Používáte matici rizik a mohl bych ji vidět? – 3. díl

anatomie risk maticeZnovu musíme zopakovat, že risk matice jest pro valuaci rizik naprosto nevhodný nástroj.

Nyní se podíváme na to, jak moc je risk matice, kterou používáte, špatná a o kolik miliónů můžete v důsledku jejího používání přijít.

Štítky:
celý článek

Jakou výši kybernetického rizika jste ochotni akceptovat?

Risk apetit představuje takovou úroveň rizika, kterou je organizace ochotná akceptovat po zahrnutí všech současných kontrol.

V mezinárodním standardu ISO 27005:2022 je risk appetite definován jako: „Amount and type of risk that an organization is willing to pursue or retain.“

Štítky:
celý článek

Monitoring zaměstnanců na sociálních sítích

Má vaše společnost zavedena nějaká pravidla, jak se mají vaši zaměstnanci chovat na sociálních sítích?

A pokud ano, kontrolujete a vynucujete jejich dodržování?

celý článek

Používáte matici rizik a mohl bych ji vidět? – 2. díl

Nepochopení toho, jak matice rizik, mapy rizik nebo chcete-li heat mapy fungují, je příčinou mnohých nedorozumění.

Matice rizik by měla primárně sloužit k vizualizaci rizik, tedy k rozřazení rizik dle typologie (podle vlivu/dominance pravděpodobnostní či dopadové složky rizika). Tj. k rámcové kategorizaci, a rozdělení na ta rizika, kterým byste se měli věnovat hned, kterým později, a kterým se nemusíte věnovat vůbec. Tedy ke snadné a rychlé prioritizaci, nikoli k jejich valuaci .

Štítky:
celý článek

Čtvrtstoletí bezpečnostních paradoxů aneb Jak různé organizace bojují s digitálními hrozbami

K tomuto článku mě dovedlo jakési rychlé ohlédnutí, co jsem za cca 25let, kdy se profesionálně věnuji kyberbezpečnosti viděl, protože ať už přímo nebo externě jsem měl možnost seznámit se s kyberbezpečností snad asi ve všech sektorech.

Nebudu mluvit o technologiích, ty se za 25 let neustále měnily i s ohledem na vývoj kyberútoků, kdy v 90. letech, v éře, kdy mnoho hackerských aktivit bylo motivováno spíše zvědavostí než zlým úmyslem až po dnešek, kdy zde kromě profesionální kyberkriminality máme i kybernetickou válku.

celý článek

Základy kryptografie pro manažery: principy asymetrické kryptografie

Asymetrická kryptografie je zpravidla postavena na nějakém složitém matematickém problému, pro který není známý efektivní způsob řešení.

Pokud bychom byli takový problém schopni vyřešit, pak bychom mohli daný algoritmus bez problémů prolomit.

Štítky:
celý článek

Neformální vzdělávání: Google cybersecurity

Kurz Google cybersecurity se skládá z 8 kurzů o celkové délce 170 hodin a měl by vás připravit na roli kybernetického bezpečnostního analytika (cybersecurity analyst).

Těm, kteří v oblasti kybernetické bezpečnosti začínají anebo by se jí chtěli věnovat, jej mohu vzhledem k jeho praktickému zaměření vřele doporučit.

Štítky:
celý článek

Používáte matici rizik a mohl bych ji vidět?

Stačí mi, když se podívám na vaší matici rizik a hned vám řeknu, jestli rizika ve vaší organizaci řídíte špatně nebo ne.

Jinými slovy, zda náhodou neřešíte rizika, která byste řešit nemuseli, nevynakládáte na ně zbytečné prostředky a naopak rizika, která byste zcela určitě řešit měli, neunikají vaší pozornosti.

Štítky:
celý článek

Jaký je přínos duhových týmů

Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.

V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.

celý článek

OSINT: Google hacking, dorking a pokročilé vyhledávání

Pokročilé vyhledávání je založeno na použití speciálních operátorů, což jsou de facto vyhrazená klíčová slova, za kterými následuje dvojtečka a po ní výraz, který hledáme.

A pak tu máme ještě Google hacking nebo také Google dorking, který obsahuje databázi zajímavých dotazů založenou právě na pokročilém vyhledávání.

Štítky:
celý článek