Artykuł Końca nie widać pochodzi z serwisu CRN.
]]>Jak wynika z raportu „2022 Anomali Cybersecurity Insights Report”, od początku pandemii 83 proc. ankietowanych firm odnotowało wzrost prób cyberataków. Jednocześnie większość z nich doświadczyła wzrostu liczby wiadomości phishingowych (przy czym w wielu z nich obecne były tematy związane z koronawirusem). Oczywiście celem cyberprzestępców są wszystkie przedsiębiorstwa, jednak ich uwagę skupiają głównie duże firmy ze względu na większą ilość cennych danych.
Co ważne, cyberataki stały się bardziej wyrafinowane i skuteczne, a zapewnienie bezpieczeństwa stało się większym wyzwaniem niż kiedykolwiek. Tylko 49 proc. uczestników badania Anomali było pewnych, że zespoły ds. bezpieczeństwa w ich firmach są w stanie odpowiednio priorytetyzować zagrożenia, z uwzględnieniem informacji o trendach, wadze i możliwym wpływie na działalność biznesową. Z kolei 32 proc. respondentów było zdania, że zespoły bezpieczeństwa mają trudności z nadążaniem za szybko zmieniającą się naturą cyberzagrożeń.
Zdaniem ekspertów Cisco Talos, w 2022 r. należy spodziewać się jeszcze większej aktywności cyberprzestępców. Będą oni coraz sprytniej wykorzystywać znane im narzędzia i sposoby ataków. Ich aktywność będzie w dużej mierze pochodną incydentów, które obserwowaliśmy w roku minionym, a nawet wcześniej. Atakujący staną się też jeszcze bardziej ostrożni, przez co trudniej będzie ich zidentyfikować.
Powszechność niektórych narzędzi IT sprawia, że cyberprzestępcy mogą prowadzić ataki na znacznie większą skalę niż do tej pory. Nie muszą już bowiem obierać za cel konkretnego przedsiębiorstwa. Gdy obiektem ataku staje się dostawca usług zarządzanych lub oprogramowanie bazujące na otwartym źródle, zagrożone są wszystkie podmioty, które z tych rozwiązań korzystają. O realnej groźbie tego typu działań świadczy chociażby obserwowany od 2020 r. wzrost ataków na firmy deweloperskie.
Dokładnie i zgodnie z realiami
Tworzenie i wdrażanie reguł polityki bezpieczeństwa w każdej firmie czy instytucji staje się w takiej sytuacji nigdy nie kończącym się zadaniem. Eksperci Cisco Talos podkreślają, że specjaliści ds. cyberbezpieczeństwa muszą mieć przede wszystkim otwarte głowy – nie tracić czujności i nie lekceważyć znanych form ataków, które mogły z czasem ewoluować. Konieczne jest też baczne obserwowanie różnych środowisk, w których mogą działać cyberprzestępcy.
Trzeba też zwracać uwagę na zachowanie pracowników własnej firmy. Ci bowiem, jak wynika z raportu firmy Iron Mountain, są zazwyczaj świadomi potencjalnych zagrożeń, ale i tak często podejmują ryzykowne działania. Jedna trzecia badanych przyznała się do popełnienia co najmniej jednego „krytycznego” błędu w pracy, a 14 proc. podjęło ryzyko, które ostatecznie doprowadziło do konieczności poniesienia przez ich pracodawcę kosztów finansowych.
Skala zagrożeń rośnie dodatkowo w warunkach home office’u. Niemało, bo 36 proc. pracowników uczestniczących w badaniu Iron Mountain przyznało, że są mniej świadomi kwestii bezpieczeństwa związanych z wykonywaniem pracy zdalnej. Tak więc, nawet jeśli firmie udało się zorganizować sprawne środowisko obsługi biur domowych, to musi cały czas dbać o zachowanie bezpiecznych warunków wykonywania zadań w trybie zdalnym bądź hybrydowym. Związane z tym problemy muszą również być na bieżąco odzwierciedlane w założeniach polityki bezpieczeństwa.
– Zapewnienie bezpieczeństwa to ciągły proces, tutaj nie może być mowy o końcu działań – tłumaczy Mariola Więckowska, dyrektor rozwoju innowacyjnych technologii ochrony danych w LexDigital i członek zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI). – Sytuacja w otoczeniu biznesowym ciągle się zmienia, wciąż pojawiają się nowe zagrożenia, ale stare nie znikają. Trzeba nieustannie prowadzić analizę ryzyka i do jej wyników dostosowywać niezbędne rozwiązania. Polityka bezpieczeństwa nie może być zamkniętym, raz na zawsze przyjętym dokumentem. Trzeba ją nieustannie dostosowywać do pojawiających się zagrożeń i rodzajów ryzyka, także w obecnej, wywołanej skutkami pandemii koronawirusa sytuacji.
Artykuł Końca nie widać pochodzi z serwisu CRN.
]]>Artykuł Niekończące się wyzwanie pochodzi z serwisu CRN.
]]>Przedsiębiorstwa, które stosowały wypracowane na podstawie rzetelnej analizy ryzyka procedury reagowania na sytuacje kryzysowe, poradziły sobie z wyzwaniami lockdownu lepiej niż te, które musiały spontanicznie reagować na pojawiające się nagle zmiany sytuacji. Z badania przeprowadzonego wśród członków społeczności szefów bezpieczeństwa i cyberbezpieczeństwa CSO Council wynika, że wiele polskich firm dobrze zdało egza-min z dostosowania się do funkcjonowania w całkowicie nowej sytuacji. Tylko 4 proc. ankietowanych uznało, że konieczność nagłego działania w warunkach lockdownu spowodowała potrzebę daleko idących zmian stosowanego modelu cyber-bezpieczeństwa. Dla 72 proc. zaistniała konieczność dostosowania i modyfikacji rozwiązań tylko w wybranych obszarach. Z kolei w 24 proc. przypadków pandemia nie spowodowała konieczności wprowadzania zmian w dotychczasowym systemie cyberbezpieczeństwa.
Potrzeba więcej informacji Dla 73,8 proc. uczestników badania na temat bezpieczeństwa danych w pracy zdalnej, przeprowadzonego przez Kingston Technology na przełomie 2020 i 2021 r. bezpieczeństwo danych w ich firmie jest sprawą o dużym znaczeniu. Jednak tylko 44,3 proc. ankietowanych odpowiedziało, że zna reguły polityki bezpieczeństwa w swojej firmie i wie, do kogo zwrócić się z ewentualnymi pytaniami lub ma regularne szkolenia na ten temat. Z kolei 24,6 proc. twierdziło, że zna wprowadzone procedury cyberbezpieczeństwa, jednocześnie 23 proc. wybrało odpowiedź: „wydaje mi się, że znam, ale nie dostaję regularnie informacji na ten temat”.
Firmy zachowały zdolność skutecznej ochrony swoich zasobów w dużej mierze prawdopodobnie dzięki temu, że były przygotowane na różne scenariusze rozwoju sytuacji, czyli posiadały odpowiednio skonstruowane i przećwiczone w praktyce reguły polityki bezpieczeństwa. Ta musi uwzględniać bowiem również wydarzenia mało prawdopodobne, czy wręcz nieprzewidywalne. Tylko stale prowadzona analiza zagrożeń pozwoli uchronić się przed negatywnymi skutkami pojawienia się tzw. czarnego łabędzia, a przynajmniej je osłabić.
Rodzaje zagrożeń i ich charakter stale się obecnie zmieniają. Żeby się przed nimi bronić, trzeba mieć wdrożoną politykę bezpieczeństwa, która określa zasady postępowania w sytuacjach kryzysowych i wskazuje czynności niezbędne do przeciwdziałania skutkom niechcianych zdarzeń. Musi zawierać zbiór podstawowych, uniwersalnych reguł reagowania i podejmowania decyzji, również w nowych, pojawiających się nagle, trudnych do przewidzenia realiach. Firmy, które nie zdążyły przygotować i przetestować własnych mechanizmów zapewnienia bezpieczeństwa, w momencie lockdownu boleśnie odczuły na własnej skórze brak takich gotowych, ramowych scenariuszy działań.
Bez względu na lokalizację
Pandemia zmusiła specjalistów od cyberbezpieczeństwa przede wszystkim do innego niż dotychczas rozkładania akcentów w działaniu. W początkowej fazie lockdownu najważniejszym wyzwaniem stało się zapewnienie bezpiecznego funkcjonowania firm w warunkach pracy zdalnej. Trzeba było to zrobić szybko, niemalże z dnia na dzień. Czas i skala przedsięwzięcia były kluczowymi czynnikami ryzyka – nawet przedsiębiorstwa, których pracownicy już wcześniej korzystali z telepracy, nie były przygotowane na tak szybkie przeniesienie całego swojego środowiska pracy na platformy cyfrowe.
Z tym wiązały się kolejne wyzwania, polegające na konieczności zapewnienia bezpieczeństwa firmowych zasobów, zarówno przy korzystaniu przez pracowników z komputerów służbowych, jak i urządzeń prywatnych. Ze względu na ochronę prywatności dużo większym problemem było przy tym wdrożenie mechanizmów bezpieczeństwa w przypadku korzystania ze sprzętu osobistego niż firmowego. Często z tego samego laptopa w domu korzysta bowiem zarówno pracownik, jak i partner lub małżonek oraz dzieci. Z drugiej strony, wielu pracowników przyznaje się do używania służbowego sprzętu do celów prywatnych, na przykładach zapisywania własnych zdjęć, dokumentów, filmów, muzyki. Z badania Vecto wynika, że w aż 92 proc. przedsiębiorstw pracownicy używają służbowego sprzętu do celów prywatnych.
Zdaniem eksperta
Podstawą do stworzenia dobrej polityki bezpieczeństwa może być skorzystanie z powszechnie dostępnych standardów i opisanych dobrych praktyk. Wiele firm sięga po gotowe opracowania i wzory dokumentów, na przykład bazujące na normie ISO 27001. To jednak nie wystarczy – trzeba uwzględnić także czynniki specyficzne dla danego przedsiębiorstwa. Należy zacząć od identyfikacji zagrożeń i inwentaryzacji wartościowych zasobów, które faktycznie wymagają ochrony, ale też zwrócić uwagę na nowe obszary, związane z przechowaniem danych i usługami w chmurze.
Reguły polityki bezpieczeństwa muszą być skonstruowane tak, aby istniała faktyczna zdolność realizacji poszczególnych wytycznych. W praktyce oznacza to konieczność zachowania równowagi między najlepszą ochroną, a możliwościami technicznymi i budżetowymi. Polityka bezpieczeństwa powinna też zawierać rekomendacje w zakresie kształtowania świadomości bezpieczeństwa wśród pracowników, przede wszystkim w postaci odpowiednich procedur postępowania i prowadzenia szkoleń.
Zarówno sama polityka bezpieczeństwa, jak i związane z nią procedury muszą być weryfikowane i aktualizowane. Należy zdefiniować kryteria pomiaru i oceny skuteczności działania mechanizmów ochronnych przez dostarczenie narzędzi kontrolnych metryk, KPI, raportów, dashboardów tworzonych przez systemy klasy SIEM lub SOAR. Ważne jest sprawne dostosowywanie polityki bezpieczeństwa do nowo powstałych zagrożeń wynikających z nagłych sytuacji, jak na przykład pandemia i związana z nią praca zdalna, czy też coraz częstsze korzystanie przez użytkowników z mediów społecznościowych lub usług i dysków sieciowych w chmurze.
Ta sytuacja spowodowała konieczność wprowadzenia zarówno nowych rozwiązań technicznych, na przykład w postaci bezpiecznych połączeń czy mechanizmów szyfrowania, jak i odpowiednich reguł postępowania przy zdalnej pracy z firmowymi aplikacjami. Wymusiła więc wprowadzenie zmian również w stosowanych politykach bezpieczeństwa. Zadanie nie było łatwe, gdyż nowe zasady postępowania nie mogły mieć charakteru opresyjnego, który w i tak trudnej sytuacji utrudniałby dodatkowo pracę w trybie home office. Z drugiej strony musiały być na tyle skuteczne i precyzyjne, by zapewnić rzeczywiste bezpieczeństwo firmowego środowiska pracy. Dlatego polityka bezpieczeństwa musi być zawsze napisana w prosty, zrozumiały dla wszystkich sposób. Nieznajomość bądź niezrozumienie jej wymagań przez pracowników mogą być równie groźne jak jej brak.
Konsekwencją problemów związanych z możliwością pełnego zabezpieczenia domowych środowisk pracy było zwiększone zainteresowanie przenoszeniem zasobów przedsiębiorstw do środowisk chmurowych, którymi można łatwiej i skuteczniej zarządzać w kontekście wymogów cyberbezpieczeństwa. Uniezależnienie sposobów ochrony strategicznych danych czy aplikacji firmy od lokalnych, rozproszonych narzędzi ich przetwarzania czy wykorzystania daje większe możliwości zapewnienia pełnego bezpieczeństwa. Jeżeli dane czy aplikacje znajdują się w chmurze, to mniej istotne (chociaż nie całkowicie nieważne) staje się, czy dostęp do nich odbywa się przez sprzęt służbowy, czy prywatny, z domu pracownika czy z biura w siedzibie firmy. Łatwiej wtedy wprowadzić jednolite zabezpieczenia na poziomie usługi chmurowej. To jednak wymaga z kolei znowu aktualizacji i przetestowania polityki bezpieczeństwa pod kątem wyzwań wynikających z takiego modelu działania.
Zintegrowana kontrola
Do weryfikacji skuteczności polityki bezpieczeństwa można wykorzystać wiele narzędzi informatycznych i rozwiązań służących na co dzień do zarządzania systemem bezpieczeństwa w firmie. Na rynku dostępny jest cały arsenał środków technicznych, które mogą być użyte do wspomagania realizacji ustanowionych reguł bezpieczeństwa. Analiza pozyskiwanych z nich informacji może też służyć do aktualizacji i modernizacji przyjętych zasad działania. Specjaliści od cyberbezpieczeństwa mają do dyspozycji pełną gamę rozwiązań – SIEM (Security Information and Event Management), UBA (User Behavior Analytics), DLP (Data Loss Prevention), PAM (Privileged Access Management), ATP (Advanced Threat Protection) i wiele innych.
Warto zwrócić uwagę na rozwiązania klasy IT GRC (Governance, Risk Management and Compliance). Pomagają one zautomatyzować proces oceny skuteczności stosowanych w firmie mechanizmów cyberbezpieczeństwa i ich zgodności z wytycznymi polityki bezpieczeństwa. Pozwalają monitorować w skali całego przedsiębiorstwa procesy związane z dostępem użytkowników, konfiguracją systemów, przeprowadzanymi transakcjami, przetwarzanymi danymi. Pomagają w analizie ryzyka, weryfikowaniu stosowanych procedur postępowania, jak też w ocenie wdrażanych rozwiązań pod kątem ich zgodności z normami i standardami bezpieczeństwa.
Sebastiana Burgemejstera, członka zarządu Instytutu Audytorów Wewnętrznych IIA Polska oraz prezesa BW Advisory
1. W jaki sposób pandemia wpłynęła na audyty cyberbezpieczeństwa? Pandemia niczego w tym zakresie nie zmieniła, poza upowszechnieniem zdalnego sposobu przeprowadzania audytów. Natomiast mocno zmienił się kontekst zagrożeń, gdyż obserwujemy inne ryzyka związane z pracą zdalną niż z wykonywaną w biurze. Mamy też do czynienia z coraz większą liczbą ataków celowanych na firmy, przed czym nie ustrzegł się m.in. polski CD Projekt. Kolejnym obszarem zainteresowania ze strony cyberprzestępców są wzmożone w ostatnim czasie zagrożenia związane z łańcuchem dostaw. W głośnym ataku na firmę SolarWinds zostało zainfekowanych kilkanaście tysięcy jej klientów, w tym Pentagon, Departament Stanu i Departament Sprawiedliwości. Atakujący podmienili plik z aktualizacjami oprogramowania Orion, jednego z produktów SolarWinds. Ofiary nieświadomie pobrały plik od zaufanego dostawcy i po jego uruchomieniu ich środowiska zostały zainfekowane. Dostawcy rozwiązań informatycznych powinni mieć na uwadze, że mogą stanowić „punkt przesiadkowy” do ataków na swoich klientów.
2. Co powinien obejmować dzisiaj skuteczny audyt bezpieczeństwa? To zależy od różnych czynników, w tym od wielkości firmy, złożoności wykorzystywanych przez nią systemów, wielkości budżetu. W idealnym modelu audyt powinien być kompleksowy i obejmować wiele elementów – od weryfikacji rozwiązań technicznych, przez sprawdzenie procedur i mechanizmów organizacyjnych, po ocenę zachowań i działań ludzi. Jeśli jednak firma nie ma dostatecznych środków, to można ograniczyć zakres audytu i skupić się na węższych, ale kluczowych z perspektywy zagrożeń obszarach. Najlepiej wybrać te, które generują największe ryzyko dla przedsiębiorstwa. Przykładowo, w zakresie ochrony danych należałoby się skoncentrować na zabezpieczaniu strategicznych informacji firmowych, w tym danych finansowych. Obszarem kluczowego ryzyka jest też zawsze zarządzanie sieciami. Można również robić audyty w cyklach. Wtedy w danym cyklu, trwającym 2, 3 czy 5 lat, obejmujemy audytem całą firmę – im większa, tym powinny być robione częściej. Ich częstotliwość zależy też od identyfikacji i oceny poszczególnych rodzajów ryzyka.
3. Jakie są najlepsze metody prowadzenia audytu cyberbezpieczeństwa? Metody audytu są takie same, bez względu na to czy dotyczy on dużej, czy małej firmy. Trzeba jednak pamiętać, by był robiony przez certyfikowanych specjalistów, ze zweryfikowanymi kwalifikacjami. Zazwyczaj firm nie stać na zatrudnienie dużego zespołu audytowego i wtedy optymalnym rozwiązaniem jest powierzenie zewnętrznemu audytorowi weryfikacji systemu bezpieczeństwa w kluczowych obszarach. Resztę można wykonać własnymi siłami, na przykład angażując firmowych informatyków do sprawdzenia funkcjonowania mechanizmów dostępu czy udzielania uprawnień. Coraz więcej rzeczy można też już weryfikować zdalnie, więc nie potrzeba ponosić kosztów dojazdu i obecności audytora w firmie. Poprzez sieć może mieć on dostęp do całej dokumentacji klienta, do ustawień, konfiguracji, pulpitów i logów w systemach IT. W niektórych sytuacjach przy wykorzystaniu podłączonych do sieci kamer można sprawdzić też zabezpieczenia fizyczne. Hybrydowy model audytu zostanie z nami już na dobre, również po ustaniu pandemii.
Analitycy wyróżniają jeszcze dwa typy systemów GRC – finansowy i prawny. Wraz z IT GRC stanowią one część całej gamy rozwiązań z dziedziny GRC, która obejmuje działania związane z ładem korporacyjnym, zarządzaniem ryzykiem oraz zapewniające zgodność z obowiązującymi przepisami i regulacjami. Wszystkie te narzędzia mogą także działać jako jeden zintegrowany system GRC. Łącząc informacje z różnych źródeł zapewniają spójny obraz sytuacji w całej firmie.
IT GRC może być wykorzystywany przez dział IT lub komórkę ds. cyberbezpieczeństwa. Na rynku dostępne są różne warianty tego oprogramowania – od drogich, rozbudowanych systemów przeznaczonych dla dużych korporacji, po tańsze, prostsze rozwiązania skierowane do mniejszych firm. W gestii każdej z nich leży ocena przydatności i opłacalności zastosowania takiego rozwiązania. Pomocą w podjęciu właściwej decyzji mogą służyć integratorzy, którzy mają rozeznanie w tej dziedzinie. Dla wielu firm może to być rozwiązanie tańsze niż zatrudnianie specjalistów od cyberbezpieczeństwa. Badanie Vecto pokazało, że obecnie mniej niż co druga firma korzysta w tym właśnie zakresie ze wsparcia specjalistów.
Zdaniem specjalisty
Bezpieczne połączenia VPN czy podstawowe zabezpieczenia wykorzystywanego sprzętu to konieczność dla zapewnienia bezpieczeństwa firmy w warunkach pracy zdalnej. Należy jednak pamiętać, że stosowane reguły polityki bezpieczeństwa nie powinny wpływać na komfort pracy. Takie podejście umożliwia budowanie partnerstwa między pracownikami a pracodawcą, co może skutkować pozytywnym nastawieniem do przestrzegania wprowadzonych zasad postępowania. Priorytetowo przez biznes powinny być traktowane regularne szkolenia i edukowanie pracowników w zakresie cyberochrony. Nawet najlepsze zabezpieczenia nie uchronią bowiem przed wyciekiem danych, jeśli pracownicy nie będą przekonani, że to co robią w celu ich ochrony, jest ważne i skuteczne.
Zdaniem integratora
Realizacji postanowień polityki bezpieczeństwa służą coraz częściej systemy klasy ITSM, które umożliwiają kompleksową kontrolę procesu nadawania uprawnień dostępowych. Zagadnienie to stanowi dzisiaj jedno z najsłabszych ogniw firmowego systemu bezpieczeństwa. Dzięki narzędziom ITSM następuje integracja informacji o bazie osobowej, posiadanych systemach informatycznych oraz istniejących zbiorach danych, co ułatwia zarządzanie uprawnieniami dostępowymi. Dane historyczne na ten temat pozwalają na szczegółową analizę procesów akceptacji, co może być przydatne przy aktualizacji reguł polityki bezpieczeństwa.
Artykuł Niekończące się wyzwanie pochodzi z serwisu CRN.
]]>Artykuł Wsparcie dla administratorów w zarządzaniu środowiskiem pochodzi z serwisu CRN.
]]>Tymczasem cyberprzestępcy nie robią sobie wolnego, szczególnie w czasie pandemii. FBI szacuje, że przez ostatni rok liczba podejmowanych prób ataku wzrosła trzykrotnie. W kwietniu 2020 r., gdy niemal na całym świecie zapanował lockdown, Google blokował 18 mln próbek złośliwego kodu i phishingowych e-maili… dziennie. Dlatego tam, gdzie niemożliwe jest ręczne zapanowanie nad problemem, należy skorzystać z pomocy specjalistów.
Łatamy komputery i serwery
Ivanti jest liderem światowego rynku rozwiązań dla przedsiębiorstw służących do aktualizacji i łatania oprogramowania – ma w nim około 60 proc. udziałów. Zapewnia też największe repozytorium łat dla aplikacji firm trzecich, działających na platformach Windows, macOS, Linux, Unix i Solaris.
Efektem zbieranej przez lata wiedzy jest narzędzie Patch for Endpoint Manager. Dba ono o aktualizowanie systemów operacyjnych i aplikacji – w bardzo dużym stopniu automatyzuje proces wgrywania poprawek do posiadanego przez przedsiębiorstwo oprogramowania na urządzeniach końcowych i serwerach. Umożliwia realizację reguł polityki bezpieczeństwa, a jednocześnie skraca do niezbędnego minimum czas łatania środowiska, co odgrywa niebagatelną rolę, ponieważ każdy dzień zwłoki zwiększa ryzyko skutecznego ataku.
Unikalną cechą Patch for Endpoint Manager jest to, że swoim działaniem obejmuje również komputery, które nie są na stałe podłączone do firmowej sieci, w tym laptopy pracowników zdalnych lub tych handlowców, którzy od czasu do czasu korzystają z korporacyjnych zasobów przez internet. Po nawiązaniu przez nich połączenia, na komputerze wymuszane jest dokonanie stosownych aktualizacji lub zmiana ustawień, zgodnie z nowymi regułami polityki bezpieczeństwa.
Około 60 proc. ataków na firmową infrastrukturę IT dotyczy urządzeń końcowych, ale pozostałe 40 proc. zagrożonych systemów znajduje się w serwerowniach oraz centrach danych. Dlatego do oferty Ivanti trafiło narzędzie Patch for Linux, Unix, Mac, które umożliwia szybkie wykrywanie luk w firmowym środowisku IT i automatycznie instaluje profesjonalnie przetestowane poprawki. Udostępnia jedną konsolę z wbudowanym modułem automatyzacji podejmowanych działań, dzięki czemu minimalizowane jest ryzyko błędu ludzkiego. Każda nowa poprawka ma także określony stopień ważności, dzięki czemu administratorzy w trakcie sprawowania nadzoru nad środowiskiem IT mogą zdecydować o momencie jej wdrożenia, aby nie zakłócić pracy użytkowników i infrastruktury krytycznej.
Oba narzędzia Ivanti Patch mogą być zintegrowane z systemami bezpieczeństwa informacji i zarządzania zdarzeniami (SIEM). Ich kolejną ważną zaletą jest ułatwienie zapewnienia zgodności z przepisami i wewnętrznymi regulacjami w przedsiębiorstwach, głównie tymi dotyczącymi bezpieczeństwa środowisk IT (także RODO).Ułatwiają poza tym wymianę informacji, współpracę między działami IT, DevOps oraz osobami odpowiedzialnymi za całościowe bezpieczeństwo w firmie – do dyspozycji wszystkich tych zespołów są informacje ze zintegrowanych raportów podsumowujących aktualny stan ochrony poszczególnych obszarów oraz zawierających ocenę potrzeby wdrożenia kolejnych aktualizacji.
Niezmiennie łatanie systemów operacyjnych i aplikacji jest najskuteczniejszą metodą unikania problemów w domowej i firmowej infrastrukturze IT. Dopiero na dalszych miejscach znalazło się stosowanie narzędzi antywirusowych, a następnie zarządzanie kontami systemowymi. Cały czas trzeba też pamiętać, gdzie znajduje się najsłabsze ogniwo zabezpieczeń – są nim użytkownicy. W tym przypadku podstawowy środek zaradczy to działania edukacyjne, ale nie zawsze są one skuteczne, dlatego nie można zaniechać stosowania odpowiednich narzędzi ochronnych. Ivanti w tym zakresie ma kompleksową ofertę – zapewniamy bezpieczeństwo firmom koncentrując się na wszystkich trzech obszarach: użytkownikach, urządzeniach końcowych i serwerach.
Łatanie i antywirus to nie wszystko
Cyberprzestępczość jest jednym z najbardziej dochodowych procederów, więc profesjonalizm atakujących i ich determinacja wystawiają codziennie na próbę każdego użytkownika sieci. Fałszywe maile, zainfekowane załączniki, zmienione linki powodują, że jeden ludzki błąd może doprowadzić do katastrofy w firmie. Dlatego powstało oprogramowanie Application Control, które zapewnia rozbudowaną kontrolę nad aplikacjami zainstalowanymi na urządzeniach końcowych oraz zdalne zarządzanie uprawnieniami systemu Windows.
Application Control umożliwia odebranie określonym użytkownikom pełnych praw administratora, które stanowią jedną z najczęściej otwartych „furtek” dla cyberprzestępców. Zapobiega również uruchamianiu nieautoryzowanych plików wykonywalnych, w których mogą znajdować się nielicencjonowane lub złośliwe oprogramowanie, ransomware czy inne nieznane aplikacje. Dostępna jest też opcja archiwizacji takich plików w bezpiecznym repozytorium w celu ich późniejszej analizy.
Ciekawą cechą oprogramowania Application Control są nietypowe metody kontrolowania sposobów korzystania przez użytkowników z zasobów IT (funkcja Trusted Ownership). Przykładowo, sprawdzane są uprawnienia w plikach aplikacji, przypisane im w systemie plików NTFS. Jeśli aplikacja została zainstalowana przez danego użytkownika, a więc to on jest jej „właścicielem”, wówczas próba skorzystania z niej przez inną osobę zostanie zablokowana.
Application Control „uczy się” standardowych zachowań użytkownika, a następnie wychwytuje odstępstwa. W przypadku zaobserwowania anomalii ustala, w jakim procesie wystąpiła, blokuje go i informuje dział IT o tym zdarzeniu. Komputer, na którym zaistniał problem, zostaje odizolowany od sieci, co blokuje możliwość rozprzestrzeniania się infekcji. W ten sposób administratorzy zyskują czas na ocenę zagrożenia i podjęcie działań zapobiegawczych.
Urządzenia zewnętrzne pod kontrolą
W czasach pandemii cyberprzestępcy coraz częściej uderzają w najsłabsze ogniwo firmowego środowiska IT – pracowników wykonujących swoje obowiązki zdalnie, często z nieodpowiednio zabezpieczonych lub wręcz prywatnych komputerów i urządzeń mobilnych, podłączonych do zasobów przedsiębiorstwa przez niezaszyfrowane łącze. Nieunikniony jest więc wzrost liczby przypadków, w których taki sprzęt staje się bramą wejściową do infrastruktury firmy, umożliwiając wykradzenie danych lub wprowadzenia np. ransomware’u.
