Czego pilnuje oficer bezpieczeństwa?

Jak często systemy informatyczne są atakowane przez intruzów?

Zakłada się, że każdy system jest raz na pięć lat przez kogoś penetrowany. Jeśli ktoś twierdzi, że u niego w firmie jest inaczej, to albo kłamie, albo nie wie, że takie fakty miały miejsce. Większość takich ataków jest automatyczna – ktoś po prostu włamuje się do systemów, które mają takie same luki i na tym się kończy zabawa, tak wygląda około 90% wszystkich ataków. To, że ktoś komuś podmienił stronę internetową, to jeszcze nie jest najgorsza rzecz, jaka może się nam zdarzyć, choć oczywiście na tym może ucierpieć reputacja. Jednak najgorsze jest pozostałe 10%, czyli sytuacje, w których włamywacz stara się przebywać w naszym systemie jak najdłużej, wykorzystując do tego różne techniki ukrywania się tak, by nie było widać zmodyfikowanych plików, połączeń sieciowych na zewnątrz. Walkę ze wspomnianymi 90% ataków z internetu bez problemu wygrywa każda firma realizująca podstawowe zasady bezpieczeństwa. Jeśli natomiast chodzi o pozostałe 10% ataków, o których wspomniałem, to sytuacja zabezpieczenia jest nieco bardziej skomplikowana, ale możliwa do realizacji.

W jakim miejscu firmy powinien znajdować się dział bezpieczeństwa, czy też oficer bezpieczeństwa?

Zobacz również:

  • GenAI jednym z priorytetów inwestycyjnych w firmach
  • Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
  • International Data Group powołuje Genevieve Juillard na stanowisko CEO

Myślę, że umiejscowienie w strukturze firmy oficera bezpieczeństwa nie należy do kwestii kluczowych, istotne jest jaką on posiada wiedzę, czy jeszcze ktoś prócz niego ją posiada i jakie on ma uprawnienia. Jeśli oficer bezpieczeństwa ma mieć możliwość egzekwowania od ludzi pewnych spraw, to wiadomo, że musi on być odpowiednio wysoko usytuowany w strukturze firmy i mieć stosowne wsparcie zarządu. Zupełnym nieporozumieniem jest oczekiwanie od oficera bezpieczeństwa, że będzie on kadrowcem, administratorem, informatykiem, programistą, menedżerem i jeszcze księgowym w jednej osobie. Ktoś tak obciążony zadaniowo, po prostu przestaje panować na swoimi zadaniami i jego funkcja jest pozbawiona sensu. Podstawowym obowiązkiem oficera bezpieczeństwa jest nadzorowanie tego, czy ustanowiony w spółce standard bezpieczeństwa jest przestrzegany i raportowanie o tym, że być może standard ten jest nieadekwatny do obecnych wymogów biznesowych spółki. W dużych spółkach struktura wygląda często tak, że istnieje dział bezpieczeństwa, dział audytu wewnętrznego i osobno oficer bezpieczeństwa, który w jakimś stopniu nadzoruje pracę dwóch poprzednich działów, które jednocześnie nadzorują siebie nawzajem jak również część obowiązków oficera bezpieczeństwa. Mamy tu do czynienia z zasadą ograniczonego zaufania i nie chodzi o to, że tego zaufania rzeczywiście brakuje, chodzi o wyeliminowanie przypadkowych błędów, które zdarzają się nawet najlepszym. Osobami odpowiedzialnymi za bezpieczeństwo są właściciele procesów biznesowych, oni powinni być wspierani przez dział bezpieczeństwa i oficera bezpieczeństwa. Zaznaczę też, że oficer bezpieczeństwa nie powinien być jedną osobą na swoim stanowisku. Wynika to z rzeczy oczywistych, takich jak możliwość zachorowania lub przebywania na urlopie. Rodzi się też pytanie, jak dużo zaufania możne zarząd okazać jednej osobie. Jeśli mamy więcej, niż jednego oficera bezpieczeństwa, to sytuacja taka umożliwia nam np. separację uprawnień, rozdział pewnej wiedzy. W wielu firmach system zabezpieczeń jest całkiem dobry, ale mają one tylko jednego oficera bezpieczeństwa i to jest wielkie niebezpieczeństwo. Zagrożeniem nie jest sama osoba, ale to że może ona któregoś dnia odejść z firmy zabierając całą wiedzę. To nawet nie chodzi o budzenie podejrzeń, że ta osoba może z zabraną wiedzą postępować nieetyczne, ale o to, że nagle w organizacji wiedza ta przestaje funkcjonować.


TOP 200