA Europe by Brian Honan, a principal security consultant with BH Consulting of Ireland).
14. 2010 forudsigelser Fx fra Websense: Web 2.0 angreb topper listen over botnet, email, angreb mod MS-produkter, søgemaskine angreb, og smartphone-angreb, skadelige annoncer, og angreb mod Apple-produkter.
15. Det er ikke nemt 5% høj-trafik, ”trusted sites” er inficerede Web er det primære distributionskanal for skadelige programmer Kilde: http://newarticles.co.tv/internet/security/the-evolving-challenge-of-security.html?utm_content=newspArticles Måske lidt for meget FUD / leverandørsnak her
16. Twitter Hacker harstjålet intern information herunderkreditkortdata Kilde: Silicon Republic Botnet styret via Twitter Kilde: http://www.wired.com/threatlevel/2009/08/botnet-tweets/ ddos angreb , overbelastning Kilder: Info Security Magazine1, Info Security Magazine2 , Info Security Magazine3, The Register Blokerer nu for skadelige links: ”Oops! Your tweet contained a URL to a known malware site!« Kilde: Version2
21. Politikker for sociale netværk DoD overvejer – ordre om at lade alle baser tillade Facebook Kilde: SCMagazine Flere arbejdsgivere blokerer jf. ScanSafe Kilde: v3 US Marines forbyder sociale netværk Kilde: MSNBC Politiforbundet vejleder medlemmer Kilde: Politiforbundet UK Forsvarsministerium tillader og vejleder Kilde: Nextgov MI6 skulle nok have været tidligere ude og inddraget familien Kilde: The Register
22. Løser det sig selv? ... før du laver regler? Næppe – men “Facebook-træthed” haralleredeindfundet sig- Fx: Web 2.0 Suicide Machine - Meet your Real Neighbours again! - Sign out forever!:
24. Blokering sjældent farbar vej It-afdelingen skal sikre, at brugere advares, når de forsøger at få adgang til forbudte sociale netværk eller It-afdelingen skal blokere brugernes adgang til forbudte sociale netværk
26. Må du dele din arbejdsgivers informationer? Facebook vilkår, citat start: For content that is covered by intellectual property rights, like photos and videos ("IP content"), you specifically give us the following permission, subject to your privacy and application settings: you grant us a non-exclusive, transferable, sub-licensable, royalty-free, worldwide license to use any IP content that you post on or in connection with Facebook ("IP License"). This IP License ends when you delete your IP content or your account ( except to the extent your content has been shared with others, and they have not deleted it). Citat slut. (Deter Neupart, derharlavetfremhævningerneovenfor)
31. DS484, ISO27000 Kast ikke de gamle dyder overbord Fx risikovurdering, tilpasning med forretningsbehov, politikker, opfølgning, gennemgang, ISMS. Nogle områder er vanskeligere: Fx applikations- og system-godkendelser, ejerskab, informationslækager Kompenserende kontroller vigtigere: Fx brugeradfærd, logning, anti-malware
32. Tid til spørgsmål og kommentarer Vejledning i ”Facebook-sikkerhed: http://bit.ly/5pcZ2n Nyhedsbrev på www.neupart.dk Tak for nu! Hvem siger Twitter ikke kan bruges til noget fornuftigt?Flere idéer på wired.com
Hinweis der Redaktion
Vi starter med at definerebegrebet. Her fra den danskewikipedia
Og den engelske
Lad os tage nogle eksempler – vi springer de to mest åbenlyse over i første omgang (Facebook og LinkedIn) og starter hos Google.
Man kan jo blande social networking med et SaaS beaseret CRM/ERM-system der per definition befinder sig i skyen, og altså er cloud computing. Det giver omtale – ikke altid positive
Man kan putte mange elementer på begge sider, og vægte dem, så skålen tipper til den side man foretrækker. Jeg foretrækker at sige ja til de nye muligheder. Sikkerhedsfolk der siger nej, nej og nej bliver undgået med tiden. Men det vigtige er fordelene vittterligt er tilstede, næsten uanset hvor paranoide vi vælger at være.
Der kommer et par eksempler på nogle af disse på de næste slides.
Eksempel på data indsamling
Her er der oplagt brug for en politik, men politikker vi ikke ved hvordan vi skal håndhæve eller kontrollere er heller ikke gode
FUD kræver også stillingtagen...
The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
The security approach and role varies depending on the S-P-I delivery model
Betal kun for det, du brugerDriftsbudget, ikkeinvesteringsbudgetHurtigimplementeringKan tages I brug nu – nyeforretningstiltagkanikkealtidventepå interne IT-systemerFokusérpå din forretningGørdet du erbedsttil, ikke data-centre“The Cloud Promise”: Lave omkostninger, storpålidelighed, flexibility og “agility”
Eller regler i kan overveje....
Eksempel på uatoriserede ADSL forbindelser der poppede op i en ellers disciplineret organisation, som følge af facebook blokade
Mere HR end sikkerhed
Awareness-delen, som netop med sociale netværk er ekstra vigtigt.Jeg er selv i tvivl om effektiviteten og/eller kvaliteten i indholdsfiltrering endnu – der er lidt tidlige produkter, som kan have stor effekt (ønsket og uønsket) - men det skal nok komme. Indtil da, må vi lave regler som pålægger brugerne en rimelig adfærd.
Bevidstheden om at jeg måske overvåges kan fremme min mere sikre adfærd
Sig ja til det nye og hold fast:Kast ikke de gamle dyder overbord.