Trochę o zarządzaniu tak w ogóle
Chcąc wyjaśnić prostym językiem zakres zarządzania cyberbezpieczeństwem jako kontynuację naszej poprzedniej publikacji dotyczącej specjalisty z tego zakresu zacznijmy od tego czym jest zarządzanie. To nic innego jak działania, procesy, podejmowanie decyzji celem efektywnego funkcjonowania organizacji lub instytucji. Efektywnego, czyli takiego, aby osiągnąć cel przy jak najniższych kosztach. Efektywność warunkuje funkcjonowanie organizacji i determinuje jej rozwój. Oczywiście efektywność w ramach zarządzania to również kwestia organizacyjna w ramach bieżącego i strategicznego przystosowania się przedsiębiorstwa do zmian w otoczeniu oraz produktywnego wykorzystania posiadanych zasobów dla realizacji zaplanowanych celów. Każdy w codziennych czynnościach wykorzystuje różne zasoby, w tym te osobowe, finansowe, organizacyjne czy czas. Kadra zarządcza musi myśleć o wszystkim, więc musi umieć podejmować trudne, często krytyczne decyzje. Wśród tych decyzji w ostatnim czasie jest właśnie ta, dotycząca postępowania z zagrożeniami występującymi w sieci informatycznej. Cyberzagrożenia stają się „chlebem powszednim” każdego z nas, więc nie da się pomijać tego tematu.
Cyberbezpieczeństwo ważnym procesem zarządczym
Stabilny rozwój państwa, społeczeństwa i gospodarki jest trwale związany z niezakłóconym i nieograniczonym dostępem do informacji. Informacja wykorzystywana jest w procesach zarządczych, produkcyjnych i usługowych. Dlatego też sieci łączności elektronicznej, systemy informacyjne, przetwarzane w nich informacje, a także usługi świadczone za pośrednictwem tych systemów wymagają szczególnej ochrony oraz wdrożenia odpowiedniego poziomu zabezpieczeń. Odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy jest niezwykle istotna dla każdej organizacji. Podmioty obowiązane wskazane w ustawie o krajowym systemie cyberbezpieczeństwa muszą spełniać wymagania ustawowe. Tak więc w oparciu o przepisy prawa muszą stawiać na cyberbezpieczeństwo. Wiadomo już, że dane osobowe są składową informacji, a do tego są dla przestępców bardzo cenne. Działania Urzędu Ochrony Danych Osobowych pokazują, że wycieki, utrata takich danych powodują naruszenia, które są często karane, czyli mamy kolejny powód wskazujący na uważność w zakresie cyberbezpieczeństwa.
Zarządzanie cyberbezpieczeństwem wspiera każdą organizację
Wsparcie organizacji na każdym kroku jej działań jest istotne, każdy się z tym zgodzi. Właściwy proces zarządczy na pewno pomaga w osiągnięciu celów jakie dane przedsiębiorstwo sobie stawia. Zapotrzebowanie rynku zdominowanego przez postępującą cyfryzację wszelkich aspektów funkcjonowania społeczeństwa oraz wzrost liczby przestępstw popełnianych względem i przy użyciu cyfrowych urządzeń to jeden z elementów współczesnego zarządzania. Cyberbezpieczeństwo to dziedzina interdyscyplinarna potrzebująca specjalistów zarówno technicznych, ale również na płaszczyźnie zarządczej. W poprzednim artykule szerzej opisaliśmy, jak organizacji może pomóc specjalista ds. zarządzania cyberbezpieczeństwem. Czego potwierdzeniem jest obecnie wymagana płaszczyzna zarządzania organizacją. Świat idzie do przodu i przenosi się do internetu, a nie dawna sytuacja pandemiczna związana z COVID wymuszająca często pracę zdalną tylko to potwierdza. Skoro jesteśmy zmuszani do działań w sieci to wystawieni jesteśmy nie jako „automatycznie” na szereg zagrożeń cyber. Przestępcy tylko czekają na ludzkie błędy, aby zaatakować organizację i pozyskać dane, czy wyłudzić okup. Chcąc się zabezpieczyć musimy umieć właściwie zarządzać procesami zachodzącymi w sieci, czyli posiadać umiejętność zarządzania cyber. Taka umiejętność pozwoli nam nie tylko ochronić nasze zasoby, dane itp., ale również nie narazi nas na naruszenia czy utratę wizerunku.
