V minulém příspěvku o DLP jsme se zamýšleli nad tím, jak zabránit krádeži dat zaměstnancem, který má k datům legitimní přístup.

Dnes budeme hledat způsob, jak zabránit úniku dat z nedbalosti. K úniku informací může dojít i z nedbalosti zaměstnance, který únik informací způsobí svým nezodpovědným chováním. Pro úplnost ještě dodejme, že nedbalost může být vědomá i nevědomá.

Běžný uživatel se hlásí do mnoha různých systémů a tak není výjimkou, že si musí často pamatovat spoustu uživatelských jmen a hesel.

Dost často se jedná i o deset a více hesel. Málokdo je však schopen si všechna svá uživatelská jména a hesla zapamatovat, obzvlášť v případě, když je systémem nucen si volit bezpečná hesla a ta si navíc pravidelně měnit.

V příspěvku „Vícevrstvá architektura: popis vrstev“ jsme si stručně charakterizovali jednotlivé vrstvy vícevrstvé architektury, nyní si popíšeme jednotlivé typy SW klientů a jejich výhody a nevýhody.

Tlustý klient (thick client)

Tlustý klient v sobě obvykle obsahuje jak presentační tak i aplikační vrstvu a připojuje se přímo k databázovému nebo jinému serveru. Další typickou vlastností tlustého klienta je, že si přes síť stahuje velký objem dat, která zpracuje a výsledek pak přenese zpět na server.

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu.

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu (information lifecycle), a to jak v úložišti (data at rest), tak během přenosu (data in motion), tak i při samotném používání (data in use), neboť hrozí, že by mohlo dojít narušení jejich důvěrnosti, integrity a dostupnosti.

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé metody zvládání rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít. 

Pojem IT Governance prosazuje ISACA někdy od poloviny 90. let minulého století. Ač všichni o IT governance mluví, tak málokdo dovede vysvětlit, co to vlastně je. Je IT governance jen další buzzword?

IT governance je zaměřeno na strategické řízení IT, které by mělo vycházet ze strategických business plánů společnosti. Strategii IT definuje jeho vrcholový management, zastoupený nejčastěji CIO (Chief Information Officer), který též zajišťuje komunikaci mezi IT a obchodními útvary a odpovídá vrcholovému managementu dané společnosti. CIO definuje organizační strukturu a poslání jednotlivých útvarů, předkládá stávající možnosti a omezení IT, definuje požadavky na zdroje, pravidla, způsob měření a kontrol, např. dle COBIT.

V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.

V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:

V tomto příspěvku se dozvíte, co je to COBIT, pro koho je tato metodika určena a jaký je její přínos.

Metodika CobiT (Control OBjectives for Information and related Technology) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik.

Logická bomba je samostatná aplikace, skript nebo kód vložený do jiného programu, který se spustí po splnění určitých podmínek.

Logická bomba může dělat v podstatě cokoliv. Nejčastěji ji do systému umísťuje nespokojený zaměstnanec, který ví, že bude propuštěn nebo se této situace obává a jeho motivem tak bývá pomsta nebo snaha se finančně zajistit v období, kdy bude bez práce a příjmu. O tom, že toto riziko roste např. v době krize, jsme již psali.