Człowiek jest ważnym ogniwem systemu cyberbezpieczeństwa
Zarządzanie cyberbezpieczeństwem w organizacji jest kluczowe. Wiadomo nie od dzisiaj, że niestety najsłabszym ogniwem w całości systemu bezpieczeństwa każdej organizacji jest człowiek. Wiele się dziś mówi o cyberbezpieczeństwie, RODO uczy nas chronić swoje dane, głośne przypadki ataków hackerskich każą zastanowić się, jak bezpiecznie funkcjonować w sieci itd. – świadomość rośnie. Dobrze, że rośnie, ale i też nie każdy pracownik identyfikuje się ze swoją organizacją, więc nie każdy myśli o tym, aby coś złego się jej nie przytrafiło. Wprowadzanie zakazów i nakazów niewiele zmienia dla „szarych” pracowników. To nie oni są odpowiedzialni za bezpieczeństwo organizacji. Trzeba podejść do sprawy „globalnie”, ale ze zrozumieniem każdego członka pracowniczej społeczności. Na pewno trzeba stawiać na świadomość, bo bez niej nigdy nie będzie dobrze. Jak budować świadomość, proste, często mówić o zagrożeniach, szkolić, pomagać. Krótko mówiąc trzeba stworzyć takie środowisko, które będzie odporne na większość cyberzagrożeń. Nasze systemy muszą więc uwzględniać fakt, że użytkownicy są i pozostaną dla przestępców łatwym do zmanipulowania celem. Jednym z najważniejszych ogniw bezpieczeństwa IT jest człowiek, jego kompetencje, nastawienie, motywacja oraz świadomość odpowiedzialności za zarządzanie cyberbezpieczeństwem. Odpowiednio zdefiniowane procedury kadrowe pomagają wyselekcjonować odpowiednich kandydatów do pracy, określić role i odpowiedzialności w trakcie zatrudnienia oraz zapewnić bezpieczeństwo IT po zakończeniu zatrudnienia.
Właściwa organizacja procesów cyberbezpieczeństwa zwiększa jego siłę odporności
We wcześniejszych artykułach pisaliśmy o właściwym doborze specjalisty ds. cyberbezpieczeństwem oraz systemowym podejściu do zarządzania nim. Tak to dobry krok, ale może nie wystarczyć. Człowiek mający pewne ograniczenia w zasobach ludzkich, nieposiadający wsparcia zespołu może jednak wesprzeć się technologią. Dzisiejsze systemy wspierają nie tylko hackerów atakujących nasze organizacje, ale mogą wspierać nas w obronie przed nimi. Za nim jednak wybierzemy środki technologiczne mające wesprzeć naszą organizację w bezpieczeństwie powinniśmy poznać nasze potrzeby na tym polu. Poznać po to, aby wiedzieć czy przypadkiem nie mamy już własnych rozwiązań, które mogą pomóc w ich załataniu. Jak wspominaliśmy już wcześniej najłatwiej zrobić to przez audyt organizacji, ale można też zacząć krok dalej, czyli od analizy ryzyka. Polega ona na identyfikacji zasobów informatycznych (tj. Sprzęt, oprogramowanie, dane), które mogą być zagrożone różnego rodzaju atakami (np. malware, phishing, DDos), oraz oszacowaniu prawdopodobieństwa i skutków takiego zdarzenia. To bardzo dobra podstawa do wyboru i wdrożenia zabezpieczeń.
RODO może nam również pomóc w dobrze środków bezpieczeństwa
Od 2018 roku w całej unii europejskiej obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych, które jest o tyle ciekawym aktem, że obliguje do jego przestrzegania nas wszystkich. RODO w ramach swoich artykułów zmusza administratorów (art. 24) do stosowania właściwych (art. 32) środków bezpieczeństwa organizacji. Już na polu tego aktu możemy się dowiedzieć jakie warto zastosować rozwiązania, aby zwiększyć bezpieczeństwo naszej firmy. Jako że dane osobowe przetwarzane są również w systemach informatycznych i tu pojawią się konieczne często do wdrożenia sposoby zabezpieczeń. Od takich najprostszych jak system antywirusowy, przez szkolenia uświadamiające pracowników, po działania polegające na przypisaniu informacji kategorii, na podstawie której stosuje się odpowiednie zabezpieczenia np. pod względem poufności. Na gruncie RODO dowiemy się również, że mamy mieć właściwą dokumentację wspierającą działania. Audyty prowadzone przez Inspektora Ochrony Danych wskażą nam przynajmniej część luk w naszych systemach. Luk, które trzeba szybko zabezpieczyć.