Zwiększenie bezpieczeństwa firmy i łatwiejsze korzystanie z dostępnych zasobów
Dobre zarządzanie obszarem cyber zaczyna się od znajomości podstaw działania całości infrastruktury teleinformatycznej. Chcą prawidłowo zacząć proces zarządzania cyberbezpieczeństwem w organizacji trzeba najpierw ją dobrze poznać. Poznać, ale przez pryzmat tego czym będziemy zarządzać, czyli pozyskać wiedzę w zakresie posiadanych zasobów. Nie chodzi tylko o zasoby ludzkie (dział IT, ochrona danych, compliance, prawny i pokrewne), ale o zasoby teleinformatyczne. Musimy wiedzieć jakie mamy systemy, jednostki, wdrożone zabezpieczenia i działania. Bardzo istotne, a jednocześnie często pomijane, czyli to jaką mamy dokumentację. Wydawać mogłoby się, że ważniejsze są właściwe zabezpieczenia niż poprawnie opracowana i wdrożona dokumentacja, ale nie jest to dobre założenie. Dobrze napisana dokumentacja pomaga w działaniach, wskazuje krytyczne zagrożenia organizacji (np. analiza ryzyka), procesy postępowania w przypadku wystąpienia zagrożenia.
Jak poznać organizację?
By poznać organizację trzeba zrobić jej audyt, który odpowie nam na kluczowe pytania. Jak opracować pytania audytowe? W tym aspekcie mogą się przydać wytyczne w ramach ISO, NIST czy CIS. Jak już będziemy wiedzieć co mamy, trzeba sprawdzić co nie spełnia wymagań na gruncie bezpieczeństwa, a następnie przeprowadzić analizę ryzyka tych obszarów. Taka analiza pomorze nam zbudować odporność na ataki cybernetyczne. Po jej analizie kolejnym krokiem powinno być opracowanie i wdrożenie Polityki Bezpieczeństwa. Dokument ten powinien zawierać spisane cele, strategie oraz działania, które w jasny i ustrukturyzowany sposób określają, jak należy zarządzać zgromadzonymi danymi, jak je chronić i rozpowszechniać. Dokument powinien ułatwiać dokładne zrozumienie celu istnienia procedur bezpieczeństwa. Ma także za zadanie podnosić świadomość pracowników organizacji na temat zagrożeń bezpieczeństwa i związanego z nimi ryzyka.
Zaangażowanie zarządu firmy ważną rolą w cyberbezpieczeństwie
Mając przeprowadzony audyt, opracowaną dokumentację rozpoznane potrzeby oraz znajomość dostępnych zasobów może okazać się, że są one nie wystarczające. Z doświadczeń audytorskich wiem, że bardzo często specjaliści od IT w organizacjach boją się pójść do zarządów firm. Porozmawiać i poinformować, że czegoś im brakuje, a to istotny błąd. Ten błąd może narazić firmę na atak hackerski, kradzież danych i inne tego typu zagrożenia. Zarząd powinien wiedzieć jakie są niedociągnięcia, jak można je załatać i co zrobić, aby było dobrze. Osoby zarządzające cyber nie mogą się obawiać o utratę stanowiska, dlatego, że wskażą dziury w organizacji. Jeśli zarząd danej firmy ma takie podejście to ja nie chciałbym dla niej pracować. Wiadomo, że jak coś się wydarzy to najpierw będzie poszukiwanie winnego. Winnym wtedy będzie specjalista ds. cyberbezpieczeństwa, informatyk, ASI itp. Dlaczego? Dlatego, że wiedząc po analizie ryzyka, że jest źle nie zrobił nic, aby się z tym uporać. Jeśli jego budżet jest niski, to trzeba poprosić o większy. Nigdy nie należy zapominać o wciąganiu w te działania zarządu organizacji. Niech wiedzą, to oni przyjmują na siebie ryzyko. Jak będą wiedzieli, a coś się stanie to pretensje będą mogli mieć tylko do siebie.
Doświadczenie gwarantuje poprawne zarządzanie cyberbezpieczeństwem
Wiadomo, że łatwo się mówi zrób analizę ryzyka, opracuj dokumentację, sprawdź wszystko itd. Jak wspominaliśmy w pierwszej części tego cyklu artykułów warto postawić na przeszkolenie osoby na gruncie zarządzania cyberbezpieczeństwem. Jeśli nie mamy takiej osoby to można postawić na outsourcing tego rodzaju, a przynajmniej wybrać organizację znającą się na rzeczy. Organizacja taka przeprowadzi nam audyt wskazujący braki czy niedociągnięcia. W ramach instytucji publicznych warto zacząć od prostego, a wymaganego przepisami prawa audytu zgodności z
Krajowym Systemem Cyberbezpieczeństwa, który pozwoli odpowiedzieć na kilka ważnych pytań. Jedną z doświadczonych organizacji w ramach tego rodzaju audytu jest BCO Poland Sp. z o. o.. Firma posiada w sowim gronie również osoby po szkoleniu z zarządzania cyberbezpieczeństwem w organizacji. Poza usługą
audytu, mogą pomóc instytucją w całości procesu wdrożenia, a także świadczą usługę Inspektora KSC.
