DLP: Jak zabránit úniku citlivých informací

Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.

Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.

Rubrika: Bezpečnost
celý článek

Cloud computing

Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).

Rubrika: Řízení rizik
celý článek

Řízení rizik: Jemný úvod do řízení rizik

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Rubrika: Řízení rizik
celý článek

Autentizace: proč uživatelé volí slabá hesla

V tomto příspěvku se dozvíte, proč uživatelé tak rádi volí slabá hesla jako je 123456.

Tento příspěvek vznikl na základě hysterie, která se rozpoutala kolem úniku hesel ze serveru RockYou.com. V tomto příspěvku však nechci řešit, jak je možné, že se útočník k heslům dostal, zda byla či nebyla v DB uložena v otevřeném tvaru, kdo za to nese odpovědnost apod. Ne, chtěl bych se spíš věnovat tomu, jak byl tento incident mnohými bezpečnostními experty vyhodnocen a k jakým dospěli překvapujícím závěrům.

Rubrika: Bezpečnost
celý článek

DLP: nedbalost

V minulém příspěvku o DLP jsme se zamýšleli nad tím, jak zabránit krádeži dat zaměstnancem, který má k datům legitimní přístup.

Dnes budeme hledat způsob, jak zabránit úniku dat z nedbalosti. K úniku informací může dojít i z nedbalosti zaměstnance, který únik informací způsobí svým nezodpovědným chováním. Pro úplnost ještě dodejme, že nedbalost může být vědomá i nevědomá.

Rubrika: Bezpečnost
celý článek

Autentizace: mnoho hesel uživatelova smrt

Běžný uživatel se hlásí do mnoha různých systémů a tak není výjimkou, že si musí často pamatovat spoustu uživatelských jmen a hesel.

Dost často se jedná i o deset a více hesel. Málokdo je však schopen si všechna svá uživatelská jména a hesla zapamatovat, obzvlášť v případě, když je systémem nucen si volit bezpečná hesla a ta si navíc pravidelně měnit.

Rubrika: Bezpečnost
celý článek

Vícevrstvá architektura: tenký, tlustý a chytrý klient

V příspěvku „Vícevrstvá architektura: popis vrstev“ jsme si stručně charakterizovali jednotlivé vrstvy vícevrstvé architektury, nyní si popíšeme jednotlivé typy SW klientů a jejich výhody a nevýhody.

Tlustý klient (thick client)

Tlustý klient v sobě obvykle obsahuje jak presentační tak i aplikační vrstvu a připojuje se přímo k databázovému nebo jinému serveru. Další typickou vlastností tlustého klienta je, že si přes síť stahuje velký objem dat, která zpracuje a výsledek pak přenese zpět na server.

Rubrika: Vývoj SW
celý článek

Informační bezpečnost: životní cyklus informace

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu.

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu (information lifecycle), a to jak v úložišti (data at rest), tak během přenosu (data in motion), tak i při samotném používání (data in use), neboť hrozí, že by mohlo dojít narušení jejich důvěrnosti, integrity a dostupnosti.

Rubrika: Bezpečnost
celý článek

Analýza rizik: Jemný úvod do analýzy rizik

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

Rubrika: Řízení rizik
celý článek

Zvládání rizik: Jemný úvod do zvládání rizik

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé metody zvládání rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Fáze zvládání rizik (risk treatment/handling) spočívá ve volbě vhodné metody zvládání rizik. Mezi nejběžnější metody zvládání rizik patří akceptace a redukce rizika. Ač se jedná o metody nejčastější, nejsou zdaleka jediné. Pojďme se společně podívat i na ostatní metody, stručně si je charakterizovat a zamyslet se nad tím, kdy je vhodné tu či onu metodu použít. 

Rubrika: Řízení rizik
celý článek