Dziesięć zasad budowy działu bezpieczeństwa IT
- 27.11.2014
Zbudowanie działu bezpieczeństwa IT nie jest prostym zadaniem, szczególnie w większej skali.
Przedstawiamy najważniejsze problemy, z którymi musi się zmierzyć firma planująca budowę działu bezpieczeństwa IT.
Specjaliści i wiedza
Przy budowie nowego podejścia do bezpieczeństwa nie da się osiągnąć oczekiwanych rezultatów bez zasobów ludzkich. Proces pozyskiwania ludzi należy poprzedzić analizą możliwości i potrzeb, by ocenić ważność poszczególnych zadań i niezbędnej do ich realizacji wiedzy.
Zobacz również:
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
- Najważniejsze zagrożenia wykorzystania modelu SaaS
Michał Stankiewicz, dyrektor ds. ryzyka i bezpieczeństwa IT w PZU SA, mówi: „Przy budowie działu bezpieczeństwa IT lub przy wprowadzaniu nowego modelu działania uwzględniającego bezpieczeństwo w organizacji trzeba zebrać odpowiednich ludzi. Jeśli wymaganego zasobu umiejętności nie ma w firmie, to trzeba go pozyskać, wybierając specjalistów, którzy już zajmowali się bezpieczeństwem w podobnej skali. Należy także zadbać o innych pracowników, spoza działów bezpieczeństwa, zapewniając im odpowiednie szkolenia. Ma to szczególne znaczenie dla tych, którzy mają długi staż w organizacji. Tu chodzi nie tylko o to, by im tłumaczyć, ale o to, by oni zrozumieli rolę bezpieczeństwa w organizacji”.
Podział odpowiedzialności
Problemem większych organizacji przy wdrażaniu nowego modelu bezpieczeństwa jest podział środowiska produkcyjnego. Budowa nowego modelu bezpieczeństwa wymaga podziału na strefy kontroli, uwzględniając przy tym potrzeby i możliwości firmowego IT.
Michał Stankiewicz wyjaśnia: „Należy przeanalizować, jakie zagrożenia wiążą się z przetwarzaniem określonych danych, a następnie określić w jaki sposób je monitorować. Wówczas można zadać pytanie, czy opłaca się budowa środowiska kontroli, czy być może warto skorzystać z outsourcingu. Przy naprawdę dużej skali sama inwentaryzacja może być problemem. To samo dotyczy np. dołączania kolejnych systemów – dodanie kilkuset serwerów do narzędzi monitoringu wcale nie jest prostym zadaniem, gdy za skomplikowane systemy odpowiada wielu ludzi”.
Współpraca z IT
W każdym przypadku – od firmy średniej wielkości do dużej korporacji – pojawia się zagadnienie współpracy działu bezpieczeństwa z IT. Dział bezpieczeństwa musi współpracować z IT, choćby dlatego, że bez niezbędnej pomocy (związanej np. z dołączeniem niektórych serwerów czy aplikacji do systemów monitoringu) nie będzie mógł pełnić swoich obowiązków. Z drugiej strony IT musi traktować „bezpieczników” jako partnerów. Unormowanie styku dział bezpieczeństwa i działu IT jest jednym z ważnych działań, które później przekłada się na dobrą współpracę.
Michał Stankiewicz wyjaśnia: „Dział IT nie powinien traktować działu bezpieczeństwa jako wrogów. Najlepsze efekty daje pełna synergia, istotne, by dział IT skorzystał z rekomendacji, przedstawiających ryzyka i problemy oraz korzyści. Widzimy w tym dużą rolę ludzi rozmawiających z IT. To podejście przynosi sukcesy”.
Ocena systemów i procesów
Jednym z ważnych etapów jest analiza wpływu biznesowego. W wielu organizacjach nadal nie wiadomo, kto jest osobą akceptującą ryzyka dla poszczególnych procesów biznesowych. Tym trudniej wskazać wtedy aplikacje krytyczne, które należy zabezpieczyć w sposób adekwatny do oczekiwanego poziomu ochrony i związanych z tym kosztów. Proces ten można przeprowadzić kilkuetapowo, początkowo korzystając z wiedzy eksperckiej, by następnie uzgodnić oczekiwania z biznesem. Rozmowy z biznesem są owocne, gdy dział bezpieczeństwa dysponuje informacjami, które umożliwią głębszą analizę i optymalizację.
Michał Stankiewicz mówi: „Przystąpiliśmy do weryfikacji systemów krytycznych, które przedtem były zidentyfikowane na podstawie wiedzy eksperckiej. Opracowaliśmy trzy wskaźniki: matrycę dostępności, poufności i integralności danych. Wynikiem była lista kilkudziesięciu systemów krytycznych. Wstępną ocenę wykonał pion analityków, a następnie wypracowaliśmy uniwersalną ankietę i rozpoczęliśmy rozmowy z biznesem. Przy rozmowach skorzystaliśmy z katalogu usług bezpieczeństwa obejmującego np. koszty testów penetracyjnych czy koszty dołączania źródła do SIEM. Mieliśmy także wykaz kategorii ryzyka razem z potencjalnymi stratami. Z takimi informacjami biznes mógł ocenić oczekiwany poziom ochrony”.