Information Security Awareness

Про курс:

У різних організаціях доступ до інформації мають до 99% працівників, при цьому більшість персоналу вважають, що захист цієї інформації – це відповідальність лише кількох фахівців відділу ІТ або інформаційної безпеки. Насправді кожен працівник організації є важливим елементом в системі захисту інформації, і він повинен розуміти існуючі загрози та ризики і бути готовим діяти у випадку потреби. Коли виникне небезпека, важливо, щоб працівники прийняли правильні рішення і вчинили правильні дії, що дозволять захистити інформацію.

Для кого:

• Управлінці та спеціалісти з різним професійним досвідом
• Курс не вимагає попередньої підготовки чи досвіду роботи у сфері ІТ.

Мова викладання:

Українська, російська

Даний курс допоможе:

• Отримати різнобічні знання, які вони зможуть використовувати у щоденній роботі, й тим самим підвищити рівень захищеності інформації своєї компанії, клієнтів та партнерів.
• Дізнатись, у чому полягає цінність інформації, які її особливості
• Зрозуміти, як потрібно управляти інформацією
• Побачити, які існують загрози та ризики
• Дізнатись, що потрібно робити у повсякденній роботі для захисту інформації
• Спробувати застосовувати отримані знання в практичних групових заняттях.
• Відпрацювати ситуації, що вже мали місце в інших організаціях (наприклад, сценарій із шифруванням даних на всіх комп’ютерах).

План курсу

ДЕНЬ 1:

    1. Information and its properties

1. Types of information and its form

2. Confidentiality, Integrity, Availability

3. Value of information

4. Data ownership

5. IT custodians

6. Classification of information

    2. Threat agents and sources of threat

1. State actors

2. Terrorists

3. Industrial spies and organized crime

4. Hacktivists

5. Hackers

6. Bot-network operators

7. Criminal groups

8. Intelligence

9. Insiders

10. Phishers

11. Spammers

12. Spyware/malware authors

13. Natural disasters

    3. Threat types

1. Malware types

2. worms

3. logic bombs

4. trojan horses

5. RAT

6. Adware

7. Spyware

8. Rootkit

9. Spoofing

10. Network scanning

11. Password bruteforce

12. Shoulder surfing

13. Dumpster diving

14. Session hijacking

15. Denial of service attacks

16. Phishing

17. Vishing

18. Spam

19. Social engineering

20. Pretexting

21. Turn-style bypass/piggybackking

22. Baiting (malicious USB/CD dropping)

23. Water damage

24. Fire damage

25. Salami attack

26. Physical access token copying

    4. Vulnerabilities

1. Design weaknesses

2. Implementation weaknesses

3. Operational weaknesses

4. Software vulnerabilities

5. Process vulnerabilities

6. Physical vulnerabilities

    5. Risk and its mitigation

1. Probability of security event

2. Impact of security event

3. Risk qualitative value

4. Risk quantitative value

5. Valuation of intangible assets

6. Risk avoidance

7. Risk transfer

8. Risk acceptance

9. Risk mitigation options

10. Control environment

11. Administrative controls

12. Logical controls

13. Physical controls

    6. Safety tips

1. Importance of human factor/enabler for strong information protection

2. Requirement for continuous protection activities

3. Password protection risks

4. How to use strong passwords

5. Strong authentication

6. Malicious links and drive-by-load attacks

7. Trojan horses

8. Malicious USB drives

9. Data interception

10. Public hot spot risks

11. Social engineering over the phone

12. Social engineering in face-to-face communications

13. Shoulder-surfing

14. Dumpster diving

15. Cleandesktop policy

16. Risks of highprivileged accounts

17. Phishing

18. Acceptable use policy

19. Kids safety

20. Mobile device safety

21. BYOD

22. Safety on travel

23. Hoax emails

24. Guest handling

25. Document metadata

26. Test data anonymization

27. Security in 3rdparty agreements

28. Segregation of duties

29. Whistblowing

    7. Human controls

1. Culture and ethics

2. Knowledge and skills

3. Employee screening and background checks.

    8. Security organization

1. Security committee

2. CISO

3. Incident response team

4. CERT

5. Software security group

6. SOC

7. Risks manager

8. Internal audit

    9. Security processes

1. Access and identity management

2. Incident response process

3. Security in change management

4. Risks management process

5. Disaster recovery teams

    10. Security infrastructure

1. Antimalware

2. Firewalls

3. PKI and CA

4. Patches

5. DLP

6. IDS/IPS

7. SIEM

8. Vulnerability management

9. MDM

10. Disposal of IT assets

11. Encryption for email, hard drive, HTTPS

    11. Policies, procedures, standards and guidelines

1. Document owner and their responsibility

    12. Business continuity

1. Business impact assessment

2. Risk scenarios

3. Maximum tolerable recovery time and data recovery point

4. Recovery strategies

5. Backup processing facilities (hot, warm, cold, mobile)

    13. Control frameworks

1. ISO27001

2. Cobit 5

    14. Regulations

1. Directive 95/46/EC

2. GDPR

3. Ukrainian low about personal data protection

4. Ukrainian legislation in the area of cyber-security, KSZI

5. Wassenaar Arrangement

6. Other (PCI-DSS, SOX, etc.)

ДЕНЬ 2:

1. Case study: data classification
2. Case study: risk management
3. Case study: business continuity management
4. Case study: incident response
5. Case study: information exchange with artnering organization
6. Case study: separation of duties and access management
7. Case study: information security requirements for the IT system