Bezpieczeństwo – cyberbezpieczeństwo, analiza ryzyka

analiza ryzykaCyberbezpieczeństwo powinno zajmować wysoką pozycję w agendach zarządów firm…

Bezpieczeństwo krajowe i gospodarcze zależy od niezawodnego funkcjonowania krytycznej infrastruktury. Zagrożenia cyberbezpieczeństwa wykorzystują większą złożoność i łączność krytycznych systemów infrastrukturalnych, stanowiąc ryzyko dla bezpieczeństwa kraju, gospodarki, bezpieczeństwa i zdrowia publicznego. Podobnie jak w przypadku zagrożeń finansowych i wizerunkowych, ryzyko związane z cyberbezpieczeństwem wpływa na podstawy przedsiębiorstwa. Może podnosić koszty i wpływać na przychody. Może narazić możliwości organizacji w zakresie innowacyjności, pozyskiwania i utrzymania klientów. Skoro może nas narazić to powinniśmy stawiać cyberbezpieczeństwo na jednym z piedestałów naszych organizacji.

Coraz więcej codziennych czynności przenosi się do cyfrowego świata…

Pandemia COVID-19 wymusiła na szeroką skalę wprowadzanie technologii w celu stawienia czoła różnym krytycznych aspektom kryzysu, jak koordynacja usług opieki zdrowotnej, międzynarodowa reakcja na rozprzestrzenianie się COVID-19, wdrażanie systemów pracy zdalnej, nauczanie na odległość, komunikacja międzyludzka, kontrola środków blokady gospodarki, telekonferencje i wiele innych. Ta kryzysowa sytuacja spowodowała tylko przyśpieszenie wielu procesów przenoszonych do cyfrowego świata. Skoro przenosimy nasze czynności do świata cyfrowego, to powinniśmy przeprowadzać analizę ryzyka zagrożeń jakie występują w tych środowiskach.

Bezpieczeństwo informacji, dane osobowe, dane finansowe i inne elementy istotną wartością każdej organizacji…

Wspomniana wcześniej sytuacja pandemiczna i następujące po niej kolejne jak inflacja, wojna na Ukrainie itd. powoduje, iż specjaliści ds. bezpieczeństwa informatycznego muszą szybko reagować na nowe wyzwania. Te wyzwania pojawiają się np. poprzez pracę zdalną, gdzie pracownicy wykorzystują domowe łącza internetowe celem uzyskania dostępu do usług firmowych. Brak przeprowadzanie analizy ryzyka takich zachowań może wywołać niebezpieczne sytuacje w naszych organizacjach. Pamiętajmy wszyscy, że nad naszymi organizacjami wiszą przepisy prawne zmuszające nas do dbania o bezpieczeństwo. Wiadomo, że większej ilości przepisów sprostać muszą jednostki publiczne, ale wszyscy odpowiadamy na gruncie RODO. Same RODO wskazuje na przeprowadzanie analizy ryzyka przetwarzanych danych osobowych. Jeśli utracimy dane osobowe to może na naszą organizację zostać nałożona kara. Jeśli utracimy cenne informacje dla organizacji to dodatkowo możemy utracić wizerunek organizacji. Krótko mówiąc całość bezpieczeństwa naszej firmy powinna stanowić jedno z kluczowych zadań dla zarządów firm.

Rośnie liczba incydentów cyberbezpieczeństwa i ochrony danych…

Brak właściwego podejścia do tematu bezpieczeństwa, czyli np. nieprzeprowadzanie cyklicznych analiz ryzyka powoduje wzrost incydentów w naszych przedsiębiorstwach. Oczywiście, do tej pory niektóre firmy, mając wdrożone różne normy ISO przeprowadzały analizę ryzyka w swoich organizacjach. Wraz z wejściem RODO pojawiła się kwestia analizy ryzyka na gruncie ochrony danych osobowych i tą powinny zrobić wszystkie organizacje. Jednakże pracując jako IOD z doświadczenia wiem, że wiele firm nawet nie próbowało „podjąć rękawicy” w tym temacie. Współcześnie, jednakże powinniśmy nastawić się również na cyberbezpieczeństwo i przeprowadzać analizy ryzyka też w tym kierunku.