Objęcie szczególnym nadzorem wykorzystywanych przez pracowników urządzeń końcowych ułatwia stworzone przez Ivanti narzędzie Device Control. Sprawdza się ono w sytuacji, gdy do firmowych komputerów podłączane są nieautoryzowane nośniki danych. W przypadku, gdy są one zainfekowane, rośnie ryzyko ataku na zasoby przedsiębiorstwa. Device Control umożliwia kontrolowanie portów USB i zarządzanie nimi. Jedną z najbardziej przydatnych funkcji jest biała lista zapewniająca rozpoznawanie i dopuszczanie do pracy tylko autoryzowanych urządzeń USB, na przykład o określonych numerach seryjnych. Podobne ograniczenia mogą być zastosowane wobec drukarek. Wszystkie próby podłączania sprzętu spoza listy skutkują wysłaniem ostrzeżenia do administratorów. Narzędzie to pozwala też na wymuszanie szyfrowania danych na nośnikach zewnętrznych.
Ivanti Device Control sprawdza się także w środowisku rozwiązań przemysłowych, do których mogą mieć łatwy dostęp przypadkowe osoby lub pracownicy nieautoryzowani do korzystania z określonego sprzętu. Warto zainstalować to narzędzie na serwerach, urządzeniach POS, terminalach, bankomatach czy zwirtualizowanych stacjach roboczych. Dzięki temu minimalizowane jest ryzyko przeprowadzenia zdalnego ataku typu man-in-the-middle.
Autoryzowanymi dystrybutorami oprogramowania Ivanti w Polsce są: Alstor SDS, Prianto i Veracomp.
Jak działa Ivanti Device Control?
Dodatkowe informacje: Bogdan Lontkowski, dyrektor regionalny na Polskę, Czechy, Słowację i kraje bałtyckie, Ivanti, bogdan.lontkowski@ivanti.com
Artykuł Wsparcie dla administratorów w zarządzaniu środowiskiem pochodzi z serwisu CRN.
]]>Artykuł Polityka bezpieczeństwa nie musi być martwym dokumentem pochodzi z serwisu CRN.
]]>Dlatego konieczne jest regularne kontrolowanie, czy przyjęte zasady zostały wprowadzone w życie. Zaleca się przeprowadzenie audytu bezpieczeństwa jeszcze przed zastosowaniem nowych reguł (w celu wykazania słabych punktów infrastruktury) oraz regularne powtarzanie go po wdrożeniu odpowiednich rozwiązań ochronnych, aby wykryć ewentualne błędy popełnione na etapie tworzenia polityki bezpieczeństwa.
Audyt można przeprowadzić na dwa sposoby – zlecić wyspecjalizowanej firmie lub wykorzystać dostępne na rynku narzędzia. Współpraca z usługodawcą wiąże się z dogłębną analizą, chociaż niemałym kosztem. Zakres projektu ustala się szczegółowo pod kątem potrzeb danego klienta, a weryfikacja dotyczy wielu zagadnień, których nie uwzględniają rozwiązania automatyczne, np. socjotechniki czy kwestii fizycznego dostępu do urządzeń.
Zdecydowanie tańszą formą audytu jest skorzystanie z oprogramowania takiego jak Safetica Auditor. Dzięki niemu firma może przeprowadzić stosowną weryfikację automatycznie, we własnym zakresie i wykryć podstawowe błędy konfiguracji infrastruktury oraz poznać wynikające z nich zagrożenia. Chociaż w tym modelu pomijane są bardziej złożone zagadnienia, to dostarczane administratorom przez Safetica Auditor informacje w zupełności wystarczą do sprawdzenia, czy egzekwowane są reguły polityki bezpieczeństwa w większości małych i średnich przedsiębiorstw. Gdy wykryta zostanie jakaś nieprawidłowość, administrator może zdecydować, czy Safetica automatycznie zablokuje niedozwolone działanie, czy zadziała mniej restrykcyjnie, np. wyświetlając tylko stosowne ostrzeżenie.
Krystian Paszek
kierownik Działu Audytów, Dagma
Do zagadnienia ochrony środowiska IT w firmie trzeba podejść kompleksowo. Nie da się stworzyć skutecznej polityki bezpieczeństwa bez wiedzy, z jakimi zagrożeniami należy się zmierzyć – tu właśnie przydatne są audyty. Stworzenie polityki bezpieczeństwa na niewiele się zda, jeśli przedsiębiorstwo nie będzie korzystało z narzędzi, które ją wyegzekwują. Jako dystrybutor specjalizujący się w rozwiązaniach ochronnych staramy się wspierać partnerów i klientów na każdym etapie – począwszy od przeprowadzania kompleksowego audytu, przez dostarczanie gotowych rozwiązań, aż po ich wdrażanie i zapewnianie późniejszego wsparcia.
Kolejne rozwiązanie – Safetica Data Loss Prevention – umożliwia błyskawiczne sprawdzenie, skąd wyciekły firmowe dane i jakie stanowi to zagrożenie dla przedsiębiorstwa. Ułatwia też zapewnienie zgodności z krajowymi i międzynarodowymi przepisami prawa (gwarantuje działanie nie tylko zgodnie z RODO, ale również z PCI DSS, HIPAA i normami ISO/IEC 27001). Funkcja ta świetnie sprawdza się także w kontekście faktu, że Safetica automatycznie wykrywa wrażliwe dane w plikach i wiadomościach e-mail oraz uniemożliwia opuszczenie przez nie firmowej sieci.
Oprogramowanie DLP może być wyposażone w moduł Safetica Mobile, który zapewnia ochronę urządzeń mobilnych. Skradzione telefony i tablety są zdalnie lokalizowane, a także blokowane i czyszczone, co czyni je bezużytecznymi dla złodziei.
Wyłącznym dystrybutorem rozwiązań Safetica w Polsce jest Dagma.
Główne funkcje oprogramowania Safetica DLP
Dodatkowe informacje:
Krystian Paszek, kierownik Działu Audytów, Dagma
paszek.k@dagma.pl
Artykuł Polityka bezpieczeństwa nie musi być martwym dokumentem pochodzi z serwisu CRN.
]]>Artykuł Teraz z myślą o przyszłości pochodzi z serwisu CRN.
]]>Polityka bezpieczeństwa powinna być stale aktualizowana i dopasowywana do aktualnych uwarunkowań oraz szacowanego ryzyka, w czym mogą pomóc przedsiębiorcom integratorzy. Ich zadaniem jest uświadomienie klientom, że istotnym elementem planu ciągłości działania powinny być okresowe testy procedur i należy je przeprowadzać w zasadzie na „żywym organizmie”, by móc zweryfikować, czy rzeczywiście są skuteczne.
Pożytki z posiadania dobrze przygotowanej, stosowanej na co dzień polityki bezpieczeństwa, unaoczniła pandemia koronawirusa. Przedsiębiorstwa, które dysponowały sprawnie funkcjonującym systemem zarządzania cyberbezpieczeństwem, łatwiej poradziły sobie z nowymi wyzwaniami i koniecznością szybkiego dostosowania modelu działania do nowych realiów z zachowaniem niezbędnych warunków bezpieczeństwa.
– Pandemia pokazała, że otoczenie biznesowe może się zmienić w błyskawicznym tempie, stawiając firmy przed koniecznością zmian w sposobie funkcjonowania. Niektórzy widzą w tym opisywany przez Nassima Taleba klasyczny przypadek pojawienia się tzw. czarnego łabędzia. Inni uważają, że powstał nowy paradygmat prowadzenia przedsiębiorstwa, wymagający umiejętności utrzymania konkurencyjności i zapewnienia ciągłości działania w czasach narastającej niepewności – mówi Ireneusz Piecuch, partner zarządzający w kancelarii prawnej IMP.
Zarówno w jednym, jak i drugim przypadku ważne jest, by polityka bezpieczeństwa zawierała zestaw podstawowych, uniwersalnych reguł reagowania i działania również na wypadek nowych, pojawiających się nagle okoliczności i wydarzeń, których nie sposób było przewidzieć wcześniej.
Podczas budowania polityki bezpieczeństwa firmy uwzględniają przede wszystkim doświadczenia z wydarzeń, które już miały miejsce. Dlatego integrator, który pomaga klientowi w tym procesie, powinien przeprowadzić dokładną analizę istniejącego ryzyka, bo stanowi to podstawę polityki bezpieczeństwa. Warto uczulić klienta na fakt, że musi brać pod uwagę również sytuacje, które dopiero mogą nastąpić.
– Trzeba prognozować w miarę możliwości rozwój wydarzeń i oceniać, jakie zagrożenia mogą one spowodować dla przedsiębiorstwa. Oczywiście wszystkiego dokładnie przewidzieć się nie da. Nie oznacza to jednak, że mając właściwie opracowaną politykę bezpieczeństwa, przedsiębiorstwo pozostanie bezradne wobec takich sytuacji, jak pojawienie się „czarnego łabędzia” – podkreśla płk dr Piotr Potejko, doradca zarządu ds. bezpieczeństwa w Deloitte.
Według niego każda polityka bezpieczeństwa powinna uwzględniać sposoby reagowania na sytuacje podobne do tych, które spowodowała pandemia koronawirusa. Tym bardziej, że część firm miała już doświadczenia z poważnymi sytuacjami kryzysowymi, w tym z pożarami czy katastrofami naturalnymi, które wymuszały zamykanie biur. Ich skutki nie miały, w kontekście globalnym, tak dużej skali jak obecnie, ale również wymagały szybkich, skutecznych decyzji gwarantujących ciągłość prowadzenia biznesu.
Awaryjne przenoszenie pracy i związanych z nią procesów do środowisk zdalnych nie stanowi więc dla wielu firm zupełnej nowości. Również wiele innych procedur reagowania, przećwiczonych wcześniej i zapisanych w politykach bezpieczeństwa, pozwoliło przedsiębiorcom skutecznie sprostać wyzwaniom, które pojawiły się wraz z pandemią. Pozostali zaś mocno odczuli wcześniejszy brak wyobraźni.
– Gdy firma nie jest przygotowana na działanie w sytuacji zagrożenia, zarząd może działać jedynie reaktywnie, minimalizując jej skutki i ograniczając ryzyko podejmowanych działań. Ale po to właśnie jest polityka bezpieczeństwa, aby przedsiębiorstwo było przygotowane do przyszłych, jeszcze nie znanych, nie tylko zresztą globalnych, zdarzeń, które mogą je zmusić do zmiany modelu operacyjnego w sferze IT – podkreśla Grzegorz Sadziak, architekt bezpieczeństwa IT w Komputronik Biznes.
Potwierdza to Michał Myśliwiec, administrator systemów informatycznych w Unima 2000. Zwraca uwagę, że działając w stresie bez planu, ludzie mogą popełniać błędy powiększające skalę problemu. Przy czym, rzecz jasna, nie wszystko da się przewidzieć i czasem sytuacja może wszystkich zaskoczyć. Wtedy trzeba reagować na bieżąco, a podejmowane działania warto podzielić na dwa obszary: techniczny oraz organizacyjny. Obszar techniczny to chociażby dostosowanie infrastruktury sieciowej i innych zasobów informatycznych do panujących okoliczności oraz zmiany w sposobie świadczenia usług przez firmę. Równie ważny obszar organizacyjny powinien obejmować przebieg wszystkich procesów zachodzących w firmie oraz metody wzajemnej komunikacji – od telefonów i e-maili, przez komunikatory, do zaawansowanych systemów pracy grupowej. Nie należy zapominać także o stronie formalnej, czyli opisaniu podejmowanych działań oraz udokumentowaniu przeprowadzonej analizy ryzyka.
Ireneusza Piecucha, partnera zarządzającego w kancelarii prawnej IMP
Pandemia zmusza firmy do podejmowania szybkich decyzji i działania w warunkach dużej niepewności. Jakie przepisy dotyczące cyberbezpieczeństwa należy brać pod uwagę w takiej sytuacji?
Wystąpienie skutków siły wyższej nie zawsze pozwala na przyjęcie założenia, że nastąpiło zwolnienie przedsiębiorstwa z realizacji ciążących na nim obowiązków prawnych w zakresie zapewnienia bezpieczeństwa danych czy systemów. Tu należy pamiętać przede wszystkim o przepisach dotyczących ochrony danych osobowych, ale także cyberbezpieczeństwa, w tym Cybersecurity Act oraz ustawie o krajowym systemie cyberbezpieczeństwa. Ważne są też przepisy sektorowe, jak ustawa o świadczeniu usług drogą elektroniczną czy Prawo telekomunikacyjne. Wreszcie, nie należy zapominać o przepisach antykryzysowych, w tym ustawie o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2. Wskazówek do wprowadzania zabezpieczeń można też szukać w wytycznych organów nadzorczych, jak chociażby w komunikacie KNF w zakresie przetwarzania danych w chmurze, stanowisku ENISA, bądź zaleceniach Europejskiego Urzędu Nadzoru Bankowego.
Jednym z najważniejszych wyzwań stało się przestawienie na telepracę. Jak firmy sobie z tym radzą?
Pandemia COVID19-to wydarzenie bez precedensu, ale nie jest ani pierwszym, ani zapewne ostatnim, które skutkuje zagrożeniami związanymi z funkcjonowaniem w otoczeniu cyfrowym. Teoretycznie przedsiębiorstwa powinny być przygotowane do radzenie sobie z nimi. W praktyce jednak wiele firm postawionych wobec przestawienia działalności na telepracę ze zdumieniem zaczęło dostrzegać wiele zagrożeń do niedawna jeszcze, zapewne głównie ze względu na skalę zjawiska, niezauważanych. Przykładowo: jak zapewnić bezpieczeństwo informacji w sytuacji korzystania przez pracownika z własnego terminala? Kto jest odpowiedzialny za zabezpieczenie domowego routera? Czy licencje, które ma przedsiębiorstwo (np. na program antywirusowy), mogą być wykorzystywane na komputerach należących do pracownika?
Gdzie w takim razie firmy mogą szukać pomocy i na czym bazować, żeby zminimalizować skutki wystąpienia nagłych, nieprzewidzianych sytuacji?
