5 złotych reguł skutecznego zarządzania cyberbezpieczeństwem

Jak odnaleźć odpowiedź na pytanie, czy wdrożony zestaw zabezpieczeń jest uzasadniony biznesowo i skutecznie przeciwdziała aktualnym zagrożeniom? Nie ma na to gotowej recepty, ale mogą pomóc poniższe zasady.

Nie ma na to gotowej recepty, a zapewnienie odpowiedniego poziomu bezpieczeństwa informacji w nowoczesnej organizacji to ciągły wyścig z pojawiającymi się zagrożeniami. W budowie bezpiecznego systemu pomóc może przestrzeganie zaprezentowanych niżej podstawowych zasad.

1. Biznes rządzi!

Przed zrobieniem czegokolwiek warto zadać sobie proste pytanie – „po co”? Podobnie jest z zapewnieniem cyberbezpieczeństwa w organizacji. Jeśli zapomnimy o tym, jesteśmy na najlepszej drodze do zbudowania jednej z najbardziej nielubianych jednostek organizacyjnych w firmie. „Paranoicy”, „hamulcowi”, „kule u nogi” to tylko przykłady często słyszanych określeń dla działów bezpieczeństwa.

Zobacz również:

  • Co nowego w bezpieczeństwie i audycie IT?
  • Uwierzytelnianie bez haseł – 10 rozwiązań
  • Co trzecia firma w Polsce z cyberincydentem

Z drugiej strony jak zachęcić do współpracy biznes, który nie rozumie i często w ogóle nie chce zrozumieć ryzyk informatycznych? Jak sprawić, by najwyższe kierownictwo wspierało nasze inicjatywy i inwestycje w cyberzabezpieczenia? Na brak takiego wsparcia skarży się dziś co trzeci oficer bezpieczeństwa (wg badania EY Global Information Security Survey 2016); jest to jedna z trzech największych barier na drodze do skutecznego systemu zabezpieczeń.

SeMaFOR – Forum Bezpieczeństwa i Audytu IT

Więcej na temat zagadnień związanych z cyberbezpieczeństwem będzie można dowiedzieć się na dziesiątej, jubileuszowej edycji konferencji SeMaFOR – Forum Bezpieczeństwa i Audytu IT.

Jest to najtrudniejsze, ale jednocześnie najważniejsze zadanie dla skutecznego menedżera odpowiedzialnego za bezpieczeństwo informacji w firmie. Kluczem do tego jest edukacja i komunikacja. Nie powinny to być jednorazowe akcje, działania ad hoc, ale ciągła, niekończąca się misja. I nie wolno uczynić z cyberbezpieczeństwa nudnego, irytującego tematu. Wręcz przeciwnie – jest to jedno z najbardziej medialnych zjawisk, do którego pasją można zarazić nawet poziom zarządu. W idealnym świecie rolą działu cyberbezpieczeństwa powinna być edukacja i doradztwo, natomiast podejmowanie decyzji to odpowiedzialność świadomego ryzyk informatycznych biznesu.

Jeśli już uda się nam skutecznie wnieść do organizacji kaganek cyberoświaty to wówczas we współpracy z biznesem, należy dostosować zakres stosowanych zabezpieczeń do faktycznych celów biznesowych i apetytu na ryzyko. Warto wykorzystać do realizacji tego zadania sprawdzone metodyki i zestawy najlepszych praktyk. Przykładem zorientowanej biznesowo metodyki jest SABSA (Sherwood Applied Business Security Architecture). Pozwala ona na spojrzenie na bezpieczeństwo w firmie z różnych perspektyw oraz na różnym poziomie szczegółowości – od kontekstu najbardziej ogólnego – biznesowego, po warstwę implementujących zabezpieczenia produktów i rozwiązań.

Kluczowym narzędziem do podejmowania optymalnych decyzji w zakresie bezpieczeństwa powinna być analiza ryzyka. Jeśli przyjmie formę produktywnego dialogu pomiędzy biznesem a specjalistami od bezpieczeństwa doprowadzi do znalezienia właściwego kompromisu między korzyściami biznesowymi a ryzykami informatycznymi.

Podsumowując pierwszą zasadę skutecznego zarządzania cyberbezpieczeństwem – pozwólmy biznesowi rządzić, zadbajmy by czuł się za nie odpowiedzialny i wspierajmy go w podejmowaniu optymalnych decyzji.

