Vícevrstvá bezpečnost

Pokud máme zajistit bezpečnost dat během celého jejich životního cyklu a to jak v úložišti, při přenosů a během použití, musíme zavést vhodná bezpečnostní opatření.

Najít odpověď na otázku, která bezpečností opatření by měla být zavedena v konkrétním případě, není možné bez provedení analýzy rizik. Obecně ale platí, že by měla být zavedena minimálně ta opatření, která patří do základní sady opatření.

Štítky:
celý článek

Downgrade test

Myslíte si, že když úspěšně otestujete přechod na novou verzi systému a v rámci testování se neobjeví žádné problémy, že máte vyhráno?

Vězte, že problémy se obvykle objeví až po nějaké době používání a v některých případech jsou dokonce takového rázu, že není jiné cesty, než se zase vrátit k předchozí funkční verzi. Možná si teď říkáte, v čem je problém, máte přeci zpracovaný a otestovaný DRP a sekundární server pro případ výpadku. Nainstalujete na něj předchozí verzi, uživatele přesměrujete na něj a nikdo si ničeho ani nevšimne. 

Štítky:
celý článek

Autentizace v internetovém bankovnictví

Tento příspěvek se zabývá doporučením ohledně autentizace v internetovém bankovnictví, které před několika lety vydal FFIEC (Federal Financial Institutions Examination Council).

V dokumentu Guidance on Authentication in an Internet Banking Environment se uvádí, že finanční instituce by měly efektivně ověřovat identitu svých klientů a že finanční podvody a krádeže identit jsou často výsledkem používání jednofaktorové autentizace (ID a hesla), kterou FFIEC považuje za nevhodnou.

Štítky: , ,
celý článek

SIEM: Auditing a monitoring

Je SIEM něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

V počátcích informatiky nepředstavoval auditing a monitoring informačního systému téměř žádný problém, neboť každá organizace měla zpravidla jen jeden informační systém, ke kterému se uživatelé připojovali prostřednictvím terminálů a vytvářel se tak pouze jeden log. Správce takového systému pak nastavil, které události se mají do logu zaznamenávat, a log pak pravidelně vyhodnocoval.

Štítky: ,
celý článek

Incident management: jeden nástroj lepší než druhý

Pojďme se společně zamyslet nad tím, jaké vlastnosti by měl splňovat nástroj na incident management.

A nezapomínejme přitom na to, že jsou minimálně dvě skupiny uživatelů tohoto nástroje, ti co incidenty hlásí a ti co je řeší. Incident může být uživatelem nahlášen telefonicky, mailem nebo přes webové rozhraní, což je z pohledu řešitele ta nejlepší varianta a z pohledu uživatele mnohdy ta nejhorší, bohužel.

Štítky:
celý článek

Analýza rizik: kvantitativní vs. kvalitativní

Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Štítky: ,
celý článek

DLP: Bezpečná likvidace dat

Ač je žádoucí informace chránit během celého jejich životního cyklu, tak na jejich bezpečnou likvidaci mnohé firmy stále zapomínají.

Nejen domácnosti ale i firmy problematiku likvidace dat velice často podceňují. Velmi se pak podivují, když se stanou obětí nějakého útoku. Šetřením se navíc ukáže, že právě v PC nebo notebooku, který byl dán do bazaru nebo věnován jakési organizaci v rámci charitativní akce v době, kdy firma nahrazovala zastaralou výpočetní techniku novou, se nacházela citlivá data. Pokud nemáte proces likvidace dat spolehlivě ošetřen, tak vás ani sebelepší DLP řešení neochrání.

Štítky: ,
celý článek

Analýza rizik: kvalitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Štítky: ,
celý článek

Základy kryptografie pro manažery: hashovací funkce

V tomto příspěvku se dozvíte, co jsou to hashovací funkce, k čemu se používají a jak fungují.

Hashovací funkce je jednosměrná/jednocestná/irreversibilní funkce, které můžeme jako parametr předat libovolně dlouhou zprávu a na jejím výstupu pak obdržíme tzv. hash nebo-li otisk o délce x-bitů. Důvod, proč se o této funkci hovoří jako o jednocestné, je ten, že z výstupu této funkce nejsme schopni zpětně vygenerovat vstup, který byl jejím parametrem. Jinými slovy, z hashe nelze odvodit původní zprávu.

Štítky: ,
celý článek

DLP: Jak zabránit úniku citlivých informací

Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.

Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.

Štítky: ,
celý článek