Prezes pyta: „czy jesteśmy bezpieczni?”

To pytanie, które zarządy firm będą coraz częściej kierować do pracowników odpowiedzialnych za bezpieczeństwo systemów IT. Jak trzeba się przygotować do udzielenia konkretnej odpowiedzi.

Według analityków Gartnera do roku 2020 zarządy wszystkich dużych firm będą wymagały dostarczania im regularnych raportów o stanie cyberbezpieczeństwa w ich firmie.

Podczas konferencji SEMAFOR 2018, Ireneusz Tarnowski, ekspert ds. bezpieczeństwa informacji i członek ISACA Warsaw Chapter pracujący w banku BZ WBK zaprezentował jak menadżerowie ds. bezpieczeństwa powinni się przygotować do udzielenia konkretnej odpowiedzi i przedstawienia zrozumiałego i przydatnego dla biznesu raportu o stanie bezpieczeństwa.

Zobacz również:

Pracownicy odpowiedzialni za bezpieczeństwo IT już dzisiaj mają z reguły super wyposażone konsole dostarczające szczegółowych informacji o bieżącym stanie zagrożeń i występujących incydentach, które można wykorzystać do przygotowania raportów. „Ale ludzie zajmujący się bezpieczeństwem i ci, którzy zarządzają biznesem mówią różnymi językami. Język wykorzystywany przez pracowników zajmujących się bezpieczeństwem jest bardzo specyficzny i trudno zrozumiały. Dlatego powinni oni starać się opisowo wyjaśnić występujące problemy i zagrożenia” podkreślił Ireneusz Tarnowski.

Biznes nie zadaje pytań technicznych, ani nie oczekuje tego typu odpowiedzi. Przedstawiciele biznesu z reguły pytają jakie jest ryzyko i ile możemy stracić jeśli urzeczywistni się dane zagrożenie.

Jak zmierzyć bezpieczeństwo

Żeby odpowiedzieć na takie pytania, osoby odpowiedzialne za bezpieczeństwo najpierw powinny pomyśleć o zdefiniowaniu odpowiednich, mierzalnych wskaźników będących podstawą do analiz, zdefiniować skalę problemów i określić wspólną bazę odniesienia, a następnie regularnie mierzyć parametry.

Najpierw trzeba obliczyć i zmierzyć ryzyko dotyczące różnych obszarów systemu IT, a następnie sprowadzić je do wspólnego mianownika. Przy wykorzystaniu znanych wzorców i zasad pomiaru ryzyka można je ilościowo określić. Po przeprowadzeniu takiej analizy trzeba jednak dodatkowo zbudować jedną skalę integrującą wiele wymiarów, czyli ryzyk związanych z różnego rodzaju elementami, aplikacjami i usługami działającymi w firmie.

Pozwala to na przygotowanie się do określenie jakie są największe zagrożenia, jakie jest prawdopodobieństwo, że wystąpią w firmie i jakie są ich potencjalne koszty dla firmy.

By przygotować raport niezbędne jest też zdefiniowanie wskaźników typu KPI (Key Performance Indicator), KRI (Key Risk Indicator), KCI (Key Control Indicator). Wskaźniki powinny być dopasowane do rzeczywistej struktury firmy. Na przykład mogą to być parametry mówiące o liczbie wykorzystywanych systemów, stopnia ich przestarzałości, liczbie występujących w systemie podatności lub w liczbie luk wykrytych w aplikacjach.

Niestety takich wskaźników może być bardzo dużo i dlatego należy wybrać z nich te, które są najbardziej istotne i najlepiej dopasowane do struktury firmy. „Określenia wskaźników, które w czasie rzeczywistym będą mierzalne i będą pokazywały czy poziom bezpieczeństwa jest satysfakcjonujący, a ryzyko jest na akceptowalnym poziomie, nie jest zadaniem łatwym” przyznaje Ireneusz Tarnowski.

„Wskaźniki te w zasadzie nie mierzą bezpieczeństwa, ale wyznaczają „drogę do celu” pokazując występujące problemy i ich skalę” podkreśla Ireneusz Tarnowski.

Żeby zmierzyć poziom bezpieczeństwa trzeba zbudować model, który pozwala na przypisanie zbieranym informacjom konkretnych wartości liczbowych. A ponieważ bezpieczeństwo to obiekt wielowymiarowy składający się z ludzi, warstwy sprzętowej, aplikacji, usług i internetu (zagrożenia zewnętrzne) trzeba zbudować model obejmujący wszystkie te elementy i pozwalający na ujednolicony, łatwy w odbiorze pomiar poziomu bezpieczeństwa w skali firmy.

Mając odpowiedni zestaw takich informacji można przygotowywać raporty prezentujące nie tylko informacje o aktualnym stanie bezpieczeństwa oraz występujących trendy i to bez szczegółów technicznych, które są mało zrozumiałe dla menedżerów zarządzających biznesem.

Dobrze przygotowany raport o stanie bezpieczeństwa powinien zawierać odpowiedzi na takie pytania:

- Ile firmę może kosztować udany atak

- Jakich aplikacji i usług to dotyczy

- Jakie są koszty wprowadzenia odpowiednich mechanizmów zabezpieczających

- Czy koszty cyberobrony nie przewyższają wartości chronionych zasobow?

Narzędzia wspomagające prezentację poziomu bezpieczeństwa

Istnieją narzędzia wspomagające tworzenie raportów i prezentację bieżącego stanu bezpieczeństwa określane jako cyberdashboard. Cyberdashboard umożliwia pokazanie pracownikom IT jaki jest stan bezpieczeństwa i to w czasie rzeczywistym. Jest to także jedno z najważniejszych narzędzi dla zarządu firmy.

„W trakcie przygotowywania i konfiguracji cyberdashboardu należy znaleźć wspólny wymiar dla różnych obszarów, na przykład zarządzania podatnościami czy bezpieczeństwa sieci. Osiąga się to poprzez sprowadzenie każdego mierzalnego elementu do wymiaru ryzyka” mówi Ireneusz Tarnowski.

Cyberdashboard powinien w sposób klarowny prezentować poziom bezpieczeństwa, zagrożenia i związane z nim ryzyka. Na tej podstawie zarząd może szybko podejmować decyzje dotyczące niezbędnych inwestycji lub zmian w firmie, które zmniejszą poziom ryzyka w różnych obszarach jej funkcjonowania.

Cyberdashboard można porównać do kokpitu pilota, który ma przed sobą zestaw wskaźników i na tej podstawie podejmuje odpowiednie działania i decyzje co należy zrobić. „Wykorzystanie konsoli cyberdashboard umożliwia podejmowanie decyzji co zrobić by „lot” firmy był nadal bezpieczny” mówi Ireneusz Tarnowski.

Wiadomo, że nie da się uzyskać 100-procentowego bezpieczeństwa systemu IT niezależnie od wielkości inwestycji. Ale rozbudowując infrastrukturę bezpieczeństwa zgodnie z rozsądnymi zasadami i możliwościami finansowymi organizacji można istotnie zwiększyć koszty przeprowadzenia skutecznego ataku. A cyberprzestępcy też kalkulują koszty i potencjalne zyski.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona


TOP 200