Analýza rizik: Identifikace datových aktiv

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

Štítky: , ,
celý článek

Základy kryptografie pro manažery: certifikační autorita

Certifikační autoritou může být kdokoliv, kdo přijímá žádosti o certifikát, ověřuje, vydává, obnovuje, zneplatňuje a zveřejňuje seznam zneplatněných certifikátů.

Ale ne každý musí takovéto certifikační autoritě (Certification Authority, zkr. CA) důvěřovat. Nejde jen o politiku dané certifikační autority, resp. jak důkladně prověřuje žadatele o certifikát, ale i jakým způsobem chrání svůj soukromý klíč.

Štítky: ,
celý článek

Jak používá internetové bankovnictví Mr. Paranoia

Dnes vám přinášíme příspěvek od jednoho našeho čtenáře, který se s vámi chce podělit o své zkušenosti s internetovým bankovnictvím.

Dobrý den,

není důležité, jak se jmenuji, můžete mě klidně nazývat třeba Mr. Paranoia. Nemyslím si ale, že jsem paranoidní, jen možná oproti ostatním uživatelům trošku víc dbám na bezpečnost, neboť si uvědomuji možná rizika. Všechno to začalo před několika lety, kdy moje banka začala nabízet internetové bankovnictví.

Štítky:
celý článek

Základy kryptografie pro manažery: elektronický podpis

V tomto příspěvku se dozvíte, co to znamená opatřit dokument nebo zprávu elektronickým podpisem.

Pokud má dojít k podepsání zprávy, obvykle se nepodepisuje celá zpráva, ale pouze její hash. To proto, že při podepisování se používají algoritmy, které jsou výpočetně mnohem náročnější než algoritmy, které používají hashovací funkce, se kterými jste měli možnost se seznámit v prvním díle našeho seriálu.

Štítky: ,
celý článek

Reengineering v kostce

Cílem reengineeringu procesů je obvykle jejich zefektivnění a to není možné provést, aniž bychom se s danými procesy důkladně neseznámili.

Na každý proces bychom se měli podívat nejen z venku (tj. jaký je počet osob účastnících se procesu, jak dlouho proces trvá a jaké jsou celkové náklady na proces), ale i zevnitř (tj. jaká je délka trvání jednotlivých aktivit). Jedině tak můžeme zjistit, která aktivita trvá nejdéle, která je nejdražší a na tu se pak zaměřit.

Štítky:
celý článek

Patch management

questionPatch mananagement je proces, který se skládá z několika kroků. Začíná zjištěním existence patche, rozhodnutím o jeho relevantnosti, pokračujíc jeho testováním a končící postupným nasazením na všech systémech. Samotný patch je pak kód, který odstraňuje nedostatky ve stávající verzi softwaru. A může se jednat o nedostatky související s bezpečností, stabilitou nebo použitelností.

V okamžiku, kdy se objeví nějaká zranitelnost a je uvolněn odpovídající patch, stojíme před zásadní otázkou, zda ho nasadit nebo ho nejprve důkladně otestovat.

Štítky:
celý článek

Armáda temnot aneb jak funguje botnet

zombieBotnety, armády zombií počítačů rozmístěných prakticky po celém světě jsou stále častěji zneužívány k nejrůznějším útokům.

Jak to celé funguje, je velice prosté. Každý server na internetu má přidělenou nějakou IP adresu a jméno (hostname). S jedním hostname je obvykle svázána jedna IP adresa, ale může jich být i víc.

Štítky:
celý článek

Bezpečnostní technologie a sdílení síťové infrastruktury

Využívání síťové infrastruktury pro přenos dat bezpečnostních technologií jako je CCTV, EZS, ACC, EPS, EČZ.

Nedávno jsme se zabývali otázkou, jak snížit náklady na IT. Dnes se zamyslíme nad tím, zda by se nedaly snížit celkové náklady na bezpečnost tím, že bychom k přenosu dat ze zařízení sloužící k zajištění fyzické bezpečnosti využívali stejnou síťovou infrastrukturu, která se již dnes používá pro přenos business dat.

Štítky:
celý článek

Bezkontaktní platby: Jsou bezpečné?

Zavedením bezkontaktních karet by se měly výrazně zrychlit platby za drobné zboží. Tomu by měla nahrát i skutečnost, že pro potvrzení platby nebude nutné zadávat PIN.

Nejedná se ale o nic nového, naopak, je to záležitost stará několik let, která ve světě existuje pod názvem PayPass, což je řešení od společnosti MasterCard představené již v roce 2003. S obdobným řešením pak přišla v roce 2007 i společnost VISA a nazvala ho payWave. Pro úplnost je třeba dodat, že obě řešení používají RFID technologii a obě tyto společnosti pak s příchodem smartphonů na trh začaly spolupracovat s jejich výrobci, aby bylo místo karty možné použít smartphone vybavený technologií NFC (Near Field Communication).

Štítky:
celý článek

Cloud computing: soukromý a veřejný cloud

V tomto příspěvku se již nebudeme věnovat popisu toho, co je to cloud, neboť tomu již byl věnován příspěvek nazvaný cloud computing.

Jistě jste zaznamenali, že některé firmy, které dříve měly svá data uložena ve veřejném cloudu, začínají tato data přesouvat do privátního cloudu, neboť jsou si vědomy rizik, která jsou s veřejnými cloudy spojena. Určitě jste si také všimli, že mnohé firmy, které o přesunutí svých dat a aplikací do veřejného cloudu uvažují, se nejprve snaží vybudovat svůj vlastní privátní cloud.

Štítky:
celý článek