Z naszych doświadczeń wynika, że najlepsze wskazówki odnaleźć można w normie ISO/IEC 27000:2017. Nie trzeba jej nawet wdrażać w całości. Wystarczy czytać ze zrozumieniem i wyciągać wnioski. Wniosek pierwszy: nie ma mowy o systemie zarządzania bezpieczeństwem informacji bez zaangażowania i przywództwa ze strony kierownictwa firmy. Wniosek drugi: polityki ochrony informacji nie tworzą szefowie bezpieczeństwa czy też szefowie IT. To zadanie spoczywające na barkach kierownictwa firmy. To zarząd definiuje cele przedsiębiorstwa i jest w stanie zapewnić odpowiednie środki i zasoby na wdrożenie koniecznych rozwiązań. Wniosek trzeci: kluczową rolę w wypracowaniu odpowiednich rozwiązań powinien odgrywać proces szacowania ryzyka. Od jego wyników w głównej mierze zależy podjęcie konkretnych decyzji o tym, jakie informacje i w jaki sposób powinny być chronione oraz jaki jest poziom akceptacji dla ryzyka rezydualnego.
Mimo trudności z tym związanych, warto mieć na uwadze, że warunki wymuszone przez koronawirusa dały firmom sposobność do przetestowania przyjętych rozwiązań i weryfikacji wypracowanych założeń polityki bezpieczeństwa.
– Na poznanie skuteczności wielu rozwiązań nie trzeba będzie długo czekać, obecnie na bieżąco można sprawdzać zasadność podejmowanych decyzji i skuteczność wdrażanych narzędzi. Warto by firmy wykorzystały ten poligon doświadczalny do budowania jeszcze skuteczniejszej polityki bezpieczeństwa na przyszłość – mówi Piotr Potejko.
Nabyte w ten sposób doświadczenia mogą okazać się niezwykle cenne i użyteczne nie tylko podczas powrotu do funkcjonowania firmy po ustąpieniu pandemii, ale też w szerszej perspektywie zachodzących właśnie procesów transformacji cyfrowej. Oczywiście same dokumenty i procedury nie wystarczą. Zachowanie ciągłości działania wiąże się z posiadaniem redundantnej infrastruktury informatycznej, odpowiednimi systemami kopii zapasowej itp. Według specjalistów czasami warto poszukać nowych narzędzi informatycznych, chociażby migrując do rozwiązań chmurowych, które w mniejszym stopniu są zależne od dostępności lokalnej infrastruktury. I nie chodzi przy tym o wdrażanie rozwiązań na zapas. Inwestowanie w nowe zabezpieczenia czy technologie „na wszelki wypadek” nie ma uzasadnienia biznesowego. Niezbędnym staje się natomiast posiadanie gotowych i przetestowanych procedur zmian modelu operacyjnego IT, ścieżek szybkich zakupów niezbędnego sprzętu i oprogramowania oraz zapewnienia użytkownikom dostępu do wsparcia IT w czasie kryzysu. To jest także zadanie do odrobienia dla integratorów. Na podstawie planów awaryjnych opracowanych z zespołami IT u klientów, powinni przygotować się na szybką i sprawną reakcję w sytuacji kryzysowej. Tego oczekują użytkownicy już teraz i będą oczekiwać w jeszcze większym stopniu w przyszłości.
Grzegorz Sadziak, architekt bezpieczeństwa IT, Komputronik Biznes
Utrzymanie ciągłości działania w czasach pandemii jest dużym wyzwaniem dla działów IT, zazwyczaj przygotowanych na bardziej lokalne problemy. Przeniesienie stanowisk pracy poza siedzibę firmy odsuwa użytkowników od firmowych systemów bezpieczeństwa, serwisu sprzętu i wsparcia IT. Wymaga to szybkich inwestycji w oprogramowanie i sprzęt oraz opracowania prawidłowych procedur w nieprzygotowanych do takiej sytuacji działach IT. Dla integratora najważniejszym zadaniem jest znalezienie rozwiązań bezpiecznych, wydajnych, łatwych i szybkich we wdrożeniu oraz nie rujnujących budżetu klienta. W sytuacji, kiedy zespoły IT muszą reagować niemal z godziny na godzinę, łatwość i szybkość wdrożenia oraz późniejsza stabilność rozwiązania ma kluczowe znaczenie. W przyszłości w wielu firmach niezbędne będzie opracowanie i przetestowanie procedur szybkich zmian modelu operacyjnego IT na czas kryzysu.
Michał Myśliwiec, administrator systemów informatycznych, Unima 2000
Elementem polityki bezpieczeństwa powinien być dobrze opracowany plan ciągłości biznesowej (BCP – Business Continuity Plan), który zakłada proaktywną postawę. Takie właśnie prewencyjne działania staramy się od lat wprowadzać w firmie. Jednym z obszarów jest gotowość do pracy zdalnej, rozumiana nie tylko jako zabezpieczenie infrastruktury technicznej, ale również jako gotowy zbiór procesów z tym związanych. Ten model był już wielokrotnie, choć na nieco mniejsza skalę, wykorzystywany przez nas w codziennej pracy. Dzięki temu wiemy, że kluczowa jest ścisła współpraca tych osób, które mają wpływ na infrastrukturę i procesy zachodzące w przedsiębiorstwie: działu IT, inspektora ochrony danych, kierownictwa i zarządu. Tworząc politykę bezpieczeństwa wychodzimy od procesów i wdrażania odpowiednich rozwiązań technicznych. Równolegle opracowywane są procedury, instrukcje oraz wykonywana jest analiza ryzyka. Te wszystkie elementy dają nam całościowe ujęcie tematu. Na uwadze należy mieć nie tylko skuteczność realizacji procesu, ale również niezawodność i bezpieczeństwo.
Zdaniem specjalisty
Jolanta Anders, Software and Cloud Business Unit Manager, Tech Data
Jednym z największych wyzwań dla firm jest rzetelna ocena poziomu bezpieczeństwa ich systemów IT. Jej przeprowadzenie niestety nie jest proste, a większość raportów tworzonych przez rozwiązania ochronne jest pełna żargonu i trudnych do zrozumienia informacji. Nie nadają się przez to do okazania członkom zarządu, jako umotywowanie potrzeby wdrożenia nowych systemów zabezpieczających. Dlatego rekomendujemy skorzystanie z rozwiązań podsumowujących stan bezpieczeństwa IT w fi rmie w uproszczony sposób, niejako na zasadzie grywalizacji, które przyznają punkty za spełnienie wymogów z listy zawierającej przykłady najlepszych praktyk z zakresu cyberochrony.
Płk. dr Piotr Potejko, doradca zarządu ds. bezpieczeństwa, Deloitte
Doświadczenia wyniesione z działań w warunkach spowodowanych pandemią koronawirusa SARS-CoV-2 pokazały, jak ważne jest budowanie odporności fi rmy, z polityką bezpieczeństwa jako fundamentem. Przedsiębiorstwa, które miały ją zdefi niowaną i stosowały się do niej w praktyce, lepiej poradziły sobie z wyzwaniami dotyczącymi konieczności szybkiego podejmowania decyzji pod presją zagrożeń. Łatwiej było im chociażby przygotować zasoby i wdrożyć procedury związane z przejściem na pracę zdalną. Trzeba jednak już teraz myśleć o budowaniu scenariuszy na przyszłość. Pomocne będzie przygotowanie się na powrót do normalności. Chociażby w kontekście zmiany formy pracy. Wiąże się ona nie tylko z powrotem pracowników do biur, ale też z nowymi wyzwaniami w zakresie organizacji funkcjonowania fi rmy i wynikającymi stąd zadaniami, także w zakresie cyberbezpieczeństwa. Tym bardziej, że według prognoz tylko część pracowników wróci do fi rm, a reszta już na stałe będzie pracować zdalnie. Zapewnienie ciągłości działania wymaga obecnie reagowania na bieżąco, a więc podejmowania decyzji pod wpływem sytuacji, jaka się tworzy z dnia na dzień. Trzeba też jednak pamiętać, by stale weryfi kować założenia polityki bezpieczeństwa i zmieniać je z myślą o tym, co będzie dalej. Ważne jest też wykorzystywanie nowych doświadczeń, nabytych w trakcie pandemii.
Artykuł Teraz z myślą o przyszłości pochodzi z serwisu CRN.
]]>Artykuł Kontrola dostępu: podwójna fortyfikacja pochodzi z serwisu CRN.
]]>Wraz z postępem technologicznym i nowym stylem pracy zmieniają się wymagania dotyczące kontroli dostępu. Sieci w przedsiębiorstwach i instytucjach to skomplikowane środowiska, składające się z lokalnej infrastruktury i aplikacji działających w chmurze. Wielu użytkowników wykorzystuje własne urządzenia, aby uzyskać dostęp do firmowych zasobów. Zdaniem ekspertów z Cisco prowadzi to do sytuacji, w której wielu z nich łączy się z siecią firmową bez odpowiedniego nadzoru działów IT. Zresztą nie dotyczy to tylko pracowników, bowiem dostępu do sieci mogą potrzebować zewnętrzni dostawcy i partnerzy, co wymaga zastosowania dodatkowych mechanizmów kontrolnych. Jednakże nie wszystkie przedsiębiorstwa stosują dla tej grupy użytkowników restrykcyjną politykę, jeśli chodzi o dostęp i procedury bezpieczeństwa.
Mateusz Kawalec, Security Engineer w Infradata, uważa, że firmy rozwijające swoje systemy IT prędzej czy później zmierzą się ze skomplikowanym procesem zarządzania krytycznymi elementami swojej infrastruktury. Nie wszystkie sobie z tym radzą i niektóre z nich decydują się na wynajęcie firmy zewnętrznej do zarządzania częścią lub większością swojego środowiska IT. Poważnym problemem jest brak nadzoru w czasie rzeczywistym i możliwości rejestrowania czynności wykonywanych przez administratorów w systemach krytycznych. Jednym z efektów tego typu zaniechań może być kradzież lub usuwanie danych z serwerów aplikacyjnych, co prowadzi do strat finansowych i utraty reputacji przedsiębiorstwa. Poza tym pozbawione kontroli działania są później trudne do udowodnienia.
– Firmy często próbują zarządzać dostępem do architektury IT, mimo że nie mają wdrożonej polityki bezpieczeństwa. To poważny błąd. Odpowiednia strategia powinna zawierać m.in. obostrzenia dotyczące rotacji kluczy SSH i złożoności haseł, a także zasady stosowania dwuskładnikowego uwierzytelniania itp. – mówi Mateusz Kawalec.
Jednym z kluczowych rozwiązań w obszarze dostępu, uwierzytelniania użytkowników i ich autoryzacji są systemy PAM. Jak tłumaczy Michał Kozownicki, Deputy Director for BeyondTrust Products & Services w EMS Partner, powstały one, by odebrać użytkownikom korzystającym z bardzo dużych uprawnień (głównie administratorom systemów) część ich władzy. PAM oddziela tych użytkowników od haseł i kluczy do kont uprzywilejowanych. Ponadto proces logowania administratora jest rejestrowany, a wszelka aktywność podejmowana w ramach zdalnych sesji – nagrywana. To właśnie ze względu na tę ostatnią funkcję, której zastosowanie wymuszają przepisy, rodzimi przedsiębiorcy wdrażają PAM. Zdecydowanie mniejszy priorytet nadaje się zapewnianej przez te systemy kontroli dostępu i zarządzaniu poświadczeniami.
– Dlatego zawsze staramy się uświadamiać klientów, że wszystkie trzy filary, na których opiera się PAM, są nierozłączne i samo rejestrowanie sesji jest rozwiązaniem połowicznym – mówi przedstawiciel dystrybutora.
Kontrola wiąże się z koniecznością składania wniosków dostępowych i rejestracją dostępu do krytycznych zasobów. Odgrywa ona kluczową rolę, zapewniając rozliczalność „kto, gdzie i kiedy” oraz uszczelnienie infrastruktury. Z kolei automatyczne zarządzanie poświadczeniami odbiera administratorom pełną władzę nad środowiskiem IT i zdejmuje odpowiedzialność za przechowywanie haseł i kluczy. Takie całościowe podejście jest niezwykle istotne w poprawnej implementacji PAM.
Zdaniem Mateusza Kawalca integrator wychodzący naprzeciw wymaganiom przedsiębiorstwa może zaproponować najpierw wykonanie audytu, a następnie wdrożyć PAM. System taki ma możliwości nadzoru i nagrywania sesji administracyjnych, rotacji haseł, kluczy SSH i przechowywania haseł w postaci zaszyfrowanej w bezpiecznym miejscu (tzw. password vault), czego istotną korzyścią jest wspomniany brak konieczności udostępniania administratorom haseł do systemów IT.
– Z technicznego punktu widzenia PAM może być roz-wiązaniem pracującym w trybie proxy.Wówczas jest umieszczany wewnątrz architektury sieciowej za firewallem lub bramą VPN. W takiej opcji wszystkie połączenia sieciowe do zarządzania systemami są przekierowywane na jeden adres IP – wyjaśnia specjalista Infradata.
W efekcie zmniejsza się liczba adresów IP udostępnianych bezpośrednio za firewallem i jednocześnie jest dodawany kolejny bezpieczny punkt logowania i nadzoru sesji administracyjnych. Po wdrożeniu takiego systemu użytkownik uprzywilejowany wykorzystuje tylko jeden adres IP, aby się zalogować do zdefiniowanych wcześniej systemów zgodnie ze swoimi uprawnieniami.
Michał Kozownicki
Deputy Director for BeyondTrust Products & Services, EMS Partner
Choć zarządzanie dostępem i autoryzacją oraz uwierzytelnianie nie powinny być ograniczone do użytkowników z prawami administratora IT, to największą potrzebę wprowadzenia kontroli zauważamy u klientów z tej właśnie grupy. W szczególności dotyczy to użytkowników zewnętrznych, przede wszystkim kontraktorów wykonujących prace związane z zasobami krytycznymi. Administratorzy pracujący wewnątrz firmy są obejmowani projektem niejako przy okazji. Choć systemy PAM zostały opracowane z myślą o użytkownikach uprzywilejowanych, to warto je stosować także w odniesieniu do „zwykłych” użytkowników.
Michał Kozownicki zwraca uwagę, że PAM nie jest w stanie załatwić wszystkiego. O ile takie systemy w pełni zapewniają zarządzanie dostępem i uwierzytelnianie, o tyle autoryzacja odbywa się na innym poziomie. Oczywiście można ustalić uprawnienia użytkowników w systemach operacyjnych przy użyciu zasad grupy (GPO), ale bardziej szczegółowe określenie tych praw wymaga specjalnych narzędzi. Są nimi systemy EPM (Endpoint Privilege Management), zapewniające precyzyjne ustalenie, jakie aplikacje i procesy mogą być uruchamiane przez poszczególnych użytkowników. Dotyczy to wszystkich kont, również tych z dostępami administracyjnymi.
– Przykładowo, w przypadku kontraktora można określić, z jakich aplikacji może on korzystać w ramach sesji RDP. Jeżeli nie ma potrzeby, żeby uruchamiał edytor rejestru w ramach swojej sesji, to ten program znajdzie się na czarnej liście – mówi przedstawiciel EMS Partner.
W ten sposób można stworzyć w firmie szczelną politykę bezpieczeństwa dotyczącą wykorzystania aplikacji – z uwzględnieniem ich wersji lub nawet hasha pliku wykonywalnego. W najprostszym modelu można zbudować politykę dla „zwykłych” użytkowników, w której ramach wszystkie aplikacje z folderów systemowych (Windows, Program Files) są uruchamiane bez uprawnień administratora. Z reguły będą też aplikacje wymagające w szczególnych okolicznościach uprawnień administracyjnych. Wszystkie inne, nieuwzględnione w ustawieniach, zostają zablokowane. W efekcie pracownicy nie mogą np. pobierać aplikacji z internetu i uruchamiać ich na biurowym komputerze.
Dlatego, jak twierdzi Michał Kozownicki, integracja dwóch obszarów – PAM i EPM – jest niezwykle istotna w tworzeniu strategii zarządzania dostępem, autoryzacji i uwierzytelniania. Oba systemy wdrożone razem zapewniają nie tylko rejestrowanie, kto uzyskuje dostęp i do jakich zasobów, lecz także precyzyjne określenie, jakie działania w ramach tego dostępu może podejmować. Dochodzi więc do uszczelnienia infrastruktury IT, polegającego na ograniczeniu dostępu osób niepowołanych do krytycznych zasobów i zablokowaniu możliwości uruchamiania niepożądanych aplikacji. W efekcie z jednej strony zostaje zaspokojona potrzeba rozliczalności „kto, gdzie i kiedy”, a z drugiej – przez dopasowanie uprawnień konta – maksymalnie redukuje się ryzyko związane z jego kompromitacją, nie ograniczając przy tym produktywności użytkownika.
Mateusz Pastewski
Cybersecurity Sales Manager, Cisco
Eksperci powtarzają, że najsłabszym ogniwem systemu bezpieczeństwa jest człowiek. Tymczasem firmy nie zawsze kładą odpowiedni nacisk na szkolenia, np. w postaci symulacji cyberataku. Dlatego zadaniem integratora jest zapewnienie odpowiednich narzędzi i dostępu do wiedzy eksperckiej. Dostarczone rozwiązanie może wprowadzić uwierzytelnianie wieloskładnikowe, a także umożliwiać przeprowadzanie kampanii phishingowej. Dzięki niej łatwiej będzie ustalić, którzy użytkownicy są podatni na manipulacje, a następnie podjąć odpowiednie działania edukacyjne.
Jak wynika z raportu na temat incydentów bezpieczeństwa „Verizon Data Breach Investigation Report”, aż 81 proc. przypadków włamania na konta użytkowników wiązało się z faktem, że hasła były zbyt słabe lub zostały wykradzione. Dzięki uzyskanemu w ten sposób dostępowi do sieci firmowej cyberprzestępcy mogą próbować uzyskać większe uprawnienia i przeniknąć do innych systemów, serwerów lub aplikacji firmowych. Co więcej, napastnicy próbują instalować programowanie typu malware w systemach wewnętrznych, aby uzyskać stały i nieodkryty przez nikogo dostęp do sieci.
Nałożona niedawno na jednego z dużych graczy e-commerce w Polsce kara związana z wyciekiem danych klientów w 2018 r. to bez wątpienia precedens, który na nowo każe przyjrzeć się zabezpieczeniom stosowanym w sieci. Urząd Ochrony Danych Osobowych stwierdził, że naruszenie było „znacznej wagi i miało poważny charakter” oraz dotyczyło dużej liczby osób, a „podmiot nie zastosował podwójnego uwierzytelniania dostępu do danych”.
Wspomniane przez UODO uwierzytelnianie dwuskładnikowe (czy ogólnie wieloskładnikowe – MFA) to skuteczne narzędzie zabezpieczające przed kradzieżą tożsamości użytkownika. W razie jego zastosowania napastnik potrzebowałby nie tylko uzyskać dane logowania użytkownika, lecz także fizyczny dostęp do jego urządzenia, żeby przeprowadzić atak.
– Już samo wprowadzenie dwóch elementów uwierzytelniania znacznie podnosi poziom bezpieczeństwa. Przedsiębiorstwa mają do wyboru wiele technik uwierzytelniania, które różnią się stopniem zaawansowania i trudnością wdrożenia: hasła, tokeny lub aplikacje z kodami, uwierzytelnianie biometryczne, np. odcisk palca, układ żył w dłoni, skan siatkówki oka lub kształtu twarzy – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco Poland.
Zarówno integratorzy, jak i sami klienci powinni mieć świadomość potencjalnie dużego ryzyka związanego ze słabościami wynikającymi z zastosowania niewystarczających mechanizmów uwierzytelniania użytkowników sieci. Cyberprzestępcy potrafią bowiem skutecznie wykradać dane logowania, stosując wiele różnych technik, w tym m.in. phishing. Z jednej strony metodą obrony, aczkolwiek wymagającą czasu, jest dokładna wiedza na temat zagrożeń i ich ewolucji, a także taktyk wyłudzania danych stosowanych przez cyberprzestępców. Wiedza ta będzie mieć bezpośrednie przełożenie na zastosowaną politykę bezpieczeństwa. Z drugiej – z pomocą przychodzą zabezpieczenia bazujące na zaawansowanych rozwiązaniach, coraz częściej działające także w chmurze.
Zdaniem integratora
Mateusz Kawalec, Security Engineer, Infradata
W obszarze uprzywilejowanego dostępu obserwujemy znaczący wzrost świadomości administratorów systemów w przedsiębiorstwach udostępniających własną infrastrukturę firmom zewnętrznym. W dużej mierze jest to związane z potrzebą dostosowania się do europejskich norm ochrony danych osobowych i zabezpieczenia przed włamaniem. Wraz ze wzrostem świadomości zwiększa się zapotrzebowanie na audyty i wdrożenia systemów kontroli dostępu do firmowych systemów IT. Coraz częściej przedsiębiorstwa, chcąc zarządzać dostępem uprzywilejowanym, zwracają szczególną uwagę na możliwość integracji narzędzi SAM z rozwiązaniami firm trzecich, które zostały wdrożone na wcześniejszym etapie rozbudowy zabezpieczeń infrastruktury IT.
Artykuł Kontrola dostępu: podwójna fortyfikacja pochodzi z serwisu CRN.
]]>Artykuł Bezpieczeństwo zaczyna się od polityki pochodzi z serwisu CRN.
]]>– Polityka bezpieczeństwa stanowi plan działania, taką mapę drogową, a zabezpieczenia techniczne służą realizacji tego planu – mówi Artur Piechocki, radca prawny, założyciel kancelarii APLaw.
Polityka bezpieczeństwa z założenia zawiera przyjęty w przedsiębiorstwie lub instytucji zbiór zasad postępowania zapewniających bezpieczeństwo. Określa podstawowe i strategiczne uwarunkowania, na których powinna bazować ochrona danych. Jej celem jest zdefiniowanie ram korzystania z rozwiązań, które będą chronić przed zagrożeniami i minimalizować skutki ataków. Wynika z nich, jak mają postępować pracownicy: jakie stosować zabezpieczenia, jak korzystać z zasobów, jakie realizować procedury reagowania na incydenty. Powinna także zawierać instrukcje działania w sytuacjach kryzysowych. Na czym jednak powinno się bazować, tworząc politykę bezpieczeństwa?
– Mamy trzy podstawowe źródła wymagań odnośnie do bezpieczeństwa w firmie czy instytucji: regulacje prawne, ocena ryzyka oraz wymagania biznesowe dotyczące ochrony interesów dostawcy, klienta lub osób, których dane dotyczą. Trzeba je jednak zawsze dostosować do sytuacji i warunków funkcjonowania konkretnego przedsiębiorstwa – wyjaśnia Kamil Pszczółkowski, manager Cyber Security Team w firmie doradczej PwC.
Najlepiej widać to w odniesieniu do wymogów prawnych. Inne przepisy regulują działalność w zakresie finansów, inne w energetyce, jeszcze inne w sektorze publicznym.
– Polityka bezpieczeństwa powinna przede wszystkim zaspokajać potrzeby konkretnej firmy, czyli uwzględniać charakter prowadzonej działalności – potwierdza Katarzyna Gorzkowska, prawnik w kancelarii APLaw.
Oznacza to, że regulacje wewnętrzne powinny się zmieniać w zależności od wielkości i charakteru działalności przedsiębiorstwa oraz instytucji. Jednym z istotnych czynników wpływających na ostateczny kształt polityki bezpieczeństwa są realia biznesowe każdego przedsiębiorstwa. One również muszą być uwzględnione w tworzeniu ram zarządzania bezpieczeństwem.
– Polityka bezpieczeństwa musi być elementem kierowania całą firmą. Ma stwarzać warunki do sprawnego prowadzenia biznesu, a nie je utrudniać – podkreśla Kamil Pszczółkowski.
Radzi, by zwracać na to szczególną uwagę, gdyż często wprowadzane w firmach zasady bezpieczeństwa mają tendencje do „zabijania” biznesu.
Fundamentem zapewniania bezpieczeństwa jest ocena ryzyka. Ma istotne znaczenie również dla weryfikacji obowiązujących zasad polityki bezpieczeństwa. Powinna być przeprowadzana tak, aby umożliwiać wykrywanie zagrożeń na bieżąco. Z praktyki wynika, że audyt należy przeprowadzać przynajmniej raz na rok. Jeżeli jednak są wprowadzane istotne zmiany w przedsiębiorstwie, np. technologiczne, organizacyjne lub biznesowe, częstotliwość oceny ryzyka trzeba dostosować do potrzeb wynikających z aktualnej sytuacji.
Na kształt polityki bezpieczeństwa wpływają również wnioski z audytu. Należy go przeprowadzać z uwzględnieniem wymagań dotyczących bezpieczeństwa obowiązujących w danej firmie.
– Potrzebna jest lista warunków, na podstawie której będzie prowadzony audyt. W odniesieniu do nich będzie oceniany poziom dojrzałości organizacji w zakresie bezpieczeństwa – tłumaczy Kamil Pszczółkowski.
Zwraca również uwagę, by zawsze uwzględniać kontekst wymagań. Na przykład RODO ma na celu ochronę danych osób fizycznych i nie jest nastawione na ochronę interesów firmy, która przetwarza dane osobowe. Mechanizmy zabezpieczeń w obu przypadkach mogą być takie same, ale cel jest inny.
Audyt zwiększa świadomość zagrożeń i konsekwencji podejmowanych decyzji. Pozwala na bardziej przemyślane zarządzanie ryzykiem. Wpływa również na skuteczniejsze, dostosowane do istniejących uwarunkowań zarządzanie środowiskiem informatycznym oraz funkcjonującymi w jego ramach rozwiązaniami. Zawsze jednak należy zacząć od inwentaryzacji.
– Trzeba wiedzieć, czym się dysponuje i przed czym chce się chronić, żeby móc wybrać optymalne rozwiązania dla danego przedsiębiorstwa lub instytucji – podkreśla Kamil Pszczółkowski.
Audyt, podobnie jak ocenę ryzyka, należy przeprowadzać okresowo, zazwyczaj nie rzadziej niż raz w roku. Jego wyniki powinny wpływać na kształt polityki bezpieczeństwa, a to oznacza m.in. konieczność aktualizowania stosowanych procedur i rozwiązań.
Trzeba jednak pamiętać, że audyt nie jest jedynym powodem aktualizowania polityki bezpieczeństwa. Należy brać pod uwagę wszelkie informacje otrzymywane z różnych źródeł, także od pracowników i partnerów biznesowych. Mogą bowiem wskazywać, na przykład, na luki w procedurach lub zabezpieczeniach systemów informatycznych.
Aktem prawnym, który obecnie ma niewątpliwie istotny wpływ na treść polityki bezpieczeństwa każdej firmy, jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ale nie można pominąć innych znaczących regulacji. Podczas tworzenia polityki bezpieczeństwa należy uwzględnić również: ustawę o krajowym systemie bezpieczeństwa, dyrektywę płatniczą PSD2 oraz znajdujące się na etapie legislacji ustawę o odpowiedzialności podmiotów zbiorowych i unijne rozporządzenie e-Privacy.
– Wymienione akty nie wskazują wprost, jakiego rodzaju środki należy stosować dla osiągnięcia celu. RODO zobowiązuje administratora do zapewnienia bezpieczeństwa przetwarzania danych osobowych na poziomie odpowiadającym ryzyku, na które są narażone. Przyjęte środki mają zagwarantować poufność, integralność, dostępność i odporność systemów, także usług przetwarzania oraz szybkie przywrócenie dostępności danych osobowych w razie zaistnienia incydentu – tłumaczy Artur Piechocki.
Z kolei dyrektywa PSD2 (Payment Services Directive 2), opracowana głównie z myślą o sektorze finansów i bankowości, zobowiązuje do stworzenia szeregu procedur, m.in. dotyczących monitorowania incydentów, postępowania w przypadku ich wystąpienia oraz zgłaszania ataków.
W Polsce trwają prace nad ustawą o odpowiedzialności podmiotów zbiorowych, która określi zasady ponoszenia odpowiedzialności w przypadku, gdy czynu zabronionego dopuszczą się organy podmiotu zbiorowego albo pojedynczy pracownicy lub osoby upoważnione do działania w imieniu firmy lub instytucji.
– Do naruszeń prawa skutkującego odpowiedzialnością podmiotu zbiorowego można zakwalifikować nielegalne przetwarzanie danych osobowych. Wynika to z art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych – mówi Katarzyna Gorzkowska.
Każda nowa regulacja powinna znaleźć odzwierciedlenie w polityce bezpieczeństwa. Jej przygotowanie i wdrożenie w pierwszej kolejności powinno mieć na celu zapewnienie przestrzegania prawa. Natomiast cel pośredni stanowi uniknięcie sankcji, np. kar administracyjnych nakładanych przez prezesa Urzędu Ochrony Danych Osobowych za złamanie przepisów.
