Według analityków Gartnera do roku 2020 zarządy wszystkich dużych firm będą wymagały dostarczania im regularnych raportów o stanie cyberbezpieczeństwa w ich firmie.

Podczas konferencji SEMAFOR 2018, Ireneusz Tarnowski, ekspert ds. bezpieczeństwa informacji i członek ISACA Warsaw Chapter pracujący w banku BZ WBK zaprezentował jak menadżerowie ds. bezpieczeństwa powinni się przygotować do udzielenia konkretnej odpowiedzi i przedstawienia zrozumiałego i przydatnego dla biznesu raportu o stanie bezpieczeństwa.

Zobacz również:

• Najważniejsze zagrożenia wykorzystania modelu SaaS
• Stan cyberbezpieczeństwa w Polsce w 2023 roku

Pracownicy odpowiedzialni za bezpieczeństwo IT już dzisiaj mają z reguły super wyposażone konsole dostarczające szczegółowych informacji o bieżącym stanie zagrożeń i występujących incydentach, które można wykorzystać do przygotowania raportów. „Ale ludzie zajmujący się bezpieczeństwem i ci, którzy zarządzają biznesem mówią różnymi językami. Język wykorzystywany przez pracowników zajmujących się bezpieczeństwem jest bardzo specyficzny i trudno zrozumiały. Dlatego powinni oni starać się opisowo wyjaśnić występujące problemy i zagrożenia” podkreślił Ireneusz Tarnowski.

Biznes nie zadaje pytań technicznych, ani nie oczekuje tego typu odpowiedzi. Przedstawiciele biznesu z reguły pytają jakie jest ryzyko i ile możemy stracić jeśli urzeczywistni się dane zagrożenie.

Jak zmierzyć bezpieczeństwo

Żeby odpowiedzieć na takie pytania, osoby odpowiedzialne za bezpieczeństwo najpierw powinny pomyśleć o zdefiniowaniu odpowiednich, mierzalnych wskaźników będących podstawą do analiz, zdefiniować skalę problemów i określić wspólną bazę odniesienia, a następnie regularnie mierzyć parametry.

Najpierw trzeba obliczyć i zmierzyć ryzyko dotyczące różnych obszarów systemu IT, a następnie sprowadzić je do wspólnego mianownika. Przy wykorzystaniu znanych wzorców i zasad pomiaru ryzyka można je ilościowo określić. Po przeprowadzeniu takiej analizy trzeba jednak dodatkowo zbudować jedną skalę integrującą wiele wymiarów, czyli ryzyk związanych z różnego rodzaju elementami, aplikacjami i usługami działającymi w firmie.

Pozwala to na przygotowanie się do określenie jakie są największe zagrożenia, jakie jest prawdopodobieństwo, że wystąpią w firmie i jakie są ich potencjalne koszty dla firmy.

By przygotować raport niezbędne jest też zdefiniowanie wskaźników typu KPI (Key Performance Indicator), KRI (Key Risk Indicator), KCI (Key Control Indicator). Wskaźniki powinny być dopasowane do rzeczywistej struktury firmy. Na przykład mogą to być parametry mówiące o liczbie wykorzystywanych systemów, stopnia ich przestarzałości, liczbie występujących w systemie podatności lub w liczbie luk wykrytych w aplikacjach.

Niestety takich wskaźników może być bardzo dużo i dlatego należy wybrać z nich te, które są najbardziej istotne i najlepiej dopasowane do struktury firmy. „Określenia wskaźników, które w czasie rzeczywistym będą mierzalne i będą pokazywały czy poziom bezpieczeństwa jest satysfakcjonujący, a ryzyko jest na akceptowalnym poziomie, nie jest zadaniem łatwym” przyznaje Ireneusz Tarnowski.

„Wskaźniki te w zasadzie nie mierzą bezpieczeństwa, ale wyznaczają „drogę do celu” pokazując występujące problemy i ich skalę” podkreśla Ireneusz Tarnowski.

Żeby zmierzyć poziom bezpieczeństwa trzeba zbudować model, który pozwala na przypisanie zbieranym informacjom konkretnych wartości liczbowych. A ponieważ bezpieczeństwo to obiekt wielowymiarowy składający się z ludzi, warstwy sprzętowej, aplikacji, usług i internetu (zagrożenia zewnętrzne) trzeba zbudować model obejmujący wszystkie te elementy i pozwalający na ujednolicony, łatwy w odbiorze pomiar poziomu bezpieczeństwa w skali firmy.

Mając odpowiedni zestaw takich informacji można przygotowywać raporty prezentujące nie tylko informacje o aktualnym stanie bezpieczeństwa oraz występujących trendy i to bez szczegółów technicznych, które są mało zrozumiałe dla menedżerów zarządzających biznesem.

Narzędzia wspomagające prezentację poziomu bezpieczeństwa

Istnieją narzędzia wspomagające tworzenie raportów i prezentację bieżącego stanu bezpieczeństwa określane jako cyberdashboard. Cyberdashboard umożliwia pokazanie pracownikom IT jaki jest stan bezpieczeństwa i to w czasie rzeczywistym. Jest to także jedno z najważniejszych narzędzi dla zarządu firmy.

„W trakcie przygotowywania i konfiguracji cyberdashboardu należy znaleźć wspólny wymiar dla różnych obszarów, na przykład zarządzania podatnościami czy bezpieczeństwa sieci. Osiąga się to poprzez sprowadzenie każdego mierzalnego elementu do wymiaru ryzyka” mówi Ireneusz Tarnowski.

Cyberdashboard powinien w sposób klarowny prezentować poziom bezpieczeństwa, zagrożenia i związane z nim ryzyka. Na tej podstawie zarząd może szybko podejmować decyzje dotyczące niezbędnych inwestycji lub zmian w firmie, które zmniejszą poziom ryzyka w różnych obszarach jej funkcjonowania.

Cyberdashboard można porównać do kokpitu pilota, który ma przed sobą zestaw wskaźników i na tej podstawie podejmuje odpowiednie działania i decyzje co należy zrobić. „Wykorzystanie konsoli cyberdashboard umożliwia podejmowanie decyzji co zrobić by „lot” firmy był nadal bezpieczny” mówi Ireneusz Tarnowski.

Wiadomo, że nie da się uzyskać 100-procentowego bezpieczeństwa systemu IT niezależnie od wielkości inwestycji. Ale rozbudowując infrastrukturę bezpieczeństwa zgodnie z rozsądnymi zasadami i możliwościami finansowymi organizacji można istotnie zwiększyć koszty przeprowadzenia skutecznego ataku. A cyberprzestępcy też kalkulują koszty i potencjalne zyski.

Organizatorzy: Partner główny: Mecenasi: Partnerzy merytoryczni: Wystawcy: Patroni medialni: