Uvědomuju si realitu, takže jen pro inspiraci.
Technický věci už zazněly, proto stručně:
Fyzická bezpečnost budovy a serverovny (ve stručnosti: zámky, dveře a okna, revize alarmu prověřeným technikem, analýza kudy by to šlo proniknout do objektu, zabezpečení kabeláže, docházkovej systém vs. vrátnej, hlídači vs. kamerovej systém, nepravidelnej interval obchůzek hlídačů ).
Položit si otázku jakej typ útočníka je nejpravděpodobnější (jestli bude mít možnosti jako Mossad tak jseš stejně nahranej ;-))
Bezpečnost čistě na základě návrhu je příliš nákladná, proto je dobré kombinovat bezpečný návrh a bezpečnost na základě utajení.
Kontrolujte přenosná zařízení přistupující do sítě.
Prověřujte uživatele, návštěvníky i úklidovou službu.
Nastav procesy tak aby byly odolný proti sociotechnikám.
Předpokládejte že k napadení už došlo.
Zákaz BYOD
Mirek Prýmek
Bezpečnější než hw tokeny je vícefaktorová autentizace. Pokud by byla bezpečnost skutečnou prioritou tak se dá kombinvat nějaký sofistikovaný způsob heslové fráze (např. jednorázové hesla). s nějakým tokenem a biometrií.
Ohledně tý analýzy rizik. Zrovna se učim na zkoušku z "risk managementu" zaměřenou obecně na průmysl (bohužel s převahou bezpečnosti chemických provozů, jaderné energetiky oproti praktickejm věcem jako jsou projekty, nebo IT).
Setkal jsi se v IT praxi i s kvantivativní analýzou rizika? Od kud se berou data pravděpodobnosti, respektive frekvenci standartních typů bezpečnostních incidentů?