Przedstawiamy najważniejsze problemy, z którymi musi się zmierzyć firma planująca budowę działu bezpieczeństwa IT.

Specjaliści i wiedza

Przy budowie nowego podejścia do bezpieczeństwa nie da się osiągnąć oczekiwanych rezultatów bez zasobów ludzkich. Proces pozyskiwania ludzi należy poprzedzić analizą możliwości i potrzeb, by ocenić ważność poszczególnych zadań i niezbędnej do ich realizacji wiedzy.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Najważniejsze zagrożenia wykorzystania modelu SaaS

Michał Stankiewicz, dyrektor ds. ryzyka i bezpieczeństwa IT w PZU SA, mówi: „Przy budowie działu bezpieczeństwa IT lub przy wprowadzaniu nowego modelu działania uwzględniającego bezpieczeństwo w organizacji trzeba zebrać odpowiednich ludzi. Jeśli wymaganego zasobu umiejętności nie ma w firmie, to trzeba go pozyskać, wybierając specjalistów, którzy już zajmowali się bezpieczeństwem w podobnej skali. Należy także zadbać o innych pracowników, spoza działów bezpieczeństwa, zapewniając im odpowiednie szkolenia. Ma to szczególne znaczenie dla tych, którzy mają długi staż w organizacji. Tu chodzi nie tylko o to, by im tłumaczyć, ale o to, by oni zrozumieli rolę bezpieczeństwa w organizacji”.

Podział odpowiedzialności

Problemem większych organizacji przy wdrażaniu nowego modelu bezpieczeństwa jest podział środowiska produkcyjnego. Budowa nowego modelu bezpieczeństwa wymaga podziału na strefy kontroli, uwzględniając przy tym potrzeby i możliwości firmowego IT.

Michał Stankiewicz wyjaśnia: „Należy przeanalizować, jakie zagrożenia wiążą się z przetwarzaniem określonych danych, a następnie określić w jaki sposób je monitorować. Wówczas można zadać pytanie, czy opłaca się budowa środowiska kontroli, czy być może warto skorzystać z outsourcingu. Przy naprawdę dużej skali sama inwentaryzacja może być problemem. To samo dotyczy np. dołączania kolejnych systemów – dodanie kilkuset serwerów do narzędzi monitoringu wcale nie jest prostym zadaniem, gdy za skomplikowane systemy odpowiada wielu ludzi”.

Współpraca z IT

W każdym przypadku – od firmy średniej wielkości do dużej korporacji – pojawia się zagadnienie współpracy działu bezpieczeństwa z IT. Dział bezpieczeństwa musi współpracować z IT, choćby dlatego, że bez niezbędnej pomocy (związanej np. z dołączeniem niektórych serwerów czy aplikacji do systemów monitoringu) nie będzie mógł pełnić swoich obowiązków. Z drugiej strony IT musi traktować „bezpieczników” jako partnerów. Unormowanie styku dział bezpieczeństwa i działu IT jest jednym z ważnych działań, które później przekłada się na dobrą współpracę.

Michał Stankiewicz wyjaśnia: „Dział IT nie powinien traktować działu bezpieczeństwa jako wrogów. Najlepsze efekty daje pełna synergia, istotne, by dział IT skorzystał z rekomendacji, przedstawiających ryzyka i problemy oraz korzyści. Widzimy w tym dużą rolę ludzi rozmawiających z IT. To podejście przynosi sukcesy”.

Ocena systemów i procesów

Jednym z ważnych etapów jest analiza wpływu biznesowego. W wielu organizacjach nadal nie wiadomo, kto jest osobą akceptującą ryzyka dla poszczególnych procesów biznesowych. Tym trudniej wskazać wtedy aplikacje krytyczne, które należy zabezpieczyć w sposób adekwatny do oczekiwanego poziomu ochrony i związanych z tym kosztów. Proces ten można przeprowadzić kilkuetapowo, początkowo korzystając z wiedzy eksperckiej, by następnie uzgodnić oczekiwania z biznesem. Rozmowy z biznesem są owocne, gdy dział bezpieczeństwa dysponuje informacjami, które umożliwią głębszą analizę i optymalizację.

Michał Stankiewicz mówi: „Przystąpiliśmy do weryfikacji systemów krytycznych, które przedtem były zidentyfikowane na podstawie wiedzy eksperckiej. Opracowaliśmy trzy wskaźniki: matrycę dostępności, poufności i integralności danych. Wynikiem była lista kilkudziesięciu systemów krytycznych. Wstępną ocenę wykonał pion analityków, a następnie wypracowaliśmy uniwersalną ankietę i rozpoczęliśmy rozmowy z biznesem. Przy rozmowach skorzystaliśmy z katalogu usług bezpieczeństwa obejmującego np. koszty testów penetracyjnych czy koszty dołączania źródła do SIEM. Mieliśmy także wykaz kategorii ryzyka razem z potencjalnymi stratami. Z takimi informacjami biznes mógł ocenić oczekiwany poziom ochrony”.