Dobre wsparcie procesowe i programowe pomaga cyberspecjaliście
Bezpieczeństwo dostarczonych systemów, aplikacji usług w dużej mierze zależy od uwzględnienia wymaganych zabezpieczeń na etapie ich wytwarzania lub dostarczania. Technologia w „służbie człowieka” to bardzo ważne narzędzia wspierające codzienną pracę. Systemów dostępnych na rynku pomagających chronić czy wykrywać zagrożenia jest wiele. Dobry specjalista od zarządzania cyberbezpieczeństwem będzie umiał je dobrać, a co najważniejsze będzie umiał znaleźć też takie, które nie obciążą finansowo naszej instytucji czy organizacji.
Systemy wspierające zarządzanie cyberbezpieczeństwem
My dzisiaj przedstawimy tylko kilka z nich, ale warto zapoznać się z całą gamą dostępnych rozwiązań, choćby dlatego, że warto. System Szyfrowania Danych na Serwerach, stacjach roboczych to proste rozwiązanie na zwiększenie bezpieczeństwa potencjalnej kradzieży danych. Mechanizm ten pojawia się jako proponowane rozwiązanie w ramach wspomnianego już RODO. System Network Access Control, czyli usługa polegająca na określeniu dedykowanych polityk stanowiących o zakresie dostępu do sieci. W praktyce, technologia ta ma na celu ochronę organizacji przed podłączaniem się do sieci nieznanych urządzeń, nie będących na tzw. białej liście. Firewall Sieciowy zabezpieczający przed nieuprawnionym dostępem oraz stanowi element ochrony przed złośliwym oprogramowaniem i odmową usługi. System wykrywania (detekcji) i zapobiegania (prewencji) w zakresie prób kompromitacji systemu teleinformatycznego (np. włamanie, przejęcie kontroli, wyciek danych), czyli IDS/IPS. System Zarządzania Podatnościami (VM) pozwalający w sposób zaplanowany zarządzać konfiguracją aplikacji skanującej infrastrukturę. Wykrywa podatności w infrastrukturze organizacji, ocenia krytyczność tych podatności oraz określa priorytet wprowadzania poprawek do środowiska produkcyjnego. Czy jeszcze DLP który klasyfikuje wrażliwe dane, identyfikuje naruszenie polityk i podejmuje proaktywne działania (alarmowanie, blokowanie/kwarantanna, szyfrowanie) w celu zapobiegania przed ujawnieniem / wyciekiem wrażliwych danych, zarówno złośliwym jak i przypadkowym. Jak widać na tych prostych przykładach systemów wspierających jest wiele i warto się z nimi zapoznać.
Pamiętaj, zawsze trzeba dobrze zarządzać całością procesów
Podsumowując, wsparcie systemowe musi od czegoś wychodzić. Zakup technologicznych rozwiązań nam nie pomoże, jeśli nie będziemy wiedzieli co z nimi zrobić. Jak go użyć, aby były skuteczne. Zarządzanie cyberbezpieczeństwem to proces trwały i stały. Dobrze opisane polityki bezpieczeństwa, procedury zarządzania aktywami, konfiguracją czy ciągłością działania na pewno wskażą nam jak postępować. Każda technologia ma swoje słabe punkty. Właściwie zaprojektowany i wdrożony proces zarządzania podatnościami skutecznie chroni przed większością zagrożeń. Obejmuje on identyfikację, klasyfikację., priorytetyzację oraz przypisanie odpowiedzialności za zabezpieczanie lub eliminację podatności. Skoordynowane działania dotyczące kierowania i nadzoru nad cyberbezpieczeństwem w odniesieniu do ryzyka na pewno sprawią, że organizacja stanie się bezpieczniejsza.
