[ISACA] cobit-overview 동영상

Cobit에 대해서 관심을 가지고 계신분들에게 도움이 될만한 동영상 강의입니다.  하지만 영어라는…
하지만  파워포인트 화면이 함께 나오기때문에 이해하시는데 별 무리는 없다고 봅니다.
Cobit에 대해 이해가 있으신 분들에겐 좋은 동영상 강의가 될 듯합니다.

ISACA 지식 파워특강의 공지메일에 포함되어 있어서 저두 보게 되었습니다.
Cobit은 ISACA의 기본서이며  IT 거버넌스 프레임워크입니다.
ISACA 지식파워특강에선 Cobit 4.1에 대해서 다루고 있구요..
바로 오늘 저녁 강남에서 파워특강이 열리는데 저는 따로 신청하지 않아서..  아래 영상강좌만..  ^^

동영상을 볼수있는 URL은 다음과 같습니다.
http://www.isaca.org/webcasts/cobit-overview/COBIT-07-Board-Presentation.htm









ISACA국제 협회의
International Vice President 인 
Robert
Stroud
의 영상강좌입니다.

사용자 삽입 이미지
서비스로  ISACA 기본서  15권 목록을 다운로드 받을수있는  다운로드페이지를 소개합니다.

다운로드 페이지 보기

보안공지메일] 가짜 백신에 속지마세요

요즘 가짜 백신이 문제가 많이 되고 있습니다. 직원들에게 교육이 필요한 부분이죠.. 
인지되지못한채로  많은 사람의 컴퓨터에 가짜 백신이 여러개 설치되어 있는 경우를 많이 보게됩니다.
아래 메일에서는 하우리의 라이브콜을 썼는데요..   그외에도 좋은 웹백신이 많습니다.
라이브콜은 유료입니다.  소규모 회사라면 유료 웹백신으로 추천하시는게 좋을듯합니다.
개인이라면  무료 웹백신을 쓰셔야 하겠죠?   트렌드나 비트디펜더같은..  ^^
사용자 삽입 이미지

KISA와 이동통신3사가 제공하는 정보보호 알림이 SMS

   보호나라 사이트에 방문해보니  정보보호 알림이 서비스를 신청하라는 공지가 떴더군요
해킹,웜,바이러스등  인터넷상의 위험과 사고발생시 대처방법등을 문자메시지로 알려주는
무료 문자메시지 서비스 되겠습니다. 아래 URL에서  관련 공지및 통신사별 바로가기가 제공됩니다.

  저두 오늘 신청했구요..  아직은 메시지를 받아보진 않았지만  일단 KISA에서 진행하는 거니깐..
믿을 만 하다구 보구요  또 무료니깐..  바로 신청했습니다.

http://www.boho.or.kr/sms_service_.htm

사용자 삽입 이미지
저는 M4650을 쓰는 관계로..  LGT랍니다.  아래와 같이 신청완료했습니다.
이젠 문자를 기다려봅니다.  그래도 위급상황시 신속대응하는데 작은 도움이나마 되지않을까 기대해봅니다.
사용자 삽입 이미지

인터넷윤리실천협의회 2월20일 ‘2009년 인터넷윤리 워크숍’ 개최

출처: http://www.boannews.com/media/view.asp?idx=14356&kind=1 

행사명: ‘2009년 동계 인터넷윤리 워크숍’
날짜: 2월 20일
장소: 한국정보사회진흥원 지하 1층 대강당
주최기관: 인터넷윤리실천협의회: http://www.iecoin.co.kr/
          보안뉴스에 소개된 인터넷 윤리실천 협의회의 활동및 향후계획 << 보기 >>
후원: 한국인터넷진흥원·한국정보보호진흥원
행사목적: 인터넷 역기능으로 인한 피해를 최소화하고 건강한 인터넷 세계를 구축하기 위해
행사내용:
   대학 인터넷윤리 교과 담당 교수 및 초·중·고교 교사들이 한 자리에 모여 교육현장에서의 문제점을 진단하는 한편 앞으로에 있어 바람직한 인터넷윤리 교육 방안을 제시하고, 인터넷윤리 확산 방안 등에 대해 토론을 펼칠 예정이라고 합니다.