2. Człowiek jest naj…

Ocenianie poziomu cyberbezpieczeństwa wyłącznie z perspektywy poniesionych na niego nakładów to poważny błąd. W ten sposób bardzo łatwo zbudować złudne poczucie bezpieczeństwa, bazując na przekonaniu, że wdrożenie najnowszych rozwiązań załatwi sprawę. Oczywiście technologia jest wobec dzisiejszych cyberzagrożeń bardzo ważna. Jednakże jeszcze bardziej ważni są ludzie – organizacja i procesy związane z zapewnieniem bezpieczeństwa. Zaniedbanie tych czynników zawsze prowadzi do nieefektywności w systemie zabezpieczeń. Budując cyberbezpieczeństwo, powinniśmy myśleć odwrotnie – inwestować przede wszystkim w ludzi i procesy, jedynie wspierając ich narzędziami i technologią. Jest to szczególnie istotne wobec dzisiejszego, epidemicznego problemu braku wystarczającej ilości specjalistów w zakresie cyberbezpieczeństwa na światowym rynku pracy.

Ludzie są też bardzo ważni z innego powodu. Respondenci światowego badania EY Global Information Security Survey 2016 kolejny rok wskazują człowieka jako podatność numer jeden przedsiębiorstw. Najczęściej to niestety ludzie stanowią najsłabsze ogniwo w systemach zabezpieczeń. Wiedzą też o tym hakerzy, infekując stacje robocze użytkowników złośliwym oprogramowaniem oraz wyłudzając ich dane uwierzytelniające. Aby ograniczyć skuteczność tych ataków konieczne jest ciągłe budowanie świadomości w zakresie bezpieczeństwa wśród pracowników firmy. Uczestnicy badania EY wskazali, że jest to obszar największego wzrostu wydatków na bezpieczeństwo w roku 2017.

Podsumowując drugą złotą zasadę, dobrzy specjaliści w zakresie cyberbezpieczeństwa oraz świadomi cyberzagrożeń pracownicy biznesowi to podstawa. Należy dbać o rozwój kompetencji pracowników – inwestycje w tym obszarze w największym stopniu wpłyną na poprawę poziomu bezpieczeństwa.

5 złotych reguł skutecznego zarządzania cyberbezpieczeństwem

3. Nie unikniesz cyberataku

Teraz pora na smutną prawdę. Cokolwiek nie zostanie zrobione i tak działy bezpieczeństwa są na przegranej pozycji, jeśli ich organizacja znajdzie się na celowniku zorganizowanej grupy cyberprzestępców. Wobec rosnącej liczby pojawiających się każdego dnia podatności w wykorzystywanych technologiach informatycznych oraz wspomnianej słabości jaką stanowi pracownik należy zdać sobie sprawę, że 100% bezpieczeństwo jest mitem. Co więcej, w dobie cyfryzacji oraz zacieraniu się granic między przedsiębiorstwami, nie można już budować bezpieczeństwa jak warownej twierdzy, ale bardziej myśleć o nim jak o zaszyciu wymaganych kontroli na rojącym się od ludzi lotnisku.

Nie mogąc się skutecznie zabezpieczyć przed cyberatakiem, krytyczne staje się zbudowanie efektywnych procesów pozwalających na jego jak najszybszą detekcję oraz właściwą reakcję. Bardzo ważne stają się procesy monitorowania bezpieczeństwa. Aby były realizowane skutecznie, warto zaszczepić w realizującym je zespole założenie, że atak już nastąpił i należy proaktywnie szukać intruza w systemach.

Trzecia złota zasada brzmi więc: zabezpieczenia o charakterze prewencyjnym są najważniejsze, ale niestety niewystarczające. Konieczne są inwestycje w procesy związane z detekcją i reakcją, tak aby w porę wykryć intruza i zminimalizować straty związane z nieuniknionym cyberatakiem.

4. Ciągła transformacja

Skuteczne zarządzanie cyberbezpieczeństwem to sztuka dialogu dysponujących głęboką wiedzą techniczną ekspertów z menedżerami biznesowymi. To system, w który człowiek i jego kompetencje są w centrum a realizowane procesy w nieprzerwany sposób dostosowywane są do zmieniającego się otoczenia. To niezwykle trudny, ale fascynujący obszar funkcjonowania nowoczesnych organizacji, stanowiący niejednokrotnie o ich zdolności przetrwania w cyfrowym świecie.

