Akceptace rizika je formální proces, při kterém management vyjadřuje svůj záměr dané riziko vědomě podstoupit.

Management zpravidla ochotně akceptuje nízká rizika, tj. rizika s nízkým dopadem a nízkou pravděpodobností hrozby. Ovšem nemusí tomu tak být vždy.

Vishing, voice phishing nebo prostě phishing přes telefon je technika používaná v rámci sociálního inženýrství, kdy se útočník snaží druhou osobu přimět k poskytnutí informace anebo provedení určité akce.

Dle posledního výzkumu skutečné úrovně kybernetické bezpečnosti v organizacích v ČR se s vishingem během roku setkala témě třetina organizací a pětina se s ním setkala dokonce i opakovaně.

V minulém příspěvku jsem zmínil top-down a bottom-up přístup, a na ten se nyní zaměříme.

Top-down přístup začíná tím, že si expertní tým klade otázku, co by organizaci mohlo zabránit v dosahování mise a vize. Bottom-up přístup zase vychází z identifikace aktiv, hrozeb, zranitelností a opatření, kdy si expertní tým klade otázku, jaká hrozba by mohla zneužít určité zranitelnosti a narušit důvěrnost, integritu anebo dostupnost aktiv.

Na rozdíl od předchozích příspěvků na téma manažerských selhání CIO, CEO a Hlavy státu, se dnes podíváme i na selhání obyčejných lidí.

Pro dnešek jsem vybral příběh, který začal vlastně nezajímavou zpronevěrou, ale jeho dopady se do osudů mnoha lidí zapsaly na celý zbývající život. Týkal se zkratky PS. Co si pod tím představit? Poštovní spořitelnictví, Pohraniční stráž, či Platební styk? Vše je v podstatě správně.

V tomto příspěvku se podíváme na některé obecné problémy spojené s operacemi v kyberprostoru.

Budeme předpokládat, že kybernetický útok přichází z jiného státu, a že je veden na naše systémy anebo se to tak alespoň jeví.

Žádný standard exaktně nedefinuje, jak by se mělo k identifikaci rizik přistoupit a jaké metody použít.

Jistě, nejprve je nutné stanovit kontext a definovat hranice analýzy, a potom přistoupit k identifikaci samotných rizik, ale jak?

Minule jsme si ukázali, že data-at-rest šifrování není všespásné, a že naopak jen mitiguje rizika, která nejsou až tak pravděpodobná.

V praxi jsem se setkal s tím, že uživatelé jsou přesvědčení, že jejich data v AWS, SalesForce, GCP,.. jsou šifrována jejich klíčem a poskytovatel tedy k datům nemá přístup, což je zásadní omyl.

Pokud jde o popis rizika, tak se zpravidla nikde nedočtete, jak by mělo být takové riziko vlastně popsáno.

Když nahlédneme do registrů rizik, které mnohé organizace vytváří, tak v nich najdeme rizika zapsaná mnoha různými způsoby a to často i v rámci jedné organizace.

Fyzická bezpečnost datacenter, ve kterých jsou cloudy provozovány bývá zpravidla na velmi vysoké úrovni. Občas sice nějaké lehne popelem, ale jsou zde mnohém větší rizika, např. únik informací.

To se řeší řízením přístupu a šifrováním. Šifrování je vůbec takové magické slovo. Šifrují zločinci, agenti ve filmech, a spousta dalších institucí a poskytovatelů. A na ty se podíváme. Když je něco šifrované, tak je to přeci zabezpečené nejlépe, jak to jde. Opravdu?

Nástroj CSA od společnosti Gordic slouží ke snadnému řízení rizik, umožňuje identifikaci a kvantifikaci aktiv, hrozeb, zranitelností, opatření a rizik.

V tomto příspěvku je zachycena má praktická zkušenost s tímto nástrojem.