Zabezpieczenia, a nie raportowanie

Dział bezpieczeństwa powinien obejmować swoją opieką także wszystkie spółki-córki lub inne podobne powiązane podmioty, polegając bardziej na rzeczywistych informacjach niż na raportowaniu. Jeśli to możliwe, warto dążyć do centralizacji działań, gdyż w ten sposób można zachować techniczne podejście, które w dłuższej perspektywie przyniesie firmie większe korzyści. Warto przy tym skorzystać z efektu skali, dołączając systemy do ogólnofirmowego narzędzia SIEM lub procesów oceny i usuwania podatności.

Michał Stankiewicz wyjaśnia: „Zależy nam bardziej na bezpieczeństwie niż na raportowaniu określonego poziomu ryzyka. Oczywiście, oceniamy ryzyko, ale wolimy dołączyć systemy do naszego SOC, by widzieć, co naprawdę się dzieje. Wskazujemy podatność i termin wdrożenia poprawki bezpieczeństwa, a następnie sprawdzamy poprawność wykonania naszych zaleceń. Wolimy pomóc mniejszej spółce z Grupy PZU poprzez korzystanie z naszych możliwości, zasobów i wiedzy. Jest to cenniejsze od raportów, gdyż unika się w ten sposób, kolokwialnie mówiąc, chodzenia z wiadrem zielonej farby”.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Najważniejsze zagrożenia wykorzystania modelu SaaS

Korzystanie z doświadczenia

Znalezienie problemów z bezpieczeństwem nie jest trudne, czasami wystarczy dokładnie analizować obsługę choćby jednego z procesów biznesowych. Trudniej opracować odpowiednie priorytety i określić czas usunięcia problemu, a jeszcze trudniej sprawić, by niekorzystne zdarzenie się nie powtórzyło. Znaczącą pomoc może przynieść doświadczenie uczestników różnych projektów. Zjawiska takie jak regresja problemów będą występować w miarę wzrostu skali projektów i dział bezpieczeństwa musi być na nie przygotowany.

Michał Stankiewicz komentuje: „Regresja u nas także występuje, ale dotyczy rzeczy, które nie zawsze są pod naszą kontrolą. Wystarczy, że mamy 30 projektów, w których bierzemy udział. Średnio w trzech z nich może wystąpić ten sam problem. Wtedy należy nim zarządzać, a następnie przeciwdziałać proaktywnie. Niestety, podejście proaktywne nie zawsze się udaje i dział bezpieczeństwa musi być na to przygotowany. Tutaj pomaga doświadczenie całego zespołu”.

Ludzie i problemy

Przy zarządzaniu bezpieczeństwem nie można pominąć czynnika ludzkiego. Ludzie oprócz zachowań określanych jako niefrasobliwe lub nieprzemyślane wykazują się czasem działaniami szkodliwymi. O ile różne potencjalnie niebezpieczne zachowania związane z niewiedzą, nawykami lub słabościami wymagają dłuższej pracy, szkodliwe działania wewnętrzne da się znaleźć szybko. Dział bezpieczeństwa musi być przygotowany nie tylko na szkolenie pracowników, ale także na akcje wobec osób, które chcą działać na szkodę firmy albo uważają, że ich pozycja uzasadnia omijanie reguł i zasad.

Michał Stankiewicz wspomina: „W każdej firmie zdarzają się wypadki naruszeń zarówno intencjonalnych, jak i nieumyślnych. Wdrożenie systemów monitorowania użytkowników oraz administratorów przyniosło wymierne korzyści w niedługim czasie. Sama świadomość, że ktoś patrzy, sprawia, że ludzie przestają chodzić na skróty i zaczynają się zastanawiać, czy nie łamią jakiejś procedury. Dlatego też ważne jest maksymalne uproszczenie procedur i przedstawienie ich w formie zrozumiałej zarówno dla profesjonalnego ‘bezpiecznika’, jak i dla studenta, który zaczyna swój pierwszy staż w PZU. Sprowadzenie najważniejszych informacji do dziesięciu dwu- czy trzyminutowych filmów animowanych sprawia, że ludzie poznają procedury, oglądając je w przystępnej formie w czasie oczekiwania na windę. I o to chodzi: bezpieczeństwo ma być zrozumiałe dla pracowników, a nie tylko dla ludzi zajmujących się tym profesjonalnie”.