Trzy pytania do…
dr inż. Agnieszki Gryszczyńskiej, z Katedry Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego
Co konkretnie powinna zawierać polityka bezpieczeństwa w firmie?
Powinna określać ogólne wymagania, zasady, procedury oraz instrukcje dotyczące ochrony informacji, czyli obejmować takie elementy jak: polityka informacyjna, zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych (w tym informacji niejawnych), polityka bezpieczeństwa systemów teleinformatycznych, zasady zapobiegania przestępstwom (m.in. cyberprzestępstwom), procedury postępowania w przypadku stwierdzenia incydentu lub wykrycia działania stanowiącego czyn zabroniony. Spójne z polityką bezpieczeństwa powinny być inne dokumenty, np. rejestr incydentów.
Jakie akty prawne – oprócz mocno ostatnio nagłośnionego RODO – należy uwzględnić w tworzeniu polityki bezpieczeństwa?
Z uwagi na to, że polityka bezpieczeństwa odnosi się do wszystkich możliwych rodzajów naruszenia bezpieczeństwa, a także scenariuszy postępowania w takich sytuacjach, powinna uwzględniać przepisy dotyczące działań związanych z incydentami. Trzeba pamiętać nie tylko o ochronie danych osobowych oraz postępowaniu w przypadku jej naruszenia ale też uwzględnić inne regulacje nakładające obowiązek zgłaszania incydentów i odpowiedniej reakcji w razie ich wystąpienia. Podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych powinny uwzględnić przepisy ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Art. 10 ustawy nakłada na operatorów obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Szczegółowe obowiązki firm świadczących usługi cyfrowe w zakresie bezpieczeństwa sieci i systemów informacyjnych określa rozporządzenie wykonawcze Komisji Europejskiej 2018/151. Wymogi dotyczące bezpieczeństwa i zgłaszania incydentów przez przedsiębiorców telekomunikacyjnych określa ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
Czy jakieś szczególne regulacje obowiązują w sektorze publicznym?
Podmioty publiczne dodatkowo powinny uwzględnić ustawę z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań wobec systemów teleinformatycznych.
Czy integratorzy mogą myśleć o zarobieniu pieniędzy w dziedzinie tworzenia i realizacji polityki bezpieczeństwa? Wiele wskazuje, że tak. Według tegorocznego raportu KPMG – „Barometr cyberbezpieczeństwa. W obronie przed atakami”, 70 proc. przedsiębiorstw w Polsce korzysta z outsourcingu w zakresie cyberochrony. Wśród trzech zadań najczęściej przekazywanych firmom zewnętrznym znajduje się tworzenie i realizacja programów podnoszenia wiedzy pracowników o bezpieczeństwie. Jednocześnie niewiele ponad połowa podmiotów biorących udział w badaniu (57 proc.) opracowała procedury reagowania bądź plany zarządzania kryzysowego na wypadek wystąpienia cyberataku. Natomiast 16 proc. firm nie jest w żaden sposób przygotowanych na cyberatak.
Liczby te pokazują skalę wyzwań, z jakimi przyjdzie się w najbliższym czasie zmierzyć polskim przedsiębiorstwom. Jednocześnie uzmysławiają, jak duży obszar jest jeszcze do zagospodarowania przez integratorów chcących się specjalizować w cyberbezpieczeństwie. Pole do działania otwiera się również w obszarze wspomagania firm w tworzeniu polityki bezpieczeństwa.
Polskie firmy nie są obecnie zainteresowane inwestowaniem w klasyfikację i kontrolę aktywów. Będą jednak musiały o tym pomyśleć, jeśli zechcą zbudować stabilny, skuteczny system ochrony. Rolą przedsiębiorców z branży IT może być uświadomienie im tego i pomoc w inwentaryzacji wykorzystywanego sprzętu i oprogramowania.
– Trzeba ustalić, które z posiadanych zasobów są istotne i co należy w pierwszej kolejności chronić. Dopiero wtedy można budować politykę bezpieczeństwa – zwraca uwagę Michał Kurek, partner i szef zespołu ds. cyberbezpieczeństwa w KPMG.
Rafał Rosłaniec, dyrektor wsparcia technicznego, ePrinus
Podczas wdrażania jakiegokolwiek rozwiązania polityka bezpieczeństwa jest nam, integratorom, niezbędna, szczególnie, gdy działamy w dużym przedsiębiorstwie. Reguluje zasady działalności całej firmy, postępowania pracowników oraz tzw. pracowników zewnętrznych, czyli kontraktorów. Musimy te wymagania uwzględniać podczas wdrożenia, a to stanowi zwykle spore wyzwanie. Z drugiej jednak strony eliminują „swobodną twórczość” firmy IT podczas realizacji projektu. Integratorzy uczą się na równi z klientem: procedur, współpracy, implementacji. Razem wypracowujemy najlepsze rozwiązanie dla klienta.
Przedsiębiorcy w naszym kraju zazwyczaj nie podchodzą do zapewniania bezpieczeństwa systemowo. Ich działania nakierowane są głównie na wdrażanie narzędzi i wprowadzanie rozwiązań zabezpieczających oraz służących zapewnieniu ciągłości działania firmy. Brakuje zainteresowania podnoszeniem poziomu dojrzałości procesowej w zakresie bezpieczeństwa, tworzenia odpowiednich procedur i reguł postępowania. To też jest szansa dla integratorów.
– Wsparcie techniczne jest ważne, jednak nawet najbardziej zaawansowane narzędzia i systemy mogą okazać się bezużyteczne, gdy zabraknie reguł ich efektywnego użycia w konkretnych sytuacjach. Potrzebni są także ludzie, którzy będą wiedzieli, co zrobić i jak się zachować – mówi Michał Kurek.
Z drugiej strony, integratorzy mogą poprawić swoją konkurencyjność, jeśli w firmie będą stosować własną politykę bezpieczeństwa. To podniesie ich wiarygodność w oczach potencjalnych klientów i zwiększy szanse na nowe kontrakty.
– Klient chce mieć pewność, że usługodawca lub dostawca rozwiązań informatycznych zagwarantuje taką samą ochronę danych, jaką ma sam, lub wyższą. Zadaniem integratora jest przekonanie klienta, że może na to liczyć. Posiadanie wewnętrznych regulacji w postaci polityki bezpieczeństwa bardzo to ułatwi. Świadczy bowiem o dojrzałości firmy w zakresie zarządzania ochroną – podkreśla Kamil Pszczółkowski.
W interesie integratora leży też wdrożenie w firmie standardu ISO 27001. Wtedy będzie mu łatwiej wykazać, że spełnia warunki bezpieczeństwa i występować w roli eksperta od ochrony lub przejąć funkcję centrum kompetencyjnego. Wówczas klient z większym zaufaniem powierzy mu opiekę nad tą częścią swojej działalności, tym bardziej gdy sam wdrożył ISO 27001.
Warto postarać się, by stosowane standardy bezpieczeństwa zaakceptowała niezależna jednostka certyfikacyjna. Taka weryfikacja zwiększa wiarygodność integratora w oczach klienta, podnosi zaufanie do jego wiedzy i umiejętności. Dowodzi, że integrator faktycznie realizuje standardy, których klient też przestrzega. To w konsekwencji może przełożyć się na większą konkurencyjność i lepsze perspektywy biznesowe. Dlatego firmy informatyczne powinny nie tylko zachęcać klientów do tworzenia i wprowadzania w życie zasad zarządzania bezpieczeństwem, ale także taką politykę opracowywać i realizować u siebie.
W zarządzaniu ochroną informacji w przedsiębiorstwie lub instytucji powszechnie stosowane jest ISO. Natomiast w kierowaniu eksploatacją systemów informatycznych sprawdza się ITIL. Standardy te się uzupełniają, czasami również odsyłają do siebie. Stosując je, trzeba jednak uważać na różnice terminologiczne. Te same określenia nie zawsze w obu standardach znaczą to samo.
W Polsce obowiązuje wiele różnorodnych przepisów zawierających wymagania w zakresie bezpieczeństwa korzystania z systemów teleinformatycznych oraz ochrony informacji, w tym zasady przechowywania, przetwarzania i dostępu do danych. Przedstawiamy najważniejsze.
Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (obejmuje podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych)
RODO, czyli unijne ogólne rozporządzenie o ochronie danych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Ustawa z 10 maja 2018 r. o ochronie danych osobowych Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zmienia 162 krajowe akty prawne pod kątem dostosowania do wymogów RODO)
Działalność gospodarcza
Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
Finanse i księgowość
Ustawa z 29 września 1994 r. o rachunkowości
Ochrona informacji
Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych
Podatki
Ustawa z 29 sierpnia 1997 r. – Ordynacja podatkowa
Ubezpieczenie społeczne
Ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych
Ustawa z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych
Usługi elektroniczne
Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
Unijne rozporządzenie Midas (Electronic Identification and Trust Services Regulation)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE
Unijna dyrektywa PSD2 (Payment Services Directive 2)
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego
Zatrudnienie
Ustawa z 26 czerwca 1974 r. – Kodeks pracy
Edukacja
Ustawa z 7 września 1991 r. o systemie oświaty
Ustawa z 14 grudnia 2016 r. – Prawo oświatowe
Rozporządzenie ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
Finanse
Ustawa z 29 sierpnia 1997 r. – Prawo bankowe
Ustawa z 19 sierpnia 2011 r. o usługach płatniczych
Ustawa z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej
Opieka zdrowotna
Ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty
Ustawa z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
Ustawa z 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta
Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia
Telekomunikacja
Ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne
Sektor publiczny
Ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach
Ustawa z 29 stycznia 2004 r. – Prawo zamówień publicznych
Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne
Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
Ustawa o odpowiedzialności podmiotów zbiorowych
Unijne rozporządzenie e-Privacy
Artykuł Bezpieczeństwo zaczyna się od polityki pochodzi z serwisu CRN.
]]>Artykuł Reagowanie kryzysowe coraz bardziej w cenie pochodzi z serwisu CRN.
]]>Gorzej sytuacja wygląda w trzecim obszarze. Bardziej niż rozwiązania techniczne liczą się w nim jednak umiejętności i kompetencje ludzkie. Nie wystarczy nabycie i wdrożenie gotowego, nawet najbardziej zaawansowanego produktu informatycznego, niezbędne jest kompleksowe podejście do zarządzania procesem reagowania na incydenty. Żeby system spełniał swoje zadanie, potrzeba ludzi, którzy będą potrafili z niego skorzystać. To może być szansa dla firm IT, które zaoferują wyspecjalizowane, bazujące na zaawansowanej wiedzy eksperckiej usługi zarządzania sytuacjami kryzysowymi i zapobiegania skutkom cyberataków.
Za jedną z największych barier w podnoszeniu poziomu bezpieczeństwa w przedsiębiorstwach uczestnicy tegorocznego badania Cisco Annual Cybersecurity Report uznali brak odpowiednio wykwalifikowanych specjalistów. Zwrócili również uwagę na problem rosnącej złożoności systemów zabezpieczających. 65 proc. ankietowanych przyznało, że w ich firmach wykorzystuje się do ochrony od sześciu do ponad 50 różnych, często niekompatybilnych produktów. Zwiększa to ryzyko pojawienia się luk w systemie zabezpieczeń. Z drugiej strony zarządzanie takim skomplikowanym środowiskiem wymaga coraz większych umiejętności.
Ponad jedna trzecia firm, których zabezpieczenia zostały naruszone w ubiegłym roku, odnotowała straty w istotnych obszarach działalności biznesowej. Bardzo prawdopodobne, że w części były efektem niewłaściwego rozłożenia akcentów w stosowanej polityce bezpieczeństwa.
– Większość przedsiębiorstw obawia się wciąż czegoś, co wcale nie jest najgroźniejsze, czyli samego włamania. Gros wysiłków idzie więc w kierunku zapobiegania atakom, gdy tymczasem ważniejsze z biznesowego punktu widzenia jest zazwyczaj to, co dzieje się już po dostaniu się włamywacza do firmowego systemu – zwraca uwagę Mirosław Maj, prezes zarządu Fundacji Bezpieczna Cyberprzestrzeń.
Wydarzenia następujące po ataku mają na ogół o wiele poważniejsze konsekwencje dla firmy niż sam fakt włamania. Przestępcy przejmują zdalną kontrolę nad systemem, dokonują jego zaplanowanej wcześniej eksploracji, by ostatecznie dotrzeć do tego, o co im chodziło. Największe szkody pojawią się pod koniec obecności intruza w firmowej sieci, a nie w momencie dokonania ataku.
Mirosława Maja, prezesa zarządu Fundacji Bezpieczna Cyberprzestrzeń
CRN Jakie są obecnie największe zagrożenia dla systemów informatycznych firm?
Mirosław Maj Trudno zrobić jedną, wspólną dla wszystkich przedsiębiorstw listę najważniejszych zagrożeń. Dużo zależy od branży. Nawet najbardziej typowe ataki, m.in. DDoS czy phishing, mają różne nasilenie w różnych sektorach. Dla energetyki na przykład ataki DDoS nie są dotkliwe, ale już dla banków stanowią poważny problem.
CRN Jak w obliczu tak dużej zmienności zagrożeń firmy powinny tworzyć politykę bezpieczeństwa?
Mirosław Maj Powinna zawierać procedury, które zapewniają szybką i skuteczną reakcję na incydenty. Te procedury muszą być cały czas ulepszane, dostosowywane do charakteru aktualnych zagrożeń. Muszą charakteryzować się elastycznością pozwalającą na skuteczne reagowanie mimo dużej zmienności zagrożeń. Firma nie może twierdzić, że właśnie dopracowała się ostatecznego, kompleksowego rozwiązania, bo za kwartał lub dwa wszystko się zmieni. Wdrożenie gotowego systemu anty-DDoS-owego lub jakiegokolwiek innego, nie wystarczy. Trzeba systematycznie analizować zagrożenia i sprawdzać, jakie są ich potencjalne skutki dla firmy.
CRN Czym mogą przekonać odbiorców do swojej oferty firmy IT specjalizujące się w rozwiązaniach ochronnych? Jak powinny ją konstruować, by odpowiadała specyfice obecnych potrzeb użytkowników?
