IT Governance: honba za dokonalými procesy

Níže uvedený obrázek nebyl zvolen náhodou. Myslím, že celkem jasně vyjadřuje, jak to se zavedením těch procesů ve většině společností vlastně je.

Proces buď není zaveden vůbec (0) nebo probíhající činnost vykazující známky určitého procesu (1) nebo je proces jen v hlavách lidí (2) případně je dokumentován (3) a pokud je dokumentován, je i vyhodnocován (4) a v některých opravdu výjimečných případech je dokonce i vylepšován a automatizován (5).

Štítky:
celý článek

Bezpečnostní politika

To, že má stále více organizací podle nejrůznějších průzkumů stavu informační bezpečnosti bezpečnostní politiku, ještě neznamená, že se zvyšuje bezpečnostní povědomí zaměstnanců těchto organizací.

Bohužel, mnohé organizace vydaly bezpečnostní politiku jen proto, aby splnily požadavek zákona nebo auditora. Tyto politiky, zpravidla vytvořené prostým opsáním doporučení uvedených v ISO/IEC 27002, pak nejsou v praxi příliš dodržovány.

Štítky: ,
celý článek

Identifikace: Jaké zvolit uživatelské jméno?

V tomto příspěvku se budeme věnovat volbě vhodného uživatelského jména, které by měl uživatel pro přihlašování k vybrané službě používat.

Popíšeme si způsoby, jakými může být uživatelské jméno, dále jen ID, vytvořeno a jaké výhody a nevýhody jsou s nimi spojeny. Základní otázka tohoto příspěvku zní: Měl by mít uživatel možnost si své ID sám vytvořit, anebo by mu ho měl přidělit systém?

Štítky:
celý článek

Information security standards

This unique artwork depicts the relationship among information security related essentials standards from the extraordinary perspective.

Follow the printed circuit and reveal the power of knowledge of information security related essentials standards. Decorate your office with this amazing graphics or set it as a wallpaper. And if you want to be familiarized with depicted standards in detail, study the attached document.

Štítky:
celý článek

Auntentizace: plno pravidel a k čemu?

Má vůbec smysl vytvářet a používat silná hesla, pravidelně je měnit a nikam si je nezapisovat?

Uživatelům je neustále vštěpováno do hlavy, že by měli používat silná hesla, pravidelně je měnit a nikam si je nezapisovat. Konečně, problematice jak vytvořit bezpečné heslo jsme se na našich stránkách též věnovali. Mají však tato doporučení vůbec smysl, když lze mnohá hesla tak snadno prolomit? Abychom si mohli na tuto otázku odpovědět, musíme se nejprve zamyslet nad tím, před jakým typem útoku nás tato opatření vlastně chrání. Pojďme společně zhodnotit smysl jednotlivých doporučení.

Štítky: ,
celý článek

Vícevrstvá architektura: výhody a nevýhody

V minulém díle jsme si popsali jednotlivé vrstvy vícevrstvé architektury, nyní je na čase se zamyslet nad výhodami a nevýhodami vícevrstvé architektury vůbec.

Výhody vícevrstvé architektury

Důsledné oddělení jednotlivých vrstev a volné vazby mezi vrstvami přináší mnoho výhod.  Především, že kterákoliv vrstva může být vyměněna nebo upravena, aniž by to mělo vliv na funkčnost aplikace jako celku.

Štítky:
celý článek

Usability test

Usability test, nebo chcete-li testování použitelnosti, patří do kategorie testů typu black box. Bohužel jen málokdo jej umí zrealizovat.

Stále se najde dost firem a manažerů, kteří jsou přesvědčeni, že provádět usability testy je naprostá ztráta času a vyhozené peníze, protože nikoliv uživatel, ale oni a jejich vývojový tým nejlépe ví, jak má uživatelské rozhraní vypadat.

Štítky:
celý článek

Základy kryptografie pro manažery: RSA

Šifra RSA patří v současné době mezi nejpoužívanější a nejoblíbenější asymetrické šifry. V tomto příspěvku se dozvíte, jak tento šifrovací algoritmus funguje.

Verejným kľúčom je dvojica čísel n (modulus), e (verejný exponent). Ako privátny kľúč sa používa dvojica čísel n (modulus) a d (privátny exponent). Voľbu čísel n, e, d si popíšeme v časti Generovanie kľúča. Teraz sa pozrieme na šifrovanie a dešifrovanie v RSA pomocou verejného kľúča (n, e) a privátneho kľúča (n, d). Predpokladajme najskôr, že Bob chce Alici poslať tajné celé číslo m také, že 0≤m<n (číslo m musí byť v tomto rozsahu!).

Štítky: ,
celý článek

DRP: zmatek nad zmatek

Je zajímavé, že i firma, která má vypracovaný a otestovaný DRP, začne v okamžiku, kdy dojde k havárii, zmatkovat.

A přitom by stačilo postupovat přesně podle DRP (Disaster Recovery Plan), neboť v něm by mělo být uvedeno, jak má být obnovena funkčnost daného systému. Na DRP, který vytváří IT se pak odkazuje business, který ve svém BCP (Business Continuity Plan) řeší obnovu všech zdrojů. Běda, když nastane situace, se kterou plán nepočítal.

Štítky:
celý článek

Lámání hesel: rainbow tables

Přečtěte si, jak prolomit silné 14 znakové heslo během několika málo sekund za použití běžného vybavení a přístupu na internet.

Scénář útoku je poměrně snadný a útočníkovi stačí v mnoha případech k úspěšnému proniknutí do systému maximálně několik málo minut a nepotřebuje k tomu ani žádné drahé vybavení a hluboké znalosti. Vystačí si s obyčejným smartphonem, který má konektivitu do internetu a bootovatelným USB flash diskem nebo CD s Linuxem, ze kterého zavede systém, zkopíruje soubor s hesly, připojí se na internet a hash k vybranému účtu předloží službě, která mu během několika sekund zobrazí správné heslo.

Štítky: ,
celý článek