Analýza rizik: kvalitativní analýza rizik

Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.

Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.

Rubrika: Řízení rizik
celý článek

Základy kryptografie pro manažery: hashovací funkce

V tomto příspěvku se dozvíte, co jsou to hashovací funkce, k čemu se používají a jak fungují.

Hashovací funkce je jednosměrná/jednocestná/irreversibilní funkce, které můžeme jako parametr předat libovolně dlouhou zprávu a na jejím výstupu pak obdržíme tzv. hash nebo-li otisk o délce x-bitů. Důvod, proč se o této funkci hovoří jako o jednocestné, je ten, že z výstupu této funkce nejsme schopni zpětně vygenerovat vstup, který byl jejím parametrem. Jinými slovy, z hashe nelze odvodit původní zprávu.

Rubrika: Bezpečnost
celý článek

DLP: Jak zabránit úniku citlivých informací

Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.

Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.

Rubrika: Bezpečnost
celý článek

Cloud computing

Je cloud computing něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

Zamysleme se nejdříve nad původem tohoto slova. Vzhledem k tomu, že se internet na nejrůznějších obrázcích znázorňuje jako mrak nebo chcete-li oblak a stále více společností nabízí své služby na internetu a přes internet jsou i jejich služby dostupné, je vznik tohoto slova celkem logický. Z pohledu uživatele je vše, co se nachází mimo jeho síť, oblak (cloud).

Rubrika: Řízení rizik
celý článek

Řízení rizik: Jemný úvod do řízení rizik

Cílem tohoto příspěvku je stručně charakterizovat jednotlivé fáze procesu řízení rizik, které jsou detailně popsány v knize „Řízení informačních rizik v praxi“.

Řízení rizik (risk management) je komplexní proces skládající se z několika fází, které na sebe navazují a vytvářejí jakousi smyčku viz obrázek. Cílem řízení rizik je identifikace a kvantifikace rizik, kterým musí společnost čelit a především rozhodnutí o vhodném způsobu zvládání těchto rizik. Všimněte si, že píši o zvládání rizik, nikoliv o jejich snížení na přijatelnou úroveň, jak se dost často uvádí. Je tomu tak proto, že snížení rizika je jen jednou z několika nejčastěji používaných metod.

Rubrika: Řízení rizik
celý článek

Autentizace: proč uživatelé volí slabá hesla

V tomto příspěvku se dozvíte, proč uživatelé tak rádi volí slabá hesla jako je 123456.

Tento příspěvek vznikl na základě hysterie, která se rozpoutala kolem úniku hesel ze serveru RockYou.com. V tomto příspěvku však nechci řešit, jak je možné, že se útočník k heslům dostal, zda byla či nebyla v DB uložena v otevřeném tvaru, kdo za to nese odpovědnost apod. Ne, chtěl bych se spíš věnovat tomu, jak byl tento incident mnohými bezpečnostními experty vyhodnocen a k jakým dospěli překvapujícím závěrům.

Rubrika: Bezpečnost
celý článek

DLP: nedbalost

V minulém příspěvku o DLP jsme se zamýšleli nad tím, jak zabránit krádeži dat zaměstnancem, který má k datům legitimní přístup.

Dnes budeme hledat způsob, jak zabránit úniku dat z nedbalosti. K úniku informací může dojít i z nedbalosti zaměstnance, který únik informací způsobí svým nezodpovědným chováním. Pro úplnost ještě dodejme, že nedbalost může být vědomá i nevědomá.

Rubrika: Bezpečnost
celý článek

Autentizace: mnoho hesel uživatelova smrt

Běžný uživatel se hlásí do mnoha různých systémů a tak není výjimkou, že si musí často pamatovat spoustu uživatelských jmen a hesel.

Dost často se jedná i o deset a více hesel. Málokdo je však schopen si všechna svá uživatelská jména a hesla zapamatovat, obzvlášť v případě, když je systémem nucen si volit bezpečná hesla a ta si navíc pravidelně měnit.

Rubrika: Bezpečnost
celý článek

Vícevrstvá architektura: tenký, tlustý a chytrý klient

V příspěvku „Vícevrstvá architektura: popis vrstev“ jsme si stručně charakterizovali jednotlivé vrstvy vícevrstvé architektury, nyní si popíšeme jednotlivé typy SW klientů a jejich výhody a nevýhody.

Tlustý klient (thick client)

Tlustý klient v sobě obvykle obsahuje jak presentační tak i aplikační vrstvu a připojuje se přímo k databázovému nebo jinému serveru. Další typickou vlastností tlustého klienta je, že si přes síť stahuje velký objem dat, která zpracuje a výsledek pak přenese zpět na server.

Rubrika: Vývoj SW
celý článek

Informační bezpečnost: životní cyklus informace

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu.

Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu (information lifecycle), a to jak v úložišti (data at rest), tak během přenosu (data in motion), tak i při samotném používání (data in use), neboť hrozí, že by mohlo dojít narušení jejich důvěrnosti, integrity a dostupnosti.

Rubrika: Bezpečnost
celý článek