MANSEC
MANSEC
MANSEC
Kartei Details
| Zusammenfassung | Diese Lernkarten behandeln auf Universitätsniveau die Themen Sicherheit und Management im Kontext von Unternehmen. Sie decken Bereiche wie Sicherheitssysteme, Risikomanagement, Datenschutz und Sicherheitsrichtlinien ab. Besonders relevant sind die Aspekte der Informationssicherheit, der Schutz von Personendaten und die Implementierung von Sicherheitsstrategien. Die Karteikarten richten sich an Studierende und Fachleute, die sich mit der Verwaltung und dem Schutz von Unternehmensressourcen sowie der Einhaltung von Sicherheitsstandards beschäftigen. |
|---|---|
| Karten | 83 |
| Lernende | 1 |
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 19.06.2018 / 20.06.2018 |
| Weblink |
https://card2brain.ch/box/20180619_mansec
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20180619_mansec/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Warum fordern uns im Augenblick viele Webfirmen auf, ihre neuen Datenschutzrichtlinien zu akzeptieren?
Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft, welche verschärfte Bedingungen im Umgang mit Personendaten vorsieht.
Beschreiben Sie kurz die Schwierigkeiten das Konzept „Zweckbindung“ in der Praxis einzuhalten.
Die Zweckbindung definiert die Gründe für die Datenerfassung und Zugriff. Die Verwendung von automatischen Methoden zur Durchsetzung von Datenschutzbestimmungen erfordert, dass der Zweck eines angeforderten Zugriffes automatisch erkannt und gegen die Policy überprüft werden kann.
Wie kann verhindert werden, dass die Tester von Applikationen nicht mit den Produktionsdaten arbeiten können und müssen?
Durch Maskierung von Personendaten wird der Bezug zu den Individuen in der Datenbank zerstört. Es muss aber darauf geachtet werden, dass die Umformung so realistisch und akkurat wie möglich ist; sie muss ebenfalls format- und linksicher sein.
Warum ist k-Anonymität ein Mass, welches die „Qualität“ einer Anonymisierung beschreibt?
- k Datensätze bilden eine Äquivalenzklasse (bzgl. des Quasi-Identifikators)
- schützt mit einer Konfidenz von 1/k vor einer ‘korrekten’ Verknüpfung einer Person mit ihren sensitiven Attributen
Welche Schritte müssen Sie durchführen, damit Sie eine vorgegebene „k-Anonymität“ erreichen?
- Bestimmung der Identifikatoren und des Quasi-Identifikators
- Vorgabe einer Generalisierungsstrategie
- Entfernen der Identifikatoren
- Umformen einzelner Attribute aus dem Quasi-identifikator bis gewünschtes Mass erreicht ist, eventuell unter Zuhilfenahme von Unterdrückung.
Erläutern Sie die Begriffe:
- Datenschutz by Design
- Datenschutz by Default
- Datenschutz by Design:
- Greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
- Datenschutz by Default:
- Datenschutzfreundliche Voreinstellungen“ – Werkeinstellungen sind
datenschutzfreundlich auszugestalten. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.
- Datenschutzfreundliche Voreinstellungen“ – Werkeinstellungen sind
Nennen Sie die zwei alternative Voraussetzungen, damit ihre Firma Personendaten
analytisch auswerten kann
a) Einwilligung (aller im Datensatz involvierten Personen)
oder
b) Anonymisierung der Personendaten
Was ist ein Quasi-Identifikator?
Eine Menge von Attributen (Personendaten), welche zusammen eine Person mit hoher
Wahrscheinlichkeit „bestimmbar“ macht.
Was sind die Ideen hinter P3P?
- Automatischer Abgleich mit User Präferenzen
- Automatisches System für die Bestimmung der Weitergabe von Daten
Welche zwei Dimension beschriebe der Wandel von der hierarchischen Struktur zur Organismus Organisation?
- Externe Beziehungen (immer mehr)
- Interne Beziehungen (immer weniger)
Externe Verbindungen & Zusammenarbeit / Interne Führung / Verbindung
Beschreiben Sie die drei Ausdrücke Awareness Grundhaltung und Verhalten. Nennen Sie die Reihenfolge der Herausforderung.
Awareness = Wissen, Man kann es lernen
Grundhaltung = prinzipielle Herangehensweise: Gedanken muss ins Blut gehen …
Verhalten: wird eingehalten ohne Ausnahme: Schwierigster Herausforderung.
Was ist Stickiness?
Etwas was bleibt und man nicht los wird (Ohrenwurm Song, Bild, Reim etc.)
Muss einfach, klar, verständlich und bedeutungsvoll sein.
Stickiness wird erreicht durch:
- Zuhörer involvieren
- Dem Publikum Fragen stellen (um die Zuhörer zum Denken anzuregen)
- Wichtige Infos wiederholen
- Einfache und klare Erklärungen liefern
Was wirkt besser und weshalb: Zuckerbot oder Peitsche?
Bestraffung hinterlässt eine negative, demotivierende Stimmung.
