Incident management: jeden nástroj lepší než druhý

Pojďme se společně zamyslet nad tím, jaké vlastnosti by měl splňovat nástroj na incident management.

A nezapomínejme přitom na to, že jsou minimálně dvě skupiny uživatelů tohoto nástroje, ti co incidenty hlásí a ti co je řeší. Incident může být uživatelem nahlášen telefonicky, mailem nebo přes webové rozhraní, což je z pohledu řešitele ta nejlepší varianta a z pohledu uživatele mnohdy ta nejhorší, bohužel.

Rubrika: Management
celý článek

Analýza rizik: kvantitativní vs. kvalitativní

Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.

Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.

Rubrika: Řízení rizik
celý článek

DLP: Bezpečná likvidace dat

Ač je žádoucí informace chránit během celého jejich životního cyklu, tak na jejich bezpečnou likvidaci mnohé firmy stále zapomínají.

Nejen domácnosti ale i firmy problematiku likvidace dat velice často podceňují. Velmi se pak podivují, když se stanou obětí nějakého útoku. Šetřením se navíc ukáže, že právě v PC nebo notebooku, který byl dán do bazaru nebo věnován jakési organizaci v rámci charitativní akce v době, kdy firma nahrazovala zastaralou výpočetní techniku novou, se nacházela citlivá data. Pokud nemáte proces likvidace dat spolehlivě ošetřen, tak vás ani sebelepší DLP řešení neochrání.

Rubrika: Bezpečnost
celý článek

Analýza rizik: kvalitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Rubrika: Řízení rizik
celý článek

Základy kryptografie pro manažery: hashovací funkce

V tomto příspěvku se dozvíte, co jsou to hashovací funkce, k čemu se používají a jak fungují.

Hashovací funkce je jednosměrná/jednocestná/irreversibilní funkce, které můžeme jako parametr předat libovolně dlouhou zprávu a na jejím výstupu pak obdržíme tzv. hash nebo-li otisk o délce x-bitů. Důvod, proč se o této funkci hovoří jako o jednocestné, je ten, že z výstupu této funkce nejsme schopni zpětně vygenerovat vstup, který byl jejím parametrem. Jinými slovy, z hashe nelze odvodit původní zprávu.

Rubrika: Bezpečnost
celý článek

DLP: Jak zabránit úniku citlivých informací

Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.

Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.

Rubrika: Bezpečnost
celý článek

Cloud computing

Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).

Rubrika: Řízení rizik
celý článek

Řízení rizik: Jemný úvod do řízení rizik

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Rubrika: Řízení rizik
celý článek

Autentizace: proč uživatelé volí slabá hesla

V tomto příspěvku se dozvíte, proč uživatelé tak rádi volí slabá hesla jako je 123456.

Tento příspěvek vznikl na základě hysterie, která se rozpoutala kolem úniku hesel ze serveru RockYou.com. V tomto příspěvku však nechci řešit, jak je možné, že se útočník k heslům dostal, zda byla či nebyla v DB uložena v otevřeném tvaru, kdo za to nese odpovědnost apod. Ne, chtěl bych se spíš věnovat tomu, jak byl tento incident mnohými bezpečnostními experty vyhodnocen a k jakým dospěli překvapujícím závěrům.

Rubrika: Bezpečnost
celý článek

DLP: nedbalost

V minulém příspěvku o DLP jsme se zamýšleli nad tím, jak zabránit krádeži dat zaměstnancem, který má k datům legitimní přístup.

Dnes budeme hledat způsob, jak zabránit úniku dat z nedbalosti. K úniku informací může dojít i z nedbalosti zaměstnance, který únik informací způsobí svým nezodpovědným chováním. Pro úplnost ještě dodejme, že nedbalost může být vědomá i nevědomá.

Rubrika: Bezpečnost
celý článek