Mirosław Maj Na bazie informacji od klientów albo informacji z rynku powinny opisywać oferowane rozwiązania pod kątem aktualnych wyzwań, zagrożeń i potrzeb. Muszą pokazywać ich użyteczność dla rozwiązania konkretnego problemu, z którym boryka się klient. Jeśli ktoś ma w ofercie system do szyfrowania, nie powinien po prostu sprzedawać narzędzia do szyfrowania. Klientowi, który ma problem z ransomware’em, phishingiem lub dostosowaniem swoich systemów do wymogów RODO, reseller bądź integrator powinien pokazać, jak oferowane przez niego rozwiązania zaradzą tym bolączkom. Nawet jeśli nie jest to system przeznaczony specjalnie do likwidacji owych zagrożeń, klient zainteresuje się nim, gdy sprzedawca udowodni jego przydatność w konkretnej sytuacji. To może być skuteczny sposób uzyskania przewagi konkurencyjnej na dzisiejszym rynku cyberbezpieczeństwa.
Podatność na straty może, paradoksalnie, nasilać także dominujące dzisiaj w przedsiębiorstwach nastawienie na zapewnienie ciągłości działania biznesu. Często jest ono realizowane przez przeniesienie funkcjonowania firmowych systemów IT z jednego centrum danych do drugiego. Jeśli wcześniej nie nastąpiła odpowiednia reakcja na atak, to wraz z przeniesieniem systemu następuje również przeniesienie wywołanych przez niego problemów.
Odpowiednie zarządzanie reakcją na incydent ma więc zasadnicze znaczenie dla ograniczenia strat, na jakie może być narażone przedsiębiorstwo. Potrzebne jest aktywne podejście do zapewnienia bezpieczeństwa firmie.
– Najgroźniejszy jest brak wiedzy o faktycznych skutkach incydentu. Przedsiębiorstwa, które nie mają zdolności oceny konsekwencji zaistniałego włamania, mogą przez nieprzemyślane, przypadkowe działania i decyzje doprowadzić do jeszcze większych strat niż te wywołane samym atakiem – zwraca uwagę Radosław Kaczorek, prezes Immusec (firmy integratorskiej, specjalizującej się w zabezpieczaniu infrastruktury IT).
Ze stosowanymi powszechnie atakami typu APT (Advanced Persistent Threats) coraz trudniej walczyć, gdyż są bardzo dobrze przygotowane, poprzedzone szczegółowym rozpoznaniem i analizą istotnych elementów zabezpieczeń. Szefowie pionów bezpieczeństwa w firmach przyznają, że cyberprzestępcy coraz częściej stosują techniki oparte na znajomości korporacyjnej struktury systemów IT. Tym bardziej więc znaczenia nabiera skuteczne przeciwdziałanie niepożądanym skutkom włamania.
– Firmy muszą stale uczyć się identyfikować nowe zagrożenia i określać ich skutki. Nie można polegać na rozwiązaniach wypracowanych wczoraj, bo dynamika zmian sposobów ataków jest tak duża, że niemalże na bieżąco trzeba projektować mechanizmy obronne – mówi Radosław Kaczorek.
Zarządzanie incydentami musi być dzisiaj traktowane co najmniej na równi z prewencją i detekcją. Do tego jednak potrzeba nie tyle nowych, rozbudowanych rozwiązań technicznych, ile coraz większej liczby specjalistów z zaawansowanymi umiejętnościami i kompetencjami. Wymaga to przede wszystkim ustawicznego inwestowania w zdobywanie wiedzy eksperckiej. Nawet jeśli część działań antykryzysowych zostanie z czasem zautomatyzowana przez rozwiązania korzystające ze sztucznej inteligencji, właściwa ludziom umiejętność myślenia, kojarzenia oraz wyciągania wniosków wciąż, a może nawet jeszcze bardziej niż kiedykolwiek, będzie w cenie.
Sytuacja taka stwarza szansę dla resellerów i integratorów na rozwój biznesu. Przynajmniej dla tych, którzy zechcą podejść do tematu strategicznie. Wyraźnie bowiem widać, że będzie rosło zapotrzebowanie na usługi zarządzania incydentami. Firmy, których nie będzie stać na zatrudnianie coraz wyżej wykwalifikowanych i coraz lepiej opłacanych specjalistów od bezpieczeństwa, będą potrzebowały oferty outsourcingowej. Tak samo przedsiębiorstwa, które uznają, że lepszym rozwiązaniem niż budowanie takiego zespołu u siebie będzie skorzystanie z usług wyspecjalizowanego podmiotu zewnętrznego. W każdym przypadku można się spodziewać wzrostu zapotrzebowania na usługi wymagające wiedzy i doświadczenia z zakresu reagowania kryzysowego. Podmiotów, które to potrafią robić, nie ma jeszcze na polskim rynku zbyt wiele.
Resellerzy i integratorzy, którzy zgromadzą zasoby (ludzkie i technologiczne) zapewniające świadczenie takich usług, zyskają szansę na dodatkowe przychody i umocnienie pozycji na rynku. Warunek jest jeden: muszą mieć wysokie umiejętności, rzeczywiście zaspokajające potrzeby klientów. Jednym ze sposobów takiego działania może być kooperacja z wyspecjalizowanymi podmiotami, posiadającymi ekspercką wiedzę, które zapewnią wsparcie w wybranych obszarach zarządzania incydentami czy na poszczególnych poziomach reagowania. Pożądane biznesowo efekty może też dać przeniesienie punktu ciężkości z eksponowania parametrów technicznych oferowanych rozwiązań na pokazywanie ich funkcjonalności. Niby od dawna się o tym mówi i niby powszechnie o tym wiadomo, ale – jak twierdzą specjaliści od cyberbezpieczeństwa – rzeczywistość rynkowa jest wciąż daleka od teorii.
Firmy, które będą potrafiły wykazać przydatność oferowanych rozwiązań w konkretnych sytuacjach zagrożenia i będą wiedziały, jak użyć wdrożonych narzędzi do ograniczenia skutków ataku, zyskają zainteresowanie klientów. Sposobem na sukces rynkowy może być specjalizacja. Zapobieganie skutkom zaistniałych incydentów wymaga zaawansowanej wiedzy z różnych dyscyplin i dziedzin – od technicznej przez proceduralną po biznesową z konkretnej branży. Łączenie eksperckich potencjałów podmiotów wyspecjalizowanych w różnych zakresach może być dla integratorów szansą na zdobycie przewagi konkurencyjnej przez świadczenie w modelu rozproszonym unikalnych usług, na które zapotrzebowanie będzie rosło.
Wzór dokumentu polityki bezpieczeństwa praktycznie nie istnieje. Powinna być w najdrobniejszych szczegółach dopasowana do danego przedsiębiorstwa (jego usytuowania, zachodzących procesów itd.). Dla wybranych rodzajów danych (przede wszystkim osobowych) opracowane są jednak pewne wytyczne.
Zawartość dokumentu zawierającego reguły polityki bezpieczeństwa określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z §3 i 4 tego rozporządzenia administrator danych zobowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Rozumiana jest jako „zestaw praw, reguł i praktycznych doświadczeń, dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych, wewnątrz określonej organizacji”. Powinna odnosić się całościowo do problemu zabezpieczenia informacji, tj. zarówno do danych przetwarzanych tradycyjnie, jak i w systemach informatycznych.
Aby prawidłowo zarządzać zasobami, należy najpierw je zidentyfikować oraz określić miejsca i sposób przechowywania danych. Wybór odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania.
48% firm ma wdrożone reguły polityki bezpieczeństwa
70% firm ma przestarzałe i nieadekwatne do aktualnych wymagań rozwiązania ochronne
83% firm wierzy, że są bardziej podatne na zagrożenia ze względu na złożoność organizacyjną
Źródło: Ponemon Institute na zlecenie Citrix, 2016
Polityka bezpieczeństwa dotycząca danych osobowych powinna zawierać przede wszystkim następujące punkty:
1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Najczęściej jest to siedziba instytucji albo konkretne piętro lub wręcz pokój. Jeżeli firma korzysta z usług outsourcingu, konieczne jest podanie adresu usługodawcy oraz zakresu świadczonych przez niego usług.
2. Wykaz zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania. Można nadać dowolną nazwę zbiorom danych osobowych – ważne, aby była w miarę krótka i odpowiadała przetwarzanym w nich danym. Z kolei w części dotyczącej oprogramowania należy podać jego nazwę oraz charakter (np. aplikacja kadrowo-płacowa, system masowej wysyłki poczty elektronicznej itp.).
3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych (kategorie danych, np. imię i nazwisko, a nie konkretne dane) i powiązań między nimi. Mogą one występować, gdy dwa różne zbiory danych zawierają pewien element wspólny (np. określony numer identyfikacyjny). Wówczas, właśnie przez ten element można powiązać dane z dwóch zbiorów w jedną całość, a dzięki temu uzyskać więcej informacji o danej osobie.
4. Opis sposobu przesyłania danych między poszczególnymi systemami, jeżeli w danej firmie jest to praktykowane.
5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności (brak dostępu dla osób postronnych), integralności (brak możliwości wprowadzenia nieautoryzowanych zmian) i rozliczalności przetwarzanych danych (przypisanie ich w sposób jednoznaczny tylko konkretnemu podmiotowi).
Ogólne wytyczne, które dotyczą zabezpieczania danych osobowych przez każdego administratora danych, są też opisane w rozdziale 5 ustawy o ochronie danych osobowych. W większości mają bezpośrednie przełożenie na treść polityki bezpieczeństwa. Wszystkie zobowiązane do ich przestrzegania firmy powinny:
– zastosować odpowiednie środki techniczne i organizacyjne,
– prowadzić dokumentację z zakresu ochrony danych osobowych,
– do przetwarzania danych osobowych dopuszczać wyłącznie osoby, którym przyznano odpowiednie upoważnienia,
– kontrolować, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
– prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
– zobowiązać osoby upoważnione do zachowania w tajemnicy danych oraz sposobów ich zabezpieczenia (np. faktu korzy-stania z systemu monitoringu, alarmów, niszczarek do dokumentów, wzmacnianych szaf, drzwi itp.).
Artykuł Reagowanie kryzysowe coraz bardziej w cenie pochodzi z serwisu CRN.
]]>Artykuł W trosce o biznesową ciągłość pochodzi z serwisu CRN.
]]>Dbałość o bezpieczeństwo jest konieczna z różnych powodów. Przede wszystkim chodzi o zapewnienie poufności danych i ich ochronę przed udostępnieniem nieuprawnionym osobom w wyniku przypadkowego wycieku lub celowej kradzieży. Drugim, najczęściej wskazywanym powodem, jest zabezpieczenie danych przed ich utratą – w tym celu stosowane są różne metody wykonywania kopii zapasowych (snapshoty, backup na dyski i taśmy, replikacja do zapasowego centrum danych). Ale bezpieczeństwo to także zapewnienie nieprzerwanej dostępności do informacji, a więc troska o stabilne łącza sieciowe, internetowe itd. Administratorzy powinni dbać też o integralność przechowywanych danych, w tym zagwarantować brak możliwości wprowadzania nieautoryzowanych zmian.
Dużym wyzwaniem jest też wytłumaczenie klientom rzeczy pozornie nieoczywistych. Przede wszystkim tego, że nawet najlepszy sprzęt czy oprogramowanie nie spełni swojej roli, jeśli zawiedzie człowiek, a to on jest zazwyczaj najsłabszym ogniwem. Najłatwiej go oszukać, wzbudzając niesłuszne zaufanie i przekonać do ujawnienia haseł czy innych tajnych informacji. Warto też podkreślać, że nie ma bezwzględnej miary bezpieczeństwa, a jego poziom można mierzyć tylko w odniesieniu do precyzyjnie określonych w tym zakresie wymagań stawianych systemowi IT. Nigdy też nie osiągnie się stuprocentowej pewności, że nie dojdzie do żadnego incydentu – trzeba wręcz przygotować się na to, że coś się wydarzy i zaplanować odpowiednie zasady postępowania. Niestety, faktem jest, że inwestycji w systemy ochronne dokonuje się dziś na bazie zaufania do dostawcy, a nie gwarancji skuteczności zabezpieczeń.
A jest co chronić, bo wśród ważnych informacji są nie tylko dane osobowe pracowników i klientów, ale również dokumenty związane z własnością intelektualną przedsiębiorstwa i stanowiące o jego przewadze konkurencyjnej. Łupem przestępców często padają również szczegółowe informacje o strukturze i funkcjonowaniu firmy, bo na ich podstawie łatwiej mogą przygotować atak socjotechniczny i wybrać np. pracowników stanowiących najsłabsze ogniwo.
Aspekty konieczne do uwzględnienia podczas tworzenia polityki bezpieczeństwa
– określenie procedur korzystania z oprogramowania i sprzętu,
– stosowanie odpowiedniego oprogramowania systemowego i dodatkowego,
– właściwe konfiguracje sprzętowe (UPS, nadmiarowość najważniejszych rozwiązań),
– odpowiednie mechanizmy składowania danych,
– szyfrowanie informacji.
– systemy zasilania awaryjnego,
– kontrola dostępu do obiektów i pomieszczeń,
– zabezpieczenie przeciw włamaniom,
– systemy przeciwpożarowe.
– regulaminy dla osób korzystających z systemów informatycznych,
– polityka zakupu sprzętu i oprogramowania.
– sprawdzanie pracowników dopuszczonych do danych o szczególnym znaczeniu,
– przestrzeganie odpowiednich procedur zwalniania i zatrudniania pracowników,
– motywowanie pracowników,
– szkolenia.
– zasada wiedzy koniecznej: uprawnienia muszą wynikać z obowiązków,
– zasada minimalnego środowiska pracy: prawo dostępu tylko do pomieszczeń związanych z obowiązkami,
– zasada dwóch osób: funkcje, które mogą być wykorzystane do złamania zabezpieczeń, należy podzielić, a ich wykonanie przydzielić różnym osobom,
– zasada rotacji obowiązków: co pewien czas odpowiedzialność za szczególnie ważne funkcje powinna przechodzić na kolejne osoby.
Dokument opisujący politykę bezpieczeństwa to przede wszystkim zbiór przepisów, zasad, wymagań i zaleceń regulujących sposób zarządzania, ochrony i udostępniania zasobów (z naciskiem na IT, ale nie tylko) w określonym środowisku. Jest to najczęściej zbiór administracyjnych, technicznych i fizycznych środków, dzięki którym zapewnia się poufność danych, a także ich integralność, dostępność i rozliczalność oraz ochronę pozostałych aktywów – sprzętu, oprogramowania, dokumentacji i personelu.