Belohnungen hinterlassen eine positive, motivierende Stimmung. --> Effizienter, nachhaltiger.
Zuckerbrot: Positive Gefühle sind einfacher zugreifbar und bleiben länger, besser und freudvoller verankert.
Gibt es Sie einen Zusammenhang zwischen Raum Design und Verhalten (auch bezüglich Sicherheit). Erkläre!
Ja: Die Raumgestaltung interagiert mit der Psyche und kreiert Erwartungen. Sauberkeit, Struktur, Blickkontakt generiert Sicherheit.
Was ist die Bedeutung einer Hyper-Connected World mit 50 Billionen Devices in 2020? Ende der Privatheit?
Durch IoT entsteht ein riesiges öffentliches Netzwerk (nicht eine Serie privater Netze).
Alles was mit dem Internet verbunden ist, birgt ein Sicherheitsrisiko. Die Identität kann vom Verhalten im Cyberspace abgeleitet werden. Benutzer werden mächtiger aber auch angreifbarer.
Security wird probalistisch
Recovering von Attacken ist wichtig.
Erklären Sie den Ablauf zum generieren effektiver Awareness
Definition der Vision, Messung des aktuellen Zustandes, Erzeugen neuen Wissens, Grundhaltung und Verhalten. Verwende «Sticky» Messages, Messe neuen Zustand.
Nennen Sie die wichtigsten Dokumente einer Firma:
- Vision, Strategie
- Security Policy
- Threat Analyses, Risikoanalyse, Risiko Management
- Gegenmassnahmen
Vision, Mission (Leitbild) Strategie, Policy, Bedrohungs-& Risikoanalyse und Risk Management, Massnahmenprojekte gemäss Frameworks.
Was ist ein Security Steuerungs-Ausschuss?
Ein Gremium zur strategischen Steuerung der Organisation, bezogen auf Sicherheit.
Wo können Sie Scenario Planning anwenden?
Bei der Ausbildung von Management, und Exekutives. Auch bei der Festlegung des Sicherheitsbedarfs, besonders bei High Impact Low Frequency Risks (HILF)
Scenario Planning:
- Nachgestelltes (aber realitätsgetreue) Szenario über eine mögliche Entwicklung.
- Ermöglicht, das "undenkbare" zu diskutieren.
- Gut um Business Strategien zu Reviewen.
Ist Attribution (Identifikation und Aufzeigen der Verantwortlichkeit für Fehlverhalten) wichtig für Security?
Attribution: Fehlverhalten gerechtfertigen, indem andere Beschuldigt werden ("they made me do it")
Ja: Die Konsequenzen müssen Persönlich, Unmittelbar sein und mit Sicherheit eintreffen.
Definieren Sie was ein Plagiat ist und wie wir in unserem Termpaper damit umgehen wollen.
Verwendung einer gewissen Menge an Fremdtext, ohne Zitat und Quellenangabe. Teilweise definert durch: max. 80 Zeichen (oder 80 Wörter) als Zitat. Falls mehr --> Paraphrasieren (umschreiben).
Erklären Sie was die wichtigsten 4 Eckpfeiler bei der Planung einer Arbeit sind.
- Ziel
- Quellen
- Methodik
- Inhaltsverzeichnis
Wie ist eine optimale Quelle für ein Termpaper definiert?
Möglichst passend zum eigenen Thema (--> möglichst kleine semantische Distanz).
Beschreiben Sie den Begriff «Leserführung»
- Kapitel mit Überleitungen versehen, sodass der Lesefluss gefördert wird und der Leser weiss, was Ihn im nächsten Kapitel erwartet.
- Roter Faden erkennbar
- Jedes Kapitel mit einer kurten Übersicht versehen (was erwartet den Leser?)
Wie kann ein Sicherheitsgefühl geprüft werden, sodass nachhaltig eine Aussage zur Sicherheit gemacht werden kann?
Risikoanalyse
Erklären Sie mindestens drei Dimensionen der Informationssicherheit.
- technisch
- organisatorisch
- rechtlich
Welche zwei Grund-Typen von Managern kennen Sie aus der letzten Vorlesung?
Manager (Administratoren) und Leader (Visionäre)
Weshalb kann aus Sicht des Top-Managements der Eindruck entstehen, dass Information Security der grösste Flopp ist? Was sagen Sei zur Verteidigung?
- Es ist nie eine 100%-ige Sicherheit gewährleistet.
- Sicherheit kostet sehr viel Geld
- Usability kann negativ beeinflusst werden.
- Immernoch häufige Sicherheitsvorfälle, trotz guten Sicherheitsmassnahmen
- Verteidigung: Sicherheit ist nötig
Welchen Persönlichkeitscharakter Typ nehmen Sie erstens für einen Information Security Audit und zweitens für die Entwicklung eines neuen Security Produkts?
Information Security Audit: Bureaucratic Character
Entwicklung eines neuen Seucrity Produkts: Inventor
Typen:
- Inventor: Kreativ, akzeptieren keine Limiten und Grenzen. "Happy that we can .. That it works .."
