Bezpečnost je trochu jako správná životospráva – všichni tak nějak vědí, co by měli dělat, ale trochu to bolí, tak často radši nedělají nic 
Jsou organizace, které na to mají celé lidi nebo oddělení, ale zajímá mě, jak to děláte třeba v menších komerčních firmách nebo neziskovkách, kde to téma nejde ignorovat, nejde moc „outsourcovat“, ale zároveň na něj není mnoho času ani kvalifikace. Máte nějaké „rozumné minimum“, přes které nejede vlak?
My jsme to teď v organizaci řešili, dávám dohromady nějaký základní checklist a pravidelný proces. Co mě napadlo jako nepodkročitelné minimum:
- Víme, jaká data máme a kde
- Máme jasně určené, kdo za co odpovídá
- Dodržujeme základní pravidla osobní bezpečnosti
- Používáme generovaná hesla
- Nerecyklujeme jedno heslo pro víc služeb
- Kde to jde, používáme autentizaci druhým faktorem
- Používáme správce hesel (v podstatě plyne z předchozích bodů)
A v rámci toho pravidelného procesu (například jednou čtvrtletně) přemýšlím nad věcmi jako:
- Je náš seznam nástrojů / databází / disků aktuální?
- Kdo všechno má k danému nástroji / databázi / disku přístup? Potřebují ho ještě?
- Nemůžeme dotyčný nástroj / databázi / disk úplně smazat? Proč ne?
- Máme v daném nástroji vygenerované nějaké API klíče? Potřebujeme je ještě? Není vhodná chvíle je přegenerovat?
Tohle všechno je samozřejmě hodně subjektivní a ad hoc, ale v menších organizacích to takhle určitě funguje, pokud vůbec nějaké uvažování o bezpečnosti mají. Jak to řešíte vy? Máte nějaký proces? Rigoróznější, víc ad hoc? Zajímá mě spíš celkový přístup k tématu bezpečnosti než konkrétní jednotlivosti (třeba generovaná vs. frázová hesla). Díky!