Na prvním místě je třeba si uvědomit, že zaměstnanci jsou vůči změnám velice rezistentní, což je pochopitelné, protože se změn bojí.

V takové situaci se obvykle doporučuje danou změnu srozumitelným způsobem komunikovat všem dotčeným zaměstnancům, aby pochopili, proč se vedení společnosti rozhodlo danou změnu realizovat.

Strategie informační bezpečnosti (Information Security Strategy, zkr. ISS) by měla vycházet z business strategie a regulatorních požadavků.

Při návrhu optimální strategie informační bezpečnosti byste měli vzít v úvahu vnější i vnitřní prostředí, ve kterém se core business společnosti odehrává, protože zde vznikají rizika, kterým musí společnost, pokud chce být na trhu dlouhodobě úspěšná, čelit. Cílem strategie informační bezpečnosti je pak zcela logicky minimalizace těchto rizik, a to na úroveň, která je pro vedení společnosti akceptovatelná, respektive která odpovídá jeho postoji k riziku tzv. risk appetite.

V minulém příspěvku jsme se věnovali hodnocení IT investic, dnes se podíváme na hodnocení návratnosti investic do bezpečnosti.

Hodnocení návratnosti investic do bezpečnosti (Return On Security Investment, zkr. ROSI) je vůbec problém, protože investice do bezpečnosti je často mnohými manažery považována za pouhý náklad. Pravda, nezvyšuje zisk, nýbrž snižuje pouze možnou ztrátu a umožňuje dosahovat úspor.

RACI tabulky se používají v rámci procesního a projektového řízení ke stanovení odpovědnosti jednotlivých osob.

V praxi se však dost často můžeme setkat s RACI tabulkami, které jsou vyplněny naprosto nešťastně, což v konečném důsledku vede k značnému snížení efektivity a zbytečným problémům. Doporučujeme vám proto provést níže popsanou horizontální a vertikální analýzu, která by vám měla pomoci ty nejzávažnější nedostatky včas odhalit.

Penetrační testy teď nabízí kde kdo, jak ale poznat, kdo je opravdu umí provést a kdo na nich chce jen vydělat?

První, co vám mohu doporučit, prověřte si danou firmu a uvedené reference. Určitě kontaktujte osobu, která je v referencích uvedena a zeptejte se jí, jak byla s prací dané firmy spokojena, a co přesně bylo předmětem dodávky. Uvědomte si, že analýza rizik (risk analyses), prověrka konfigurace (configuration review) nebo skenování zranitelností (vulnerability scan) je něco jiného než penetrační testování nebo chcete-li ethical hacking.

Tímto článkem zahajujeme sérii příspěvků na téma BYOD.

Když jsem se zde před více jak dvěma lety poprvé zmínil o zaměstnaneckém programu BYOD, tak tahle zkratka ještě neexistovala a jen málokterý CIO si připouštěl, že brzy přijde doba, kdy se bude muset této výzvě postavit čelem a bude zcela na něm, jaký k tomuto požadavku businessu zaujme postoj, zda bude, jak říkají Američané, „naysayer“ nebo „enabler“.

Má cloud computing budoucnost nebo se jedná jen o další bublinu, která brzy splaskne?

Skutečnost je taková, že s každým prodaným zařízením připojeným do internetu (a je zcela jedno, zda se jedná o klasický počítač, notebook, ultrabook, netbook, tablet, smartphone nebo e-book), které přistupuje k datům, jež jsou uloženy někde v cloudu, roste požadavek na zdroje, které cloud poskytuje, především již zmiňovaný diskový prostor a s tím související schopnost obsloužit odpovídající množství uživatelů.

Tímto článkem zahajujeme sérii příspěvků na téma „Proč CIO selhávají“.

A začneme jak jinak, než klasickým případem, kdy business útvar po IT poptává určitou službu, ale IT není schopno či nechce tuto službu poskytnout, a tak hledá důvody, proč to nejde. Z pohledu CIO (Chief Information Officer) se jedná ze strany businessu o nežádoucí poptávku a tak se jí snaží utlumit. Ano, klasická marketingová technika, ale nesmí se používat moc často.

Přikláním se k názoru, že je lepší zavést najednou incident management, problem management, change management, release management a configuration management, než se pokoušet o jejich postupné zavádění. Důvody, které mě k tomuto závěru vedou, jsem již nastínil ve svém starším příspěvku, kde jsem se zabýval vztahem mezi procesy incident management a problem management.

Pokud budete hodnotit dvě řešení a jedno bude mít výrazně vyšší TCO, pro které se nakonec rozhodnete?

Pro to s výrazně nižším TCO? Na první pohled celkem logická úvaha, ale nemusí to být správné rozhodnutí. Proč? Protože řešení, u kterého vyšlo výrazně horší TCO, může mít mnohem lepší ROI, a proto bychom měli počítat i ROI. Náklady mohou být sice vyšší, ale zase mohou být vyšší i výnosy. A pokud je zisk definován jako rozdíl výnosů a nákladů, je zřejmé, že v takovém případě budeme mít i větší zisk. Spočítat TCO a ROI však nemusí být vůbec jednoduché.