- Early Adapters and Evangelists: Experten, Personen haben eine "Mission"
- Orderly Character: Hauptziel: Saubere Entwicklung und Überführung; Immernoch ein wenig Kreativität.
- Bureaucratic Character: Auditor; Möchte sein Themengebiet beherrschen; Checklisten und Tabellen sind die Hauptwerkzeuge.
- Purity Character: Don't touch a running system.
Erklären Sie die folgenden Sichten auf die Informationssicherheit:
- Der Kryptologe löst das Problem.
- Einen Security Officer anstellen ist gut und das Problem ist gelöst.
- "Commander in Charge Modell"
- Beschreibt die alleinige Sicherung der Kommunikationswege, nicht aber das System selbst. --> Veraltete Ansicht.
- Früher war der Security Officer ein "Opfer-Lamm" --> hatte keine Verantwortung und keine Unterstützung des Managements.
- Security Officer schlägt Massnahmen vor und der Business-Manager wägt Risiken ab und entscheidet, welche Massnahmen umgesetzt werden (nutzen orientiert)
Beschreiben Sie eine Compliance orientierte Sicht der Security: Ist diese gut?
Compliance = Gesetzliche Forderungen und Standards erfüllen um nicht veruteilt zu werden.
Nur das Mindestmass an Anforderungen an die Security umsetzen. Die eigentlichen Risiken für das Geschäft werden dadurch aber häufig nicht behandelt, da Frameworks und Gesetze teilweise veraltet sind oder nicht 100% auf das Unternehmen angepasst sind.
Erklären Sie, weshalb die Security in verteilten IT-Systemen (mehrere Besitzer so essentiell ist? Welche Aufgaben können nie outgesourced werden?
Essentiell, da Cloud Computing heute alltäglich ist.
Outsourcing nicht möglich:
- Risiko (bleibt immer beim Benutzer)
- Kontrolle über das Personal
Was spricht für die Auslagerung der Cybersecurity bei KMU?
Outsourcing Anbieter sind meist spezialisiert auf Security und ein KMU hat häufig nicht die Ressourcen um eine vergleichbar sichere Umgebung aufbauen zu können.
--> IT Security ist aufwendig und teuer.
Was heisst das Wort «SCADA» und weshalb ist dessen Security so wichtig?
SCADA: Supervisory control and data acquisition
"Ein SCADA - System sammelt Daten von unterschiedlichen Sensoren, zum Beispiel in einer Fabrikation, und sendet diese an einen zentralen Rechner, welcher die gesammelten Daten verwaltet und kontrolliert."
--> Leitsysteme (Verkehr, Bahn, etc.)
Sicherheit ist wichtig, da dies zentrale Systeme für die Infrastruktur eines Landes sind.
Weshalb kam der Begriff «Crown Jewel Protection» in 2013 auf und was ist mit dem Begriff gemeint?
Crown Juwel: Kronjuwelen eines Unternehmens --> Die wichtigsten Daten und Systeme, welche dem Unternehmen bei Verlust grossen Schaden zufügen können.
Auslöser: Durch Snowden realisierten die Unternehmen, dass Sie angreifbar sind. Daraus etnstand die Mentalität, die Kronjuwelen so gut wie möglich zu schützen (unter anderem: Resilience, BCM, DRP).
Was ist mit dem Begriff Forensic Readiness gemeint?
Um ideal auf einen Sicherheitsvorfall reagieren zu können, muss bereits im voraus klar sein, wie reagiert werden kann. Z.B. wie die Zusammenarbeit mit der Polizei abläuft.
Was bedeutet «Nationalisation of IT» und weshalb wollen die Nationen das?
Verwendung einheimischer IT-Systeme, da nur bei diesen Systemen sichergestellt werden kann, wer auf die Daten Zugriff hat. --> Versuch, für kritische Systeme vor allem einheimische Systeme zu verwenden.
Erkenntnis durch Snowden: Systeme mit staatlichem Hintergrund haben häufig Hintertüren.
Erklären Sie den Unterschied von GRC und Security Engineering
GRC: Governance, Risk Management and Compliance --> Administrativer Teil: Definierung der Richtlinien, Einhaltung staatlicher Richtlinien (Compliance)
Security Engineering: Technische Umsetzung der GRC
Wenn es um den Wandel der firmeninternen Security geht: Welche Profile werden dazu wichtig sein, und wie unterscheiden Sich diese beiden Profile?
- Organisatorische Seite (auf der Seite des Kunden) --> Wirtschaftsinformatiker
- Technische Seite (auf der Seite des Providers) --> Informatiker
Welche Fähigkeiten sind für die Qualität der Information Security Manager besonders wichtig. Können diese Fähigkeiten gemessen werden?
- Grundvoraussetzung: Zertifizierung und technisches Know-How
- CISO muss glaubwürdig, authentisch und ein gutes Vorbild sein
- Kommunikative Fähigkeiten (Vermitteln, verkaufen und Leute ermuntern die Security zu beachten)
-
- 1 / 83
-
