Publikováno: 04. 03. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 654x
V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.
Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:
Publikováno: 25. 01. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 747x
Nyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.
Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.
Publikováno: 01. 12. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 832x
Při tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.
I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.
Publikováno: 05. 10. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 643x
V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.
O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.