Opět se nám blíží konec roku a nastává čas se na chvíli zastavit a zamyslet se nad tím, jaký ten rok 2018 vlastně byl a především jaké hrozby můžeme očekávat v roce 2019.

Předpověď pro rok 2018 se nám opět bezezbytku naplnila, realita pak byla v mnoha ohledech dokonce ještě horší.

Občas se setkávám s případy, kdy mám docela problém se rozhodnout, jaký že to atribut informační bezpečnosti byl vlastně narušen.

A nejsem jistě sám, koho tento problém trápí. Ostatně již v roce 1998 se jím zabýval i jistý Donn B. Parker.

Titul certifikovaný manažer informační bezpečnosti (Certified Information Security Manager, zkr. CISM) je titul, který uděluje organizace ISACA tomu kandidátovi, který úspěšně absolvuje zkoušku a splní i další podmínky.

Pokud se rozhodnete tento proces podstoupit, tak se nejprve musíte zaregistrovat u organizace ISACA a poté si zvolit, kde a kdy budete zkoušku skládat.

S regulatorními požadavky lze v zásadě pracovat jako s jakýmkoliv jiným rizikem.

Jednoduše stačí porovnat celkové náklady na zavedení a provoz příslušného bezpečnostního opatření na jedné straně a výši případné pokuty vyplývající z jeho nedodržení na straně druhé.

Common Weakness Scoring System, zkr. CWSS, by měl umožnit hodnocení slabin bez ohledu na to, v jakém produktu byla daná slabina nalezena a následně je mezi sebou porovnat.

Ovšem pozor, nepleťte si CWSS se systémem CVSS používaným pro hodnocení zranitelností.

Cílem tohoto příspěvku je popsat, jak čelit APT útokům, především jak jim předcházet, jak je detekovat, jak se bránit, a jak postupovat v případě napadení.

Jestliže jsem v minulém příspěvku věnovanému popisu jednotlivých fází APT uvedl, že v první fázi, kdy dochází ke zjišťování informací a přípravě tohoto útoku, toho organizace nemůže mnoho dělat, tak bych chtěl nyní prohlásit, že už v této fázi jej lze detekovat a reagovat na něj.

Hned na úvod je nutné říci, že virtualizace a kontejnerizace řeší zcela jinou potřebu. Tyto technologie nestojí proti sobě, ale naopak se doplňují.

Z pohledu bezpečnosti řešíme problém, aby při napadení aplikace běžící v kontejneru/virtuálu nedošlo k napadení hostujícího OS nebo aplikace běžící v jiném kontejneru/virtuálu, a naopak aby při napadení hostujícího OS nedošlo k napadení aplikací běžících v jednotlivých kontejnerech/virtuálech.

Trh s roboty, konkrétně pak s těmi softwarovými, pro něž se již vžil pojem Robot Process Automation, zkr. RPA, roste.

Momentálně se na něm pohybuje nějakých 15 významných hráčů, kteří obsluhují několik tisíc klientů po celém světě. Ti jen za minulý rok vydělali prodejem RPA řešení několik stovek miliónů dolarů a očekávají další růst tržeb a to až o několik stovek procent ročně.

Založili jsme nové téma robotizace, ve kterém se věnujeme především rizikům spojeným s RPA, což je zkratka pro robot proces automation tedy automatizaci procesů za využití softwarových robotů. Očekáváme, že toto téma bude v dalších letech nabývat dále na významu.

Organizace OWASP každý rok sestavuje žebříček nejčastějších slabin v testovaných aplikacích.

Ten byl po dobu několika let víceméně stejný, jen v něm docházelo k drobným změnám na jednotlivých pozicích, kdy si občas nějaké slabiny prostě jen vyměnily místo. Letos v něm však došlo k několika významným změnám.