Zarządzanie cyberbezpieczeństwem w organizacji
Konieczność wdrożenia środków zabezpieczających przedsiębiorstwo przed cyberatakami jest w dzisiejszych czasach oczywista. Ataki ransomware, kradzieże danych, szyfrowanie dysków, kradzież mocy obliczeniowej na potrzeby generowania kryptowalut – to tylko niektóre zagrożenia, z którymi mierzyć się musi współczesna organizacja. Problem dotyczy praktycznie wszystkich – dużych i małych, przedstawicieli przemysłu, branży finansowej, usług, jednostek administracji rządowej i samorządowej. U podstaw realizacji niejednego projektu mającego na celu zwiększenie skuteczności zabezpieczenia infrastruktury informatycznej leżał skuteczny atak całkowicie paraliżujący działanie zamawiającego.
Rynek pełen jest rozwiązań technicznych mających zapewniać ochronę przed atakami pochodzącymi z cyberprzestrzeni. Często zabezpieczenie systemów informatycznych sprowadza się właśnie do wdrożenia takich produktów, mających stanowić panaceum na wszelkie problemy. Z reguły niestety okazuje się, że brak uwzględnienia ograniczeń związanych z funkcjonalnością mechanizmów zabezpieczających, jak równie brak odpowiedniego zarządzania nimi powoduje, że poziom zabezpieczenia systemów IT co najwyżej nieznacznie się podnosi. Do anegdoty urósł niejednokrotnie zaobserwowany przypadek wdrażania mechanizmów filtrujących połączenia sieciowe skonfigurowanych w ten sposób, że połączenia te nie są filtrowane – co oczywiście w żaden sposób nie podnosi poziomu ochrony przed atakami, za to może stanowić spory wydatek w budżecie.
Doświadczenie pokazuje, że niezbędnym elementem zapewnienia efektywnej ochrony przed cyberzagrożeniami jest wdrożenie i realizacja procesów zarządzania bezpieczeństwem informatycznym. Ich właściwe funkcjonowanie pozwala nie tylko na szybkie wykrycie zagrożenia i odpowiednią reakcję na nie, ale przede wszystkim na niedopuszczeniu do sytuacji, w której próba ataku na organizację mogła być skuteczna. To między innymi zarządzanie oprogramowaniem w taki sposób, aby nie występowały w nim podatności umożliwiające naruszenie bezpieczeństwa, czy też wprowadzanie zmian w systemach informatycznych w sposób uwzględniający wymagania w zakresie ochrony przed atakami cybernetycznymi. To również procesy związane z zapewnieniem bezpiecznej eksploatacją systemów przez użytkowników, między innymi poprzez właściwe zarządzanie dostępem z uwzględnieniem zasady minimalnych uprawnień oraz prowadzenie szkoleń i działań uświadamiających (w tym również testów socjotechnicznych symulujących np. wysyłanie poczty elektronicznej zawierającej wirusy). Zarządzanie cyberbezpieczeństwem ukierunkowane na użytkownika jest o tyle istotne, iż jest on chyba najczęstszym celem ataku.
Wdrożenie procesów zarządzania cyberbezpieczeństwem powinno być sformalizowane i ustrukturyzowane. Punktem odniesienia są tutaj normy regulujące zagadnienia zarządzania bezpieczeństwem informacji i bezpieczeństwem informatycznym, w tym ISO/IEC 27001. Tylko takie podejście zapewni kontrolowanie poziomu ryzyka w obszarze cyberbezpieczeństwa i utrzymanie go na poziomie akceptowalnym dla organizacji.
Autor:
Adam Gałach, Prezes Zarządu, Galach Consulting Sp. z o.o.
Last Updated on 15 października, 2021 by Anastazja Lach