Powinno nam zależeć na zwiększaniu odporność firmy na ryzyko utraty danych czy informacji…

Celem dobrej analizy ryzyka jest informowanie osób decyzyjnych i wspieranie reakcji na ryzyko poprzez identyfikację:

  • istotnych zagrożeń dla organizacji lub zagrożeń kierowanych przez organizacje przeciwko innym organizacjom;
  • podatności na zagrożenia zarówno wewnętrzne, jak i zewnętrzne w stosunku do organizacji;
  • wpływu na organizacje m.in szkód, jakie mogą wystąpić, biorąc pod uwagę możliwość wykorzystania luk; prawdopodobieństwa wystąpienia szkody.

Krótko mówiąca, analiza ryzyka cybernetycznego ma nam pomóc w ocenie możliwych zagrożeń jakie mogą dotknąć naszą organizację. Wiedza na temat potencjalnych zagrożeń jak sposobów ich uniknięcia albo reakcji na nie pozwala na spokojniejsze codzienne działania. Nie musimy się stale martwić, co zrobimy, jak się wydarzy. Oczywiście, wszyscy zaraz powiedzą, że atakowane są głównie duże firmy lub jednostki infrastruktury krytycznej. Jednakże tak nie jest, bo i osoby prywatnie często otrzymują podejrzane wiadomości sms czy email. Celem tych wiadomości jest pozyskanie od nas informacji. Wiem również, że do mniejszych firm też trafiają różnego typu maile mające na celu wprowadzenie nas w błąd. Patrząc przez taki pryzmat, musimy przyznać, że stałe zwiększanie odporności firmy na zewnętrzne ryzyka jest kluczowym działaniem. Działaniem, w którym właśnie może pomóc nam rozszerzenie przeprowadzanych analiz ryzyka o elementy związane z Cyberzagrożeniami.

Zarządzanie ryzykiem to ciągły proces identyfikacji, oceny i reagowania na ryzyko…

Na gruncie przepisów finansowych wszyscy się pewnie zgodzą, że trzeba właściwie zarządzać ryzykiem w organizacji, aby nie narażać się na kary. Te kary mogą pojawić się również w przypadku błędnego zarządzania ryzykiem w ramach ochrony danych osobowych. Brak wdrożenia rozwiązań na gruncie analizy ryzyka w ochronie danych osobowych może się wiązać z karami do urzędu nadzorczego. Na pewno też istotną kwestią tej analizy ryzyka jest to, aby była ona zrobiona dobrze i uwzględniała szeroki wachlarz sytuacji. Trudno zarządzać ryzykiem opierając się na błędne wyniki z analizy ryzyka. Nie dość, że trudno to możemy jeszcze otrzymać karę. Przykładem może tu być kara nałożona przez UODO na Towarzystwo Ubezpieczeniowe Ergo Hestia, które analizę ryzyka przeprowadziło, ale jej wyniki były błędne. Krótko mówiąc, proces zarządzania ryzykiem, obejmującym cyberbezpieczeństwo powinien zacząć się od analizy ryzyka cyberzagrożeń. Powinien obejmować wskazanie danych krytycznych oraz poufność, integralność i dostępność danych. Na pewno kluczowymi będą również wdrożenie odpowiednich procedur, środków technicznych i narzędzi, które zapewnią organizacji odporność na ataki, funkcję odstraszającą, szybką wykrywalność ataków oraz zminimalizowanie ewentualnych strat. 

