DSM 1

Image
Hlavní téma: Cloud, Incident management, klasifikace informací, řízení rizik
VYŠLO: 12.4.2018
Články označené tímto symbolem prošly odborným recenzním řízením. Články označené firemním logem jsou komerčními prezentacemi.

Lidský faktor
- Vladimír Smejkal -
Úvodník DSM

Rozhovor s Vladimírem Matoušem
- Eva Racková -
V tomto čísle jsme nahlédli do interní IT kuchyně Tatrabanky a vyzpovídali jsme Vladimíra Matouše, který v roli CIO působí od února 2010. Během rozhovoru jsme se věnovali inovacím ve vztahu bezpečnosti. Dozvěděli jsme i to, jak Tatrabanka přistupuje k novým regulacím a ovlivňuje tak prostředí, ve kterém působí.

Jak na bezpečné zavádění cloudových služeb – část I. 
- Karin Gubalová -
První část seriálu se věnuje obecným principům, které umožní implementovat cloudovou službu a zohlednit přitom požadavky organizace na bezpečnost. Diskutovány jsou oblasti strategie, de-signu řešení a lidských zdrojů. Článek zároveň upozorňuje na některé problémy, které, ač se zdají samozřejmé, jsou často v organizacích opomíjeny. 

Jak na rizika - Řízení rizik neunikneme - část I.
- Richard Michálek -
Výhody a úskalí řízení rizik, tipy jak se s ním vypořádat, aby pro organizaci bylo přínosem.

Různé incidenty vyžadují různé přístupy 
- Zuzana Duračinská, Pavel Bašta, Martin Kunc -
Bezpečnostní tým České pojišťovny se soustředil především na aktivní obranu před infiltrací nežádoucím kódem do jejich sítě a bezpečnostní analýzou za účelem ochrany dat před zašifrováním. Díky nasazení sand-box řešení do e-mailové infrastruktury byli schopni výrazně zvýšit svoji odolnost vůči takovým útokům. Na zá-kladě vyhodnocení statistických dat bylo zjištěno, že taková obrana vůči ransomware je velmi efektivní.

Průzkum kybernetického vzdělávání
- Martin Zbořil -
Společnost PricewaterhouseCoopers ČR zkoumala ve spolupráci s TATE International, s.r.o. úro-veň kybernetické vzdělanosti zaměstnanců v českých organizacích. Průzkum se také zaměřil na využívané formy vzdělávání a na vztah mezi informovaností zaměstnanců a uskutečněnými školeními. Tento článek přináší přehled nejzajímavějších výsledků, které průzkum nabídl.

Když prevence nestačí, aneb co se skrývá pod zkratkou EDR?
- Pavel Krátký -
K boji s moderními sofistikovanými hrozbami je nezbytný proaktivní přístup. Dnešní technologie ochrany koncových stanic EPP (Endpoint Protection Platform), využívající preventivní přístup, jsou sice nezbytné, ale bohužel ne vždy dostatečné. Konstantní vývoj hrozeb dal za vznik novému modelu obrany, tzv. „Endpoint Detection Response“ (EDR). Takový model se fundamentálně liší od modelu EPP a přidává další pokročilou bezpečnostní vrstvu, která má za cíl detekovat, identifikovat a cílit na hrozby na základě analýzy jejich chování.

PSD2
- Petr Budiš -
Na začátku letošního roku začala platit Směrnice EU o platebních službách na vnitřním trhu tzv. „PSD2“. Jejím cílem je zavést nový model komunikace mezi bankou a jejími klienty, který přináší vznik tzv. třetích stran. Ty získávají oprávnění přistupovat k bankovním účtům prostřednictvím internetu. Česká bankovní asociace zprostředkovala vznik společného standardu pro open ban-king. Skrze datové rozhraní bank budou třetí strany zprostředkovávat bankovní služby klientům, přičemž zásadní zodpovědnost za zúčtování plateb zůstane i nadále na bance klienta. Provede-li banka implementaci datového rozhraní i bezpečnostního konceptu správně, bude celý systém bezpečně fungovat. Proto je nezbytné věnovat velkou pozornost bezpečnosti, zejména komuni-kační. Banky musí vědět, komu povolují přístup do svých systémů.

Co třeba pochopit GDPR jako příležitost
- Antonín Beneš -
Současný vývoj příprav na započetí účinnosti GDPR rychle směřuje k bezbřehému alibismu a oceánu oznámení a požadavků na souhlas se zpracováním, které nejspíše nikdo nebude číst. Autor se v prostořekém komentáři snaží upozornit na skutečnost, že nařízení nebrání vytvoření národních regulací, které by opravdu mohly vést k faktickému zvýšení bezpečnosti zpracová-vaných osobních dat a zvýšení právní jistoty všech účastníků zpracování. Ale je to potřeba vzít za opačný konec – shodnout se co a proč chceme chránit a potom se zabývat tím, jak. Pokud jen tupě zavedeme nepovedené nařízení, GDPR se stane jen další byrokratickou obstrukcí, která přinese zbytečné náklady, zabije mnohé bohulibé aktivity a nic užitečného nepřinese.

Slovenská elektronická identifikačná karta (eID) – Genéza – časť I.
- Peter Handzuš -
Bezpečná, dôveryhodná a spoľahlivá elektronická identifikačná schéma je základným pilierom eGovernmentu každého štátu, ktorý seriózne uvažuje nad prechodom z industriálnej do digitál-nej éry. Slovenská republika nie je žiadnou výnimkou a od decembra roku 2013 môžu občania bezpečne pristupovať ku elektronickým službám cez internet z pohodlia ich domova pomocou eID karty. Identifikácia a autentifikácia eID kartou používa mechanizmus rozšírenej kontroly prístupu (Extended Access Control - EAC), ktorý je založený na vzájomnej autentifikácii eID karty a poskytovateľa služby. Ponúka vynikajúcu úroveň bezpečnosti navrhnutú špecificky pre tento účel. Hlavným cieľom bolo poskytnúť občanom najefektívnejšie možné riešenie, ktoré v maximálnej miere rešpektuje ich práva na súkromie a ochranu osobných údajov. Prvý z troch plánovaných článkov vysvetľuje históriu projektu slovenskej eID karty, ako prakticky funguje identifikácia a autentifikácia po realizácii a prečo je považovaná za vysoko bezpečnú a rešpek-tujúcu súkromie v kontraste s riešeniami aplikovaných v iných krajinách.

CIS Controls verze 7
- Jaroslav Dočkal -
Článek seznamuje s novou verzí návrhu opatření od Center for Internet Security. Rozebírá důvo-dy, proč tato opatření vyšla po 17 měsících v nové verzi, zatímco ISO normy po řadu let stagnují ve stejném znění.

Rubriky

  • Virová stránka DSM
  • Normy a publikace
  • Metamorfosa: Jarní setkání
  • Informace z partnerských společností
  • Právní rubrika
  • Management summary DSM
  • Tiráž DSM

Vytisknout