Kniha „Jak proměnit kyberbezpečnost v konkurenční výhodu, aneb Za hranicemi best practice a proč CEO selhávají“ nabízí zcela nový pohled na kybernetickou bezpečnost jako na strategický nástroj pro růst a udržení konkurenčního postavení.

Zapomeňme na cibuli jako model vícevrstvé bezpečnosti, neboť je to v pravdě nejméně vhodný příklad.

Pokud se chceme skutečně inspirovat přírodou, a hledat nějaké paralely, tak bychom měli upřít naši pozornost na mnohem zajímavější a pro tento účel i vhodnější plodiny, např. takový kokosový ořech rostoucí na kokosové palmě, který vám jako víceletá rostlina, může v případě péče nést plody i po mnoho let.

Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.

Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.

V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.

Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:

V souvislosti s ochranou osobních údajů a citlivých informací se často setkáváme s požadavkem, aby vybraná data byla uložena tak, aby jich v případě úniku nebylo možné zneužít.

V tomto článku se podíváme, jaké jsou naše možnosti a co je to maskování, anonymizace a pseudonymizace.

V minulém dílu jsem psal o tom, jaké argumenty lze použít při žádosti o navýšení rozpočtu na kybernetickou bezpečnost.

Těžké, obzvlášť když proti vám sedí osoba, která vás nepotřebuje, a která s vámi vůbec vyjednávat nechce, a k vašim požadavkům tak od začátku i přistupuje. Může, je výše v hierarchii společnosti než vy a má svůj jasný cíl, který bedlivě sleduje.

Nyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.

Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.

Průměrný breach life cycle je stále 277 dnů, přičemž 204 dnů se útočník pohyboval bez povšimnutí v prostředí organizace a na vypořádání se s incidentem pak organizace potřebovala 73 dnů.

Nejčastěji dochází k úniku osobních údajů klientů a zaměstnanců a duševního vlastnictví, které se prodávají od cca 140 do 180 USD za kus.

Přichází konec roku a tak opět nastává čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v průběhu roku 2024.

Zásadně se nám změní krajina hrozeb, především v důsledku dalšího rozvoje AI, větší dostupností škodlivého kódu a zranitelností nultého dne. Ty již nebudou střeženy tak jako dosud. Noví hráči na trhu je budou poskytovat každému, kdo zaplatí a dostanou se tak více i k nestátním aktérům, kteří nebudou váhat je použít.

Organizace plánuje provoz svého CRM systému svěřit třetí straně. Co by měl manažer bezpečnosti udělat jako první?

Pokuste se vybrat tu nejlepší možnou odpověď.

Při tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.

I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.