Minimalizacja zagrożeń w obszarze cyberbezpieczeństwa niezbędnym działaniem koniecznym…

Wszystkie firmy chcą mieć klientów, bo dzięki nim będą zarabiać pieniądze. Mając pieniądze firma się rozwija, pracownicy dostają podwyżki, premie, są zadowoleni. Każdy się z tym zgodzi. Dopuszczając do incydentów na gruncie cyber organizacje nie tylko mogą stracić na wizerunku, ale również zapłacić kary za nie wdrożenie odpowiednich zabezpieczeń. Nie zostaną wdrożone odpowiednie zabezpieczenia, jeśli nie będziemy wiedzieć jakie one powinny być. Chcąc zminimalizować zagrożenia w obszarze cyberbezpieczeństwa powinniśmy przeprowadzić prawidłową analizę ryzyka i działać w oparciu o jej wyniki. Na pewno też trzeba szkolić pracowników, ostrzegać o zagrożeniach. Analiza ryzyka cyberzagrożeń to strategiczna aktywność w procesie zarządzania bezpieczeństwem. Świadomość ryzyka związanego z cyberzagrożeniami pozwala na efektywne stosowanie zabezpieczeń. Wyniki analizy ryzyka stanowią ważny element świadomości sytuacyjnej i wpływają na działania operacyjne takie jak procesy obsługi incydentów i podatności.

Świadomość ryzyka związanego z cyberzagrożeniami pozwala na efektywne stosowanie zabezpieczeń…

Wyniki analizy ryzyka stanowią ważny element świadomości sytuacyjnej i wpływają na działania operacyjne takie jak procesy obsługi incydentów i podatności. Ważną kwestią, aby analiza ryzyka – każda, była zrobiona dobrze. W podejściu do dobrej analizy ryzyka w obszarach cyberbezpieczeństwa mogą nam pomóc wytyczne wynikające z NIS, ustawy o krajowym systemie cyberbezpieczeństwa, norm ISO z serii 27000, a także ENISA czy NIST. Podstawą wyjścia do takiej analizy ryzyka, może być ta opracowywana na gruncie ochrony danych osobowych. Analiza ryzyka na gruncie ochrony danych osobowych powinna również obejmować obszary przetwarzania danych w systemach informatycznych, więc będzie dobrym początkiem do pełnej oceny ryzyka. Poznawszy wszystkie zagrożenia zyskamy wiedzę co musimy zrobić, aby je zminimalizować. Mając tą wiedzę, może znaleźć właściwe narzędzia do ochrony i efektywnie je stosować.

Brak umiejętności nie oznacza braku możliwości zabezpieczenia firmy…

Wiadomo, że na rynkach wszystkich krajów są braki w zasobach ludzkich. Ciężko jest znaleźć specjalistów ds. cyberbezpieczeństwa. Skoro ciężko jest ich znaleźć, to nie można ich zatrudnić. Skoro nie zatrudnimy, to jak mamy przeprowadzić rzetelną analizę ryzyka? A jednak można. Są na szczęście firmy zewnętrzne, zatrudniające specjalistów i można korzystać z ich usług. Ważne jest, aby wybrana do współpracy organizacja rozpoczęła swoje działania od przeprowadzenia audytu. Przeprowadziła identyfikację i analizę obszarów mających lub mogących mieć wpływ na bezpieczeństwo informacji i cyberbezpieczeństwo. Dopiero po uzyskaniu takich informacji można zaczynać analizę ryzyka. W mojej ocenie usługa powinna dzielić się na minimum 4 etapy. Zaczynając od audytu wstępnego, o którym wspomniałem powyżej, przez raport dotyczący cyberbezpieczeństwa do analizy ryzyka cyberbezpieczeństwa. Ostatnim etapem powinno być szkolenie dla pracowników. Szkolenie uwzględniające zagrożenia wynikające z analizy ryzyka oraz informacje na co powinni pracownicy zwracać uwagę. Poszukując usług związanych z cyberbezpieczeństwem, a także z przeprowadzaniem w ich ramach analiz ryzyka warto się zapoznać z usługami w oparciu o Krajowy System Cyberbezpieczeństwa, Krajowe Ramy Interoperacyjności lub Bezpieczeństwo Informacji.

 

 

 

 

 

 

 

 

 

Dodaj komentarz

BCO Integrity - Logo w stopce