참여대상: 전국 대학교수와 초·중·고교 교사 및 일반인
참가비: 무료
참여방법:  이메일(kipsit@kips.or.kr)로 오는 17일까지 참가신청을 받음
문의처:  인터넷윤리실천협의회(담당자 김미선 02-2077-1577)

  인터넷 윤리는 매우 중요한 문제라는 생각이 듭니다.  학생들에 대한 교육이 주 목적이긴 하지만
보안교육을 담당하신 분이라면  관심을 가지고 참여하면 도움이  될듯 합니다.
제가 이글을 쓰는 오늘이 16일이니 내일까지  신청이 마감되는군요.. 서두르셔야 할듯합니다.

[보안공지메일] 설 연휴를 앞두고 주의할 것들…

며칠씩 계속 되는 연휴는  보안상 헛점이 생기기 쉬운 때입니다.
이런때 공지메일을 통해서  주의를 환기시킨다면  적절한 보호조치를 취할 수 있게 됩니다.
설 연휴를 앞두고 보내는 보안공지이기도 하지만   장기출장, 휴가, 기타 연휴시에도 마찬가지로
이런 원칙에 입각하여 보안활동을 할 것을  권장하실 수 있습니다.
아래 관리자 메일은  임의로 가상으로 표시한 것입니다.

사용자 삽입 이미지

뉴욕주, 정부조달 조건에 ‘에러 Top 25’ 적극 이용

참조원문:  <<보안뉴스 >>
  뉴옥주는  소프트웨어 제조업체들이   납품하는 제품이 CWE/SANS의 ‘위험한 프로그래밍 에러 탑 25’에 열거된 코딩 에러와 무관하다는 것을 증명하도록 요구할 예정이라고 합니다.

  조달 표준 초안에 근거해 뉴욕 주 기관과 사업을 진행하는 소프트웨어 제조업체들은 그들이 에러 탑 25에 속하는 코드를 제거했음을 증명해야만 합니다.   뉴욕주 당국은 이번 주 작성된 새로운 정부 조달 언어를 통해  소프트웨어 개발자들의 코딩 에러 양산을 줄인다는 계획을 가지고 있습니다.  뉴욕 주는 CWE/SANS가 최근 발표한 ‘위험한 프로그래밍 에러 탑 25’ 리스트를 인용, 가장 위험한 코딩 취약점을 규정하고 소프트웨어 개발자들이 그러한 에러를 피하도록 하고 있다고 합니다.

  현재 초안이 SANS 인스티튜트 사이트에 “애플리케이션  보안 조달 언어(Application Security Procurement Language)”에 게시되어 있습니다.  SANS는 이는 가이드일 뿐 실제 약정 언어는 공인된 대리인을 통해 작성되어야 한다고 조언했습니다.  이와 관련해 이번 새 언어의 초안 작성자이기도 한 뉴욕주 CISO 윌리엄 펠그린(William Pelgrin)은 “인간의 에러는 항상 요소가 될 수 있다”며 “정부 조달 과정에 책임과 신뢰를 부여하고자 한다. 또한 에러 발견시 가능한 빨리 치료와 완화가 이루어질 수 있도록 하고자 함이다”라고 밝혔습니다.

애플리케이션 보안조달 언어(Application Security Procurement Language)에 대한 초안 
  http://www.sans.org/appseccontract/

 ‘위험한 프로그래밍 에러 탑 25’ 리스트
http://www.sans.org/top25errors/
http://cwe.mitre.org/top25/

며칠전에 개발자가 피해야 할 최악의 프로그래밍 에러 TOP25란 글을 포스팅한 적이 있으니 참고하세요
http://w-security.net/entry/TOP25-Most-Dangerous-Programming-Errors

사용자 삽입 이미지

2009년 해커의 주공격목표는 인터넷익스플로러와 오피스프로그램

  2009년  해커들의 주요 공격목표는 무엇일까요? 
KISA에서는 인터넷익스플로러와 오피스 프로그램이  주요한 공격목표가 될 것이라고 전망했다고 합니다.   

출처: 지난  10일 발표된 KISA의 ‘2008년 침해사고 동향 및 2009년 전망’ 보고서
        “올해는 마이크로소프트의 인터넷 익스플로러 및 오피스 프로그램 관련 취약점이
         보안 위협의 주요 목표가 될 것”

Why: 무엇보다 많은 사용자가 이를 사용하는 데다가 주변 사람들의 의심을 크게 받지 않고
        쉽게 공격할 수 있기 때문입니다.