Więcej na temat zagadnień związanych z cyberbezpieczeństwem będzie można dowiedzieć się na dziesiątej, jubileuszowej edycji konferencji SeMaFOR – Forum Bezpieczeństwa i Audytu IT. Autor artykułu wystąpi z prelekcją – „Dziurawe aplikacje, czy nieświadomi pracownicy? Czyli co hakerzy lubią najbardziej.”.

Świat zmienia się w dzisiejszych czasach tak dynamicznie, że nie ma miejsca na chwilę oddechu. Stagnacja zabije każdy biznes. Jeszcze gorzej jest z obszarem bezpieczeństwa, które z jednej strony musi nadążać za zmianami w procesach biznesowych i rozwojem nowych technologii a równocześnie za lawinowo rosnącą skalą, złożonością i stopniem zorganizowania cyberprzestępców.

Kluczowym założeniem wobec tych wyzwań powinno być to, że zawsze może być lepiej. Optymalizacja systemu zabezpieczeń powinna być ciągłym procesem. Kluczowa jest obserwacja otoczenia oraz wewnętrznych uwarunkowań. Nieodzownym elementem analizy otoczenia powinny być procesy monitorowania cyberzagrożeń CTI (ang. Cyber Threat Intelligence). Wiedza o nowych technikach ataków oraz sposobach wykorzystywanych przez cyberprzestępców powinna być kluczowym wkładem do budowania skutecznych mechanizmów obronnych. Równie istotne jest monitorowanie zmian w sposobie realizacji procesów biznesowych. Krytyczne jest zrozumienie, jakie aktywa firmy są najbardziej narażone na cyberatak, by na ich ochronie koncentrować większość działań. Dodatkowo, wdrożenie nowych technologii powinno być wsparte gruntowną analizą ryzyka / modelowaniem zagrożeń. Współpraca z biznesem jest tu kluczowa, by odpowiednio wcześnie rozpocząć wymagane analizy i właściwie uwzględnić aspekty cyberbezpieczeństwa w podejmowanych decyzjach.

Czwarta zasada brzmi więc: bezpieczeństwo to proces, który musi być stale doskonalony, by funkcjonował skutecznie.

5. Ufaj, ale kontroluj

Wobec ograniczonych środków finansowych oraz powszechnych problemów z zatrudnieniem i utrzymaniem wysokiej jakości specjalistów, krytyczna staje się efektywność podejmowanych działań w zakresie cyberbezpieczeństwa. Z tej perspektywy nie ma miejsca na przeładowanie realizowanych procesów nadmiernymi wymaganiami dokumentacyjnymi. Wielokrotnie doświadczyły tego firmy kierujące się przede wszystkim aspektami zgodności z zewnętrznymi wymaganiami przy budowaniu systemu zabezpieczeń.

Z drugiej strony bezpieczeństwo jest bardzo newralgicznym obszarem, w którym nie można się opierać wyłącznie na zaufaniu. Aczkolwiek szukając efektywności jest to bardzo kuszące. Badania w zakresie zarządzania wskazują jednoznacznie, że mądre zaufanie pozwala na znaczące podniesienie efektywności realizowanych procesów.

Przy budowie systemu kontroli wewnętrznej w obszarze bezpieczeństwa należy więc szukać kompromisu. Najlepiej bazować na ogólnych, całościowych mechanizmach kontrolnych, które będą mogły zastąpić szereg szczegółowych mechanizmów, wiążących się sumarycznie z dużym nakładem pracochłonności. Przykładem takiego ogólnego mechanizmu kontrolnego mogą być okresowe testy penetracyjne weryfikujące świadomość w zakresie cyberzagrożeń i sposób zachowania się pracowników – zarówno biurowych, jak i specjalistów w zespołach monitorowania i reagowania na incydenty bezpieczeństwa. Powtarzane regularnie pozwolą na ocenę skuteczności zabezpieczeń oraz wskażą obszary, w których konieczne jest wprowadzenie usprawnień. Tego rodzaju ogólne kontrole są znacznie skuteczniejsze i bardziej efektywne, niż próby uprocedurowania każdej operacji bezpieczeństwa.

Podsumowując ostatnią ze złotych reguł, kontrola wewnętrzna jest ważnym elementem skutecznego systemu zabezpieczeń, jednakże wdrożona w nieprzemyślany sposób, może uczynić go nieefektywnym i drogim w utrzymaniu.

Michał Kurek, Dyrektor w Zespole Cyberbezpieczeństwa EY, członek zarządu OWASP Polska. Prelegent i członek Rady Programowej konferencji SEMAFOR 2017.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200