Publikováno: 19. 09. 2010, v rubrice:
Testování SW, autor:
Miroslav Čermák
, aktualizováno: 01. 02. 2012, zobrazeno: 7 619x
Myslíte si, že když úspěšně otestujete přechod na novou verzi systému a v rámci testování se neobjeví žádné problémy, že máte vyhráno?
Vězte, že problémy se obvykle objeví až po nějaké době používání a v některých případech jsou dokonce takového rázu, že není jiné cesty, než se zase vrátit k předchozí funkční verzi. Možná si teď říkáte, v čem je problém, máte přeci zpracovaný a otestovaný DRP a sekundární server pro případ výpadku. Nainstalujete na něj předchozí verzi, uživatele přesměrujete na něj a nikdo si ničeho ani nevšimne.
Publikováno: 09. 09. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 04. 07. 2011, zobrazeno: 8 766x
, 2 komentáře
Tento příspěvek se zabývá doporučením ohledně autentizace v internetovém bankovnictví, které před několika lety vydal FFIEC (Federal Financial Institutions Examination Council).
V dokumentu Guidance on Authentication in an Internet Banking Environment se uvádí, že finanční instituce by měly efektivně ověřovat identitu svých klientů a že finanční podvody a krádeže identit jsou často výsledkem používání jednofaktorové autentizace (ID a hesla), kterou FFIEC považuje za nevhodnou.
Publikováno: 31. 08. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 09. 05. 2013, zobrazeno: 10 848x
, 1 komentář
Je SIEM něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?
V počátcích informatiky nepředstavoval auditing a monitoring informačního systému téměř žádný problém, neboť každá organizace měla zpravidla jen jeden informační systém, ke kterému se uživatelé připojovali prostřednictvím terminálů a vytvářel se tak pouze jeden log. Správce takového systému pak nastavil, které události se mají do logu zaznamenávat, a log pak pravidelně vyhodnocoval.
Publikováno: 07. 08. 2010, v rubrice:
Management, autor:
Miroslav Čermák
, zobrazeno: 9 300x
Pojďme se společně zamyslet nad tím, jaké vlastnosti by měl splňovat nástroj na incident management.
A nezapomínejme přitom na to, že jsou minimálně dvě skupiny uživatelů tohoto nástroje, ti co incidenty hlásí a ti co je řeší. Incident může být uživatelem nahlášen telefonicky, mailem nebo přes webové rozhraní, což je z pohledu řešitele ta nejlepší varianta a z pohledu uživatele mnohdy ta nejhorší, bohužel.
Publikováno: 25. 07. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 29. 03. 2011, zobrazeno: 20 708x
Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.
Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Publikováno: 15. 07. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 26. 04. 2013, zobrazeno: 12 037x
Ač je žádoucí informace chránit během celého jejich životního cyklu, tak na jejich bezpečnou likvidaci mnohé firmy stále zapomínají.
Nejen domácnosti ale i firmy problematiku likvidace dat velice často podceňují. Velmi se pak podivují, když se stanou obětí nějakého útoku. Šetřením se navíc ukáže, že právě v PC nebo notebooku, který byl dán do bazaru nebo věnován jakési organizaci v rámci charitativní akce v době, kdy firma nahrazovala zastaralou výpočetní techniku novou, se nacházela citlivá data. Pokud nemáte proces likvidace dat spolehlivě ošetřen, tak vás ani sebelepší DLP řešení neochrání.
Publikováno: 11. 07. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 24. 03. 2013, zobrazeno: 20 569x
Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.
Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.
Publikováno: 01. 07. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 20 373x
V tomto příspěvku se dozvíte, co jsou to hashovací funkce, k čemu se používají a jak fungují.
Hashovací funkce je jednosměrná/jednocestná/irreversibilní funkce, které můžeme jako parametr předat libovolně dlouhou zprávu a na jejím výstupu pak obdržíme tzv. hash nebo-li otisk o délce x-bitů. Důvod, proč se o této funkci hovoří jako o jednocestné, je ten, že z výstupu této funkce nejsme schopni zpětně vygenerovat vstup, který byl jejím parametrem. Jinými slovy, z hashe nelze odvodit původní zprávu.
Publikováno: 27. 06. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 08. 11. 2012, zobrazeno: 12 113x
Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.
Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.
Publikováno: 19. 06. 2010, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 22. 06. 2013, zobrazeno: 10 620x
Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?
Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).