   사실 인터넷을 검색할때  무엇을 설치하라고 나온는 안내창에서 별 생각없이 Yes를 클릭하는 사람이 많습니다.  엑셀데이타등에 바이러스를 숨겨두어 다운로드 받도록 하는 경우  사용자들이 해당 내용을 보기위해서 오피스의 보안사항을 최소한으로 하거나  아예 MS오피스의 보안패치는 신경쓰지 않는 경우가 많아서  쉽게 공격당할수 있는 것이 현실입니다.  확실히 해커들의 공격목표가  시스템에서  어플리케이션으로 이전되는 것들이  여러가지로 발견되고 있는 상황이죠..    공격이  더 쉬우면서  성공률도 높은 방법이기 때문에  이런 추세가 계속 되고 있습니다.  이런 이유로 ..  결국은 인터넷 사용자의 보안의식의 제고가   중요한 보안대책이 될 것 같습니다.

▶ 대책:
1. 의심가는 인터넷 사이트 방문을 삼가한다.  
    (요즘의 추세는 악성코드를 웹사이트에 심어놓는것이기 때문입니다.)
2. 의심가는 메일이나 메신저의 링크를  클릭하지 않는다.
    (역시 웹상에 악성코드를 숨겨서 방문을 유도합니다.)
3. 인터넷익스플로러 관련 패치를 빼놓지 말고 설치한다.
3. 오피스 관련 보안패치를  모두 설치합니다.
     (윈도우 보안패치만으로는 충분하지 않습니다.)

[보안공지메일] 당신의 password 안전한가요?

2009년도가 밝았습니다.  사실 패스워드 안바꾸고 쭈욱 사용하는 사람들이 많죠..
평소에 패스워드 바꾸라고 말하기 힘들죠…  이렇게 해가 바뀔때 주의를 환기하면 좀더 쉽게 바꿀수있습니다.
이번 기회를 놓치지 말고  전직원에게  패스워드 변경할 것을  권하는 공지메일을 보내세요
아래에 있는 wooricompany.co.kr 도메인은 실존하는 도메인이 아닙니다. 샘플링입니다.
오해가 없으시길 바랍니다.  ^^
사용자 삽입 이미지

보안은 브레이크와 같다

  보안이란  기업의 많은 사용자들에게 어떤 인상을 줄까 생각해 보았습니다. 많은 경우   “보안은 우리를 어렵게 ~ 해”라고 하고 싶은 사람이 많은 것이 현실입니다.  보안부서에서 근무하는 제가 최근 사내메신저 도입을 진행하면서 테스트를 요청하는데..  자세히 듣기도 전에  직원들의 반응이 “이거 깔면 뭐가 또 차단되는건가요?”라고 나오더군요..

  사실 보안이란  회사가 가진 정보자산을 보호함으로써  회사의 비즈니스 성공에 기여하고자 하는 것입니다. 보안이 많은 직원들에게 부정적인 이미지를 주고 있는 것이 현실이긴 하지만  어쨋든 보안에 대해서 바로 알려야 할 책임이  보안부서에게는 있는것 같다는 생각을 갖습니다.

  보안은 브레이크와 같습니다.   브레이크가 작동하지 않는 차를  운행할 사람은 아무도 없을 것입니다.  브레이크는 자동차를 가지 못하게 하기위해 존재하는 것이 아닙니다.  자동차를 안전하게 목적지까지 가게 하기 위해  존재하는 것입니다. 브레이크가 없는 차는 생각할수조차 없을 것입니다.  보안은 기업에 있어서 브레이크와 같은 존재입니다.    때로는 속도를 늦추게도 하지만 결국은 기업의 비즈니스가 성공할수있도록 안전하게 이끌어주는 필수적인 것이라는것을 임직원들에게 설명하고 이해시키는것이 보안부서가 제일 먼저 할 일인듯합니다.

사용자 삽입 이미지
   씽씽이와 자전거와 스포츠카의 차이를 생각해보도록 하겠습니다.  크기와 스피드에 있어서 차이가 나죠..  씽씽이는 사실 브레이크가 필요없습니다.  자전거는 손으로 잡는 약한 브레이크가 필요하구요… 스포츠카는 성능이 매우 좋은 브레이크가 필요합니다.   때로는 급하게 브레이크를 잡아야 할 때가 있을 수 있습니다. 앞 차가 사고가 나서 문제가 생겼다면 브레이크를 잡고 서행해야 할
것입니다.  빨간불이 켜지면 멈추고  위험요소가 있어서 주황색 불이 깜박거리면 다소 서행을 하면서 주변을 살펴야 할 것입니다.

