Organizace provozuje již roky své vlastní datové centrum, ale management se rozhodl, že nově vyvíjená aplikace poběží v bezpečném cloudu provozovaném důvěryhodnou třetí stranou, a chce vědět, zda se nějak změní rizikový profil.

Zde je třeba si uvědomit, že se nám zde podstatně mění povrch útoku, který se zásadně zvětšuje, protože kromě vlastních zaměstnanců (insiderů) budou mít k datům a systémům přístup i zaměstnanci třetí strany.

Po sérii předchozích článků by se mohlo nezasvěcené osobě zdát, že jsme proti cloudům. Není tomu tak, jsme jen proti bezhlavému přesunu dat do cloudů bez provedené analýzy rizik.

Např. SME až na výjimky zpravidla nejsou schopny dosáhnout takové úrovně bezpečnosti jako korporace, takže se pro ně může jevit jako výhodnější svěřit správu dat někomu, kdo tomu opravdu rozumí, tedy CSP. Ovšem nenechte se zmást odbornými termíny a zkratkami (HSM, FISP, BYOK, key splitting, apod.)

Tento příspěvek se zabývá vztahem mezi řízením rizik a řízením kontinuity podnikání.

V prvé řadě je třeba uvést, že rizika řídíme proto, abychom zajistili kontinuitu podnikání a tedy i naplnění mise a vize organizace a úspěšně překonali nejrůznější havárie, ke kterým může dojít v důsledku selhání jednotlivce, působení vyšší moci anebo kybernetického útoku.

Mikroslužby (microservices) jsou většinou menší, zpravidla jednoúčelové aplikace komunikující spolu prostřednictvím výměny zpráv.

Vycházejí z filozofie Linuxu, a to dělat jen jednu věc, ale zato pořádně. Snáze se vyvíjí, testují, spravují a mění.

Metodika Open Factor Analysis of Information Risk, zkr. Open FAIR poskytuje návod, jak provést analýzu informačních rizik, nic víc od ní ale nečekejte.

Na řízení rizik v celém jejich životním cyklu jsou tady jiné, vhodnější metodiky, např. M_o_R, takže jestliže proces řízení rizik ve vaší organizaci zavedený ještě nemáte, začněte nejdříve s ním, než vám začne management řídit rizika kreativně.

V rámci vedení hybridní války hraje svoji nezanedbatelnou roli i řízené uvolňování informací, a ne nutně zjevně nepravdivých nebo zavádějících, ale i naprosto pravdivých.

A nejde jen o to, kdy, ale i kde jsou dané informace zveřejněny, jaký je použit font, barvy, obrázky, jaké jsou v článku odkazy, jaké se zobrazují reklamy a konečně jaké dané médium nabízí další související články a obsah, tedy jaké články našemu článku předchází a jaké jej následují.

V minulém dílu jsme si definovali zásadní problém a to kybernetický útok přicházející z jiného státu.

V tomto příspěvku se podíváme, jak by mohla ČR, a potažmo i jakákoliv jiná malá otevřená ekonomika na tento kybernetický útok reagovat.

Akceptace rizika je formální proces, při kterém management vyjadřuje svůj záměr dané riziko vědomě podstoupit.

Management zpravidla ochotně akceptuje nízká rizika, tj. rizika s nízkým dopadem a nízkou pravděpodobností hrozby. Ovšem nemusí tomu tak být vždy.

Vishing, voice phishing nebo prostě phishing přes telefon je technika používaná v rámci sociálního inženýrství, kdy se útočník snaží druhou osobu přimět k poskytnutí informace anebo provedení určité akce.

Dle posledního výzkumu skutečné úrovně kybernetické bezpečnosti v organizacích v ČR se s vishingem během roku setkala témě třetina organizací a pětina se s ním setkala dokonce i opakovaně.

V minulém příspěvku jsem zmínil top-down a bottom-up přístup, a na ten se nyní zaměříme.

Top-down přístup začíná tím, že si expertní tým klade otázku, co by organizaci mohlo zabránit v dosahování mise a vize. Bottom-up přístup zase vychází z identifikace aktiv, hrozeb, zranitelností a opatření, kdy si expertní tým klade otázku, jaká hrozba by mohla zneužít určité zranitelnosti a narušit důvěrnost, integritu anebo dostupnost aktiv.