V minulém příspěvku jsem zmínil top-down a bottom-up přístup, a na ten se nyní zaměříme.

Top-down přístup začíná tím, že si expertní tým klade otázku, co by organizaci mohlo zabránit v dosahování mise a vize. Bottom-up přístup zase vychází z identifikace aktiv, hrozeb, zranitelností a opatření, kdy si expertní tým klade otázku, jaká hrozba by mohla zneužít určité zranitelnosti a narušit důvěrnost, integritu anebo dostupnost aktiv.

Na rozdíl od předchozích příspěvků na téma manažerských selhání CIO, CEO a Hlavy státu, se dnes podíváme i na selhání obyčejných lidí.

Pro dnešek jsem vybral příběh, který začal vlastně nezajímavou zpronevěrou, ale jeho dopady se do osudů mnoha lidí zapsaly na celý zbývající život. Týkal se zkratky PS. Co si pod tím představit? Poštovní spořitelnictví, Pohraniční stráž, či Platební styk? Vše je v podstatě správně.

V tomto příspěvku se podíváme na některé obecné problémy spojené s operacemi v kyberprostoru.

Budeme předpokládat, že kybernetický útok přichází z jiného státu, a že je veden na naše systémy anebo se to tak alespoň jeví.

Žádný standard exaktně nedefinuje, jak by se mělo k identifikaci rizik přistoupit a jaké metody použít.

Jistě, nejprve je nutné stanovit kontext a definovat hranice analýzy, a potom přistoupit k identifikaci samotných rizik, ale jak?

Minule jsme si ukázali, že data-at-rest šifrování není všespásné, a že naopak jen mitiguje rizika, která nejsou až tak pravděpodobná.

V praxi jsem se setkal s tím, že uživatelé jsou přesvědčení, že jejich data v AWS, SalesForce, GCP,.. jsou šifrována jejich klíčem a poskytovatel tedy k datům nemá přístup, což je zásadní omyl.

Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.

Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.

Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Nástroj CSA od společnosti Gordic slouží ke snadnému řízení rizik, umožňuje identifikaci a kvantifikaci aktiv, hrozeb, zranitelností, opatření a rizik.

V tomto příspěvku je zachycena má praktická zkušenost s tímto nástrojem.

Dali data do cloudu, a teď je tam skutečně mají, ve velkém mraku kouře, do kterého se tato data rychle přetransformovala.

K požáru došlo ve středu 10. 03. 2021 v 00:47  v datacentru v budově Alsace Tourisme SBG2 ve Štrasburku. Krátce na to se objevila zpráva na Twitru: SBG2 just gone. SBG1 damaged. SBG3 at risk. SBG4 safe. Customers told to activate DR plans.

V tomto dílu se podíváme na to, zda máme vůbec nějaké možnosti, jak s kreativním řízení rizik bojovat.

Nebude to vůbec jednoduché. V prvé řadě musíte získat jasnou podporu ze strany vrcholového managementu a ten musí usilovat o to, aby se řízení rizik stalo nedílnou součástí všech podnikových procesů a všechna rizika se objevila v registru rizik.