  회사가 작았을 때, 비즈니스의 정보의존도가 작았을 때는 보안이 그리 중요하지 않을수 있지만  회사가 커지고 비즈니스의 중요도가 커질수록  그에 걸맞는 보안을 갖추어야 합니다.  대부분의 회사에서는 비즈니스의 위험에 대비하기 위한 충분한 제동장치 즉 보안시스템을 갖추지 못하고있는것이 현실입니다.  보안이 불필요한 비용으로 인식되기도 합니다.   하지만  이제 돌아보아야 할때입니다. 내가 운영하고 있는 또는 몸담고 있는 이 회사가  브레이크없이 질주하는 자동차가 되어 있지는 않은지 말입니다.

   보안을 도입할때는 우리 회사의 위험요소를 잘 분석하여 그에 걸맞는 보안수준을 목표로 삼아야 합니다. 자전거에 스포츠카에 필요한 브레이크를 장착하면 자전거는 쓰러지고 말 것입니다.  보안부서에서 너무 이상적인 계획을 갖고서 보안을 도입하려고 하는것은 기업에 도움이 되지않을수도 있습니다.   보안시스템을 도입하려고 하는 기업은 처음부터 완벽한 수준을 욕심내려 하지 말고     단계별 진행 계획을 가지고  현재 기업이 처한 위험요소에 대응할수있는 적정한 수준의 보안을 진행해야 할 것입니다.

‘정보보호 교육 워크숍 2008’ 개최

‘제 7회 정보보호교육워크숍(WISE) 2008’이  내일 21일 서울교육문화회관 동강 A홀에서 개최됩니다.
이 웍크샵은 현장등록에 의해 참가할수있다고 합니다.  1만원이 필요합니다.

일시:  2008.11.21(금) 09-18
장소: 서울 교육문화회관 동강 A홀
주최: 한국정보진흥원 (KISA)
주관: 한국정보학회 (KIISC) 홈페이지: http://www.kiisc.or.kr

홈페이지 : http://is.hoseo.ac.kr/wise/
프로그램 내역

시간

내용

09:00

09:30

등록

09:30

10:10

정보보호
교육과정 / 하재철 (호서대)

09:30

09:50

 서울여자대학교
정보보호전공 교육과정 소개 (김형종/서울여대)

09:50

10:10

 정보보호
실무인재양성을 위한 교과과정 개편 방안 (임강빈/순천향대)

10:10

11:00

초청강연1
/ 김상진 (한기대)

10:10

11:00

 안철수연구소의
악성코드 교육 프로그램 소개 (조시행/안철수연구소)

11:00

11:10

휴식

11:10

11:30

개회식
/ 양정모(중부대)

11:10

11:30

 개회사:
한국정보보호학회 이홍섭 회장

 축사:
한국정보보호진흥원 황중연 원장

       한국정보보호산업협회
박동훈 회장

11:30

12:00

초청강연2
/ 양정모(중부대)

11:30

12:00

 교육기관
정보보호 정책방향 (구천열/교육과학기술부 지식정보기반과 사무관)

12:00

13:00

점심식사

13:00

14:00

정보보호와
공학교육인증 / 임강빈 (순천향대)

13:00

13:20

 Capstone
Design 기반의 정보보호교육 (신원/동명대)

13:20

13:40

 종합설계
교과목 평가요소와 방법 (김민수/목포대)

13:40

14:00

 공학교육인증
프로그램 운영사례: 한기대 정보보호공학심화 프로그램
(김상진/한기대)

14:00

14:10

휴식

14:10

15:30

정보보호
인력양성 / 정석원 (목포대)

14:10

14:30

 가상화
기술을 도입한 정보보호 교육 방안 (신원/동명대)

14:30

14:50

 산학협력형
실무인큐베이션을 통한 정보보호 인력양성 모델 (임강빈/순천향대)

14:50

15:10

 산업계가
요구하는 정보보호 인력 (정길원/한국정보보호산업협회)

15:10

15:30

 정보보호
미래 핵심기술 인력 양성 방안 (채승완/한국정보보호진흥원)

15:30

15:40

휴식

15:40

17:00

정보보호
정책 및 기타 / 신원 (동명대)

15:40

16:00

 우리나라
중소기업의 정보 보호 역량 강화를 위한 교육 훈련 현황과 문제점
(문현정/숙명여대)

16:00

16:20

 정보보호
인력채용 박람회 성과분석 (정길원/한국정보보호산업협회)

16:20

16:40

 디지털
포렌식 전문가 자격제도 모델 개발
(김기범, 장기식/경찰청, 이상진/고려대)

16:40

17:00

 정보보호
분야 직무체계 개발 (전효정, 김태성/충북대)

17:00

17:10

휴식

17:10

18:00

전국정보보호대학협의회
정기총회