Je možné považovat bezpečnostní opatření za podpůrná aktiva?

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Rubrika: Řízení rizik
celý článek

Jak zajistit, aby jakýkoliv průzkum dopadl přesně tak, jak potřebujete – 2. díl

managementV minulém dílu jsem psal o tom, jak zvolit ty správné respondenty, aby průzkum vyšel tak jak potřebujete. Nyní se podíváme na to, jak se volí ty správné otázky.

Za tímto účelem si mnohé organizace najímají externí subjekt, zpravidla nějakou agenturu, která pro ni otázky připraví a průzkum pak realizuje. Tím má být zajištěna objektivita a anonymita.

Rubrika: Marketing
celý článek

Roste počet útoků na SWIFT

SWIFTSWIFT je systém, který slouží především k mezinárodnímu platebnímu styku a využívá ho přibližně 11 tisíc bank a finančních i nefinančních institucí po celém světě a denně jsou přes něj realizovány transakce v objemu několika miliard dolarů.

Hned na úvod je třeba říci, že se nejedná o útok na infrastrukturu nebo společnost provozující SWIFT (Society for Worldwide Interbank Financial Telecommunication), nýbrž na koncové zařízení, tedy klasický počítač, ze kterého je do SWIFT přistupováno.

Rubrika: Bezpečnost
celý článek

Tradiční způsoby řízení zabíjí veškerou kreativitu

managementTradiční způsob řízení neumožňuje firmě nabídnut zákazníkovi takový produkt nebo službu, kterou poptává a nabídnout mu ji dostatečně rychle.

Vyhrávat proto budou spíše ty firmy, které zavedou takový způsob řízení, který jim umožní dostatečně pružně reagovat na potřeby a problémy svých zákazníků, a dodají jim nový produkt, byť třeba i s méně novými funkcemi, ale rychleji.

Rubrika: Management
celý článek

Attack surface, attack vector, threat landscape a threat horizon

cybercrimeV tomto příspěvku se podíváme, co je to attack surface, attack vector, threat landscape a threat horizon.

V ochraně systému můžeme spatřit určitou analogii s ochranou jakéhokoliv objektu, který čím je větší a členitější, tím je náročnější a také nákladnější jej chránit.

Rubrika: Bezpečnost
celý článek

Lze zavádění úsporných opatření považovat za první známku toho, že firmě dochází dech?

managementTo, že firmy hledají možnosti, jak snížit své náklady, je v pořádku, ale přesto si nelze nevšimnout, že k tomuto opatření většinou přikročí až v okamžiku, kdy jim začne klesat zisk nebo jim už neroste takovým tempem jako v minulých letech.

Díky úspoře nákladů může firma sice ještě nějakou dobu cekem dobře fungovat, a dokonce být i schopna uspokojit požadavky vlastníka a akcionářů a generovat odpovídající zisk, ovšem pokud se nezmění a nepřijde s nějakou skutečně disruptivní inovací, tak ji ani tato úspora nákladů nezachrání.

Rubrika: Management
celý článek

Reverzní engineering jednoho silně obfuskovaného makroviru

malwareV poslední době se ke mně opět dostalo několik spear phishing e-mailů s přílohami, které obsahovaly dokumenty se silně obfuskovanými makry.

Netřeba snad dodávat, že vzhledem k tomu, že v nich byly použity některé méně známé obfuskační techniky, tak v nich žádný antivirus škodlivý kód nedetekoval.

Rubrika: Bezpečnost
celý článek

Obfuskace a základní obfuskační techniky

jokerCílem obfuskace je zabránit nebo alespoň co nejvíce ztížit analýzu zdrojového kódu a to tak, že se ve zdrojovém kódu provedou takové úpravy, které způsobí, že pro člověka se takový kód stane značně nečitelným a to i pro samotného autora.

Obfuskace tak bývá dost často používána jako určitá ochrana intelektuálního vlastnictví. Využívají ji však i autoři malwaru, kteří obfuskaci používají k zakrytí toho, co kód vlastně dělá a tím ztěžují jeho detekci.

Rubrika: Bezpečnost
celý článek

Jaké role můžeme identifikovat v rámci kyberzločinu

cybercrimeTrestná činnost v kyberprostoru, tzv. kyberkriminalita, páchaná organizovanými skupinami, využívajícími schopností a prostředků dalších skupin a jednotlivců de facto funguje na stejném principu jako jakýkoliv jiný naprosto legitimní business, jehož cílem je generování zisku.

Dále v textu je zachyceno, jak jsou rozděleny jednotlivé role v rámci organizace páchající kyberzločin.

Rubrika: Bezpečnost
celý článek

Systém managementu kvality tajemství zbavený

management2Cílem tohoto příspěvku je stručné shrnutí normy ČSN EN ISO 9001:2016 respektive ISO 9001:2015, která se zabývá systémem managementu kvality.

Hned na úvod je třeba zdůraznit, že systém managementu kvality a zavedené procesy by organizaci rozhodně neměly omezovat v tom, co dělá. A pokud tomu tak je, znamená to, že systém nebyl správně pochopen a byl zaveden naprosto špatně.

Rubrika: Management
celý článek