W skład komisji tworzącej dokument polityki bezpieczeństwa powinni wchodzić przedstawiciele wszystkich komórek organizacyjnych przedsiębiorstwa, nie tylko działu IT. Ich zadaniem będzie klasyfikowanie przepływających przez firmę danych, określenie stopnia ich utajnienia (ogólnie dostępne, poufne, tajne) oraz osób odpowiedzialnych za poszczególne procedury.
Tworzenie dokumentu polityki bezpieczeństwa to nie tylko zbiór zagadnień natury czysto informatycznej. Do tego konieczna jest także wiedza na temat tzw. inżynierii społecznej. Wiedzę tę z reguły potrafią wykorzystać osoby atakujące system. Starają się uzyskać jak najwięcej informacji o firmie lub jej pracownikach oraz spowodować, żeby działali oni w sposób oczekiwany przez atakującego. Niestety, naiwność ludzka w tej kwestii jest jeszcze bardzo duża – wystarczy prześledzić, jak wiele kampanii phishingowych odniosło szkodliwy skutek.
Podstawowymi zagadnieniami, które powinna obejmować polityka bezpieczeństwa, jest określenie osób lub komórek organizacyjnych odpowiedzialnych za jej realizację (dlatego nie może to też być dokument ogólnie dostępny), określenie zagrożeń (dostępu do sprzętu, oprogramowania, poziomu umiejętności pracowników, stopnia ich niezadowolenia z wykonywanej pracy) i możliwości przeciwdziałania nim.
Dokument polityki bezpieczeństwa może dotyczyć wszystkich zasobów przedsiębiorstwa albo tylko ich części, np. konkretnego zbioru danych czy systemu IT. Istnieją też specjalne rodzaje polityki bezpieczeństwa, np. dotyczące ochrony danych osobowych (wzór takiego dokumentu jest dostępny na stronie GIODO). Warto także pamiętać, że polityka bezpieczeństwa bardziej powinna być opisem strategii, a nie taktyki działania. Należy unikać w niej szczegółowych opisów konfiguracji serwerów czy instrukcji postępowania w przypadku wykrycia incydentu bezpieczeństwa – od tego są standardy i procedury, które również powinny być zdefiniowane przez poszczególne przedsiębiorstwa, a ich lista wyszczególniona właśnie w polityce bezpieczeństwa.
Jak zgodnie podkreślają eksperci dokonujący audytów bezpieczeństwa w polskich firmach, poprawnie napisaną politykę bezpieczeństwa ma bardzo niewiele firm. Co gorsza, wśród tych, które jej nie mają, jest wiele placówek publicznych oraz podmiotów zobowiązanych do stworzenia takiego dokumentu chociażby ustawą o ochronie danych osobowych. Czasami zalążki takiego dokumentu istnieją, ale np. w regulaminie pracy.
Możliwość doradztwa w zakresie opracowania i późniejszego uaktualniania polityki bezpieczeństwa to idealna sytuacja dla integratorów. Powinni po pierwsze uświadomić swoim klientom konieczność uporządkowania kwestii związanych ze strategią zabezpieczania danych, a po drugie pomóc (oczywiście odpłatnie) w przygotowaniu odpowiedniego dokumentu oraz egzekwowaniu jego zapisów.
W wielu przypadkach w kolejnych krokach konieczne okaże się przeprowadzenie dodatkowych inwestycji w sprzęt lub oprogramowanie ochronne, aby załatać ujawnione w trakcie opracowywania polityki bezpieczeństwa luki. Finałem zaś powinno być szkolenie dla pracowników, a być może nawet kilka. Oczywiście przygotowane z uwzględnieniem piastowanych przez nich stanowisk, jako że przekazywane podczas szkolenia komunikaty będą różne dla zarządu czy pracowników odpowiedzialnych za ważne operacje, np. przelewy bankowe, oraz dla pozostałych osób.
Artykuł W trosce o biznesową ciągłość pochodzi z serwisu CRN.
]]>Artykuł Polityka bezpieczeństwa nie może trafić do firmowego archiwum pochodzi z serwisu CRN.
]]>Uczestnicy debaty: Michał Ceklarz, Security Account
Manager, Cisco, Michał Król, Security Group Manager, Veracomp, Sebastian
Krystyniecki, inżynier systemowy, Fortinet, Michał Mizgalski,
specjalista ds. bezpieczeństwa, Be-In, Franciszek Musiel, konsultant
techniczny, Cloudware Polska i Jakub Sieńko, dyrektor handlowy,
ed&r Polska.
Bezpieczeństwo
priorytetem?
CRN Znakomita większość
przedsiębiorstw podkreśla, że bezpieczeństwo związane z różnymi obszarami
IT jest dla nich kwestią priorytetową. Czy w praktyce rzeczywiście polskie
firmy traktują to zagadnienie bardzo poważnie?
Michał
Mizgalski, Be-In Niestety, jako
przedstawiciel firmy, która w polskich przedsiębiorstwach
i placówkach państwowych dokonuje wielu audytów rocznie, mogę powiedzieć,
że w tym zakresie nie jest dobrze. Kwestie bezpieczeństwa poruszane są
najczęściej tylko teoretycznie, a konkretne działania podejmowane są dopiero
wtedy, gdy wydarzy się jakiś poważny incydent. To przykre, że budowanie
świadomości w tym zakresie odbywa się najczęściej przez czynnik
zewnętrzny. Dotyczy to nawet placówek, które objęte są rygorystycznymi zapisami
prawnymi w zakresie bezpieczeństwa. Dowodem jest fakt, że tylko
w sferze samorządowej w 2015 r. „ukradziono” przelewy warte
ponad 10 mln zł. Gdyby istniały odpowiednie procedury,
a pracownicy byli właściwie przeszkoleni, do czegoś takiego by nie doszło.
Michał
Król, Veracomp W pewnym stopniu ta świadomość istnieje, bo
w przeciwnym razie firmy nie zorientowałyby się, że miał miejsce jakiś
incydent. Natomiast, rzeczywiście, przedsiębiorstwa nie przejmują się zbytnio
ochroną swych zasobów do chwili, gdy wydarzy się coś niedobrego. Z reguły
nie mają też planów działania w takiej sytuacji, nie wspominając
o dokumencie określającym politykę bezpieczeństwa.
Franciszek
Musiel, Cloudware Zainteresowanie
klientów kwestiami ochrony szybko rośnie, gdy ma miejsce jakieś medialne
wydarzenie, np. spektakularne włamanie lub wyciek danych. Wówczas zaczynają się
zastanawiać, czy posiadany przez nie antywirus to przypadkiem nie jest zbyt mało. Nawet mniejsze firmy,
świadome, że nie stać ich na duże systemy ochronne, zaczynają rozważać, jak
można w jakiś kompromisowy sposób poprawić poziom bezpieczeństwa.
Niestety, to wszystko dzieje się zbyt wolno.
Michał
Ceklarz, Cisco
Duży wpływ na tę, rzeczywiście niekorzystną sytuację ma też to, że
firmy w Polsce nie są zobowiązane do ujawniania faktu włamania do ich
infrastruktury, którego skutkiem jest wyciek danych klientów. Najlepszym
przykładem może być ubiegłoroczne włamanie do Plus Banku, o którym
praktycznie nie informowały ogólnopolskie media, a tematem zajmowali się
wyłącznie dziennikarze branżowi. Tymczasem na Zachodzie, po incydencie
o takiej skali, rzeczona placówka prawdopodobnie zakończyłaby działalność.
Zamiatanie spraw pod dywan, połączone z brakiem wewnętrznej dyscypliny
w firmach, powoduje, że przedsiębiorstwa kupują tylko to, co jest niezbędne
do uzyskania akceptacji audytora oceniającego, czy dana placówka spełnia wymogi
prawne.
Sebastian
Krystyniecki, Fortinet Dość wyraźnie widać, że w firmach poziom
świadomości zagrożeń jest niejednokrotnie uzależniony od zasobności portfela
klienta, ale rośnie też z upływem czasu. Należy przez to rozumieć, że
inwestowanie w coraz bardziej zaawansowane rozwiązania (np. sandboxing,
web application firewall itp.) ma miejsce dopiero po zaspokojeniu podstawowych
potrzeb w zakresie bezpieczeństwa, takich jak zakup rozwiązań firewall,
systemów antywirusowych lub antyspamowych. Uzyskanie wiedzy na temat
bezpieczeństwa jest dość łatwe, więc w pewnym stopniu trafia ona do
administratorów. Natomiast nie sposób się nie zgodzić, że rzeczywiście
najczęściej akcja wywołuje reakcję, czyli inwestycje najczęściej są efektem
skutecznego i dotkliwego ataku. A przecież o wiele lepiej
zapobiegać niż leczyć.
Jakub Sieńko,
ed&r Potwierdzam, że przedsiębiorcy są świadomi konieczności
zabezpieczania się, a także częściowo sposobów ochrony. Natomiast brakuje
konsekwencji w działaniu zarządów firm – mam na myśli działania
skutecznie zaplanowane i zrealizowane – a także systematycznych
audytów czy szkoleń ludzi odpowiedzialnych za ochronę zasobów.
Polityka
bezpieczeństwa – zapomniany skarb
CRN O konieczności
posiadania przez firmy chociażby najprostszego dokumentu, opisującego ich
politykę bezpieczeństwa i zasady reagowania na incydenty, mówi się od
bardzo dawna. Czy można ocenić, w jakim stopniu ten wymóg jest spełniony
w polskich przedsiębiorstwach?
Michał Król,
Veracomp W bardzo nikłym. Treść dokumentu określającego politykę
bezpieczeństwa może być efektem dwóch zjawisk – wewnętrznej potrzeby
zarządu przedsiębiorstwa bądź obostrzeń prawnych obowiązujących określony
podmiot. I tu warto zauważyć, że istnieje akt prawny, który dotyczy
znakomitej większości firm, czyli ustawa o ochronie danych osobowych,
w której jest mowa o sposobie ich przechowywania, szyfrowaniu itd.
Niestety, w praktyce wiele rządowych czy samorządowych jednostek nie dba
o to, aby działać w zgodzie z prawem, mieć opracowane procedury
postępowania w przypadku zagrożenia i opisane sposoby ochrony przed
nim. Przykład idzie z góry, więc przedsiębiorcy postępują tak samo.
Efektem jest bardzo częsty brak jakiejkolwiek polityki bezpieczeństwa.
Franciszek Musiel,
Cloudware Często też zdarza się, że w firmie przyjęto określoną
politykę bezpieczeństwa, ale… nikt o tym nie wie. Istnieje jakiś dokument,
opracowany kilka lat temu i nigdy od tamtej pory nieaktualizowany. Albo
część zapisów, które można by potraktować jako zasady polityki bezpieczeństwa,
znajduje się w regulaminie pracy. Wprawdzie zapoznanie się z nim
potwierdza podpisem każdy pracownik, ale wszyscy wiemy, jak to jest ze
znajomością treści takich zapisów. Zatem nawet jeśli polityka bezpieczeństwa
lub coś, co ją przypomina, w danej firmie istnieje, i tak prawie nikt
nie przywiązuje do niej wagi.
Michał Mizgalski,
Be-In W dojrzałym przedsiębiorstwie system zarządzania
bezpieczeństwem informacji jest procesem, a nie aktem, czyli trwa
non-stop. Dlatego „właściciel” dokumentu określającego politykę ochrony
powinien dokładnie przeglądać go przynajmniej raz do roku albo po każdym
wprowadzeniu zmian w prawie, żeby zobaczyć, czy któryś z zapisów nie
wymaga aktualizacji, czy nie należy dokonać zmian w firmowych procesach
bądź dokupić lub zmodernizować systemy ochronne. Natomiast najbardziej istotne
podczas tworzenia polityki bezpieczeństwa są: inwentaryzacja aktywów, które
chcemy chronić, ocena ryzyka wystąpienia zagrożenia oraz decyzje o tym,
czy i w jaki sposób firma może to ryzyko zmniejszyć lub wyeliminować.
Na przykład w normie ISO 27?001 opisanych jest siedem
obszarów, w których powinno być szacowane ryzyko, ale oczywiście każda
firma może to zrobić po swojemu. Najważniejsze, aby w ogóle taka ocena
ryzyka powstała, i to nie tylko na dziś. Powinna także uwzględniać
możliwość zmian w przyszłości, czasem wręcz na przestrzeni wielu lat…
CRN Ale jak
w dzisiejszych czasach przewidzieć rozwój branży IT i trapiących ją
zagrożeń?
Michał Mizgalski,
Be-In Oczywiście, to trudne, ale nie niemożliwe. Zarząd każdej firmy
powinien mieć wizję stopnia i kierunku jej rozwoju, przewidywać, jakie
systemy informatyczne będzie wprowadzać, w związku z tym, jakie może
wystąpić ryzyko kradzieży ważnych danych czy utraty dostępu do nich. Tego typu
zmiany mogą implikować ewolucję bądź rewolucję w polityce bezpieczeństwa.
Natomiast naturalnie, pewnie zmiany mogą wystąpić nieoczekiwanie i dlatego
konieczna jest regularna weryfikacja przyjętych założeń i ponowna ocena
ryzyka.
Sebastian
Krystyniecki, Fortinet Dobrym przykładem jest
Facebook. Nikt w Polsce kilka lat temu nie był w stanie
przewidzieć, jak szybko stanie się popularny. A wiadomo, że niesie wiele
zagrożeń, nie tylko związanych z wydajnością pracy. Zarządy i działy
IT, dla których dokument polityki
bezpieczeństwa ma największą wartość, powinny uświadamiać pracownikom, że to
oni niejednokrotnie sprowadzają największe zagrożenie na firmowe dane. Nie zawsze
zauważają, że ich działania w sieci mogą mieć przykre w skutkach
konsekwencje dla przedsiębiorstwa.
Budzenie
świadomości
CRN Do właściwej oceny ryzyka potrzebna jest jego
świadomość, a najłatwiej o nią w przedsiębiorstwach
o wysokiej kulturze biznesowej. Na ile dojrzałe w tym zakresie są
polskie firmy?
Michał Ceklarz,
Cisco Świadomość ludzi podejmujących decyzje jest bardzo ważna, bo
od niej najczęściej zależy wielkość środków przeznaczonych na walkę
z zagrożeniami. To właśnie niewystarczająca ilość tych środków lub moment
– najczęściej dopiero po katastrofie – gdy są uwalniane, stanowi
w Polsce największą bolączkę. Dowodzi tego fakt, że nasz kraj przez wiele
lat był największym spamerