Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Nástroj CSA od společnosti Gordic slouží ke snadnému řízení rizik, umožňuje identifikaci a kvantifikaci aktiv, hrozeb, zranitelností, opatření a rizik.

V tomto příspěvku je zachycena má praktická zkušenost s tímto nástrojem.

Dali data do cloudu, a teď je tam skutečně mají, ve velkém mraku kouře, do kterého se tato data rychle přetransformovala.

K požáru došlo ve středu 10. 03. 2021 v 00:47  v datacentru v budově Alsace Tourisme SBG2 ve Štrasburku. Krátce na to se objevila zpráva na Twitru: SBG2 just gone. SBG1 damaged. SBG3 at risk. SBG4 safe. Customers told to activate DR plans.

V tomto dílu se podíváme na to, zda máme vůbec nějaké možnosti, jak s kreativním řízení rizik bojovat.

Nebude to vůbec jednoduché. V prvé řadě musíte získat jasnou podporu ze strany vrcholového managementu a ten musí usilovat o to, aby se řízení rizik stalo nedílnou součástí všech podnikových procesů a všechna rizika se objevila v registru rizik.

Pokud organizace chce na trhu uspět, musí se nějakým způsobem odlišit od konkurence.

To, v čem se pak organizace odlišují od ostatních, je způsob, jakým realizují svůj core business, jaké mají náklady, výnosy, jakého dosahují zisku a jakou vytvářejí ekonomickou hodnotu pro své vlastníky.

V minulém dílu jsem psal o tom, jaké techniky jsou používány v rámci kreativního řízení rizik.

Pokud jste si kladli otázku, jak jsou tyto techniky v reálné praxi používány, tak tomu se budu věnovat právě v tom příspěvku.

Baiting je jednoduchá technika, která spočívá v tom, že útočník nastraží přenosné paměťové médium, které představuje de facto návnadu (bait) na určitém místě, kde jej najde oběť a ta z něj pak spustí škodlivý kód.

Kreativita a drzost útočníků v tomto směru nezná mezí. Pojďme se společně podívat některé scénáře útoku.

V minulém dílu jste měli možnost se seznámit s fenoménem kreativní řízení rizik.

Nyní se zaměříme na nejčastěji používané techniky kreativního řízení rizik a to ve všech jeho fázích. Když se podíváme na to, jak řízení rizik v organizacích probíhá a z jakých fází se celý proces řízení rizik skládá, poměrně snadno identifikujeme oblasti, kde lze vyvíjet ve větší či menší míře nějakou kreativitu, která se může projevit a zpravidla se projeví:

Cloudy jsou v zásadě homogenní prostředí, které útočník může předem detailně prozkoumat, důkladně otestovat a najít v nich zranitelnosti, kterých může následně zneužít.

Jednoduše si zaplatí a dočasně se stane klientem Microsoftu, Googlu, Amazonu nebo nějaké jiné organizace provozující cloud a vyžádá si bezpečností politiky, standardy, příručky a vůbec veškerou dokumentaci a tu i dostane.

Analýza rizik by měla poskytnout pokud možno co nejobjektivnější pohled na rizika, kterým je organizace vystavena.

Ovšem stejně jako v oblasti účetnictví, jehož cílem je poskytnout věrný a pravdivý obraz „true and fair view“ o stavu hospodaření, se můžeme setkat s tzv. kreativním účetnictvím (creative accounting), tak i v oblasti řízení rizik se můžeme setkat s něčím, co by se dalo s jistou nadsázkou nazvat kreativním řízením rizik (creative risk management).