1. Uživatelská přívětivost
2. Ochrana dat před útokem zevnitř
3. Ochrana dat před útokem zvenčí
4. Zálohování a archivace, případně verzování
5. (možná má být 1.) Nastavení vnitřních organizačních předpisů firmy, pracovních smluv atd. tak, aby se případné prolomení bezpečnosti, únik dat třetí straně apod. daly bez problémů penalizovat
6. Důsledné logování sítě i činnosti uživatelů a možnost dohledat problém
Ale položme si otázku - kdo z vás na to má? Paroubek?
Odpovědět0 0
Povazovat komercni produkt za bezpecny znamena se slepe spolehnout na dodavatele. V praxi nemate moznost si tuto bezpecnost overit. Pravdou ale zustava, ze vetsina spolecnosti se na to beztak spolehnout musi, protoze nema vlastni zdroje na to, aby implementovala open-source reseni a jeste u nej prochazela zdrojove kody a hledala pripadnou bezpecnostni chybu. Z pohledu bezneho managmentu by to bylo pravdepodobne vyhodnoceno jako mrhani casem.
Take bychom si meli polozit otazku, zda faktury, dodaci listy, smlouvy s dodavateli, interni smernice a pracovni postupy, ktere jsou vetsinou hlavnim obsahem DMS, jsou skutecne tak cenne, aby bylo na jejich ochranu bylo cerpano tolik casu pri prochazeni zdrojovych kodu. Mala firma IMHO toto nikdy nepodstoupi a proste to riskne se slovy "proc by zrovna na nas nekdo mel utocit?"
Na zaver bych rad dodal, ze jsem osobne presvedcen o tom, ze open-source vyvojari se soustredi na bezpecnost minimalne stejne, jako vetsina vyvojaru mensich a cenove dostupnych komercnich produktu.
Odpovědět0 0
Co se týká OpenSource a bezpečnosti, mám osobně naopak názor, že pro bezpečnost je veřejná dostupnost zdrojových kódů lepší než jejich nedostupnost. Můžu si totiž i sám (pokud budu chtít) zdrojový kód prozkoumat (a spousta dobrých programátoru tak u OpenSource aplikací činí, i z důvodu, že se třeba rozhodují zda jej používat či nikoliv). K tomu, aby skutečně dobrý hacker dokázal najít bezpečnostní problém, myslím nepotřebuje zdrojový kód, ale může jej najít buď náhodně zkoušením různých exploitů, anebo disassemblováním orig. aplikace (nehledě na možnost backdoor od výrobce, jejichž neexistenci nelze ověřit, když není dostupný zdrojový kód), tedy nedostupnost zdrojového kódu je IMHO naopak rizikem. Jak u podobných aplikací, jaké jsou zmiňovány v článku, tak i třeba u šifrovacích nástrojů apod. (osobně právě z těchto důvodů používám OpenSource TrueCrypt).
Odpovědět0 0
(btw. ale stejně, největším rizikem pro únik dat jsou vždycky jednotliví uživatelé, kterých si většina volí jednoduchá snadno prolomitelná hesla :D )
Odpovědět0 0
tak to bohuzel neni.
kryptografickou silu hesla muzete snadno overit a v pripade potreby vynutit.
podstatne horsi a principialne nezvladnutelny problem predstavuji uzivatele, kteri zpusobi unik dat umyslne. (napr. zamestnanec ve vypovedni lhute)
Odpovědět0 0
Martin1658
|
18.4.200912:34
I když máš zdrojáky, např. od zmíněného TrueCrypt, vsadím se s tebou, že na 99,999% nedokážeš rozhodnout, jestli je to naprogramováno dobře nebo špatně, tedy dostupnost zdrojáků je zcela irelevantní, jsi ve stejné ř**i jako s closed-source.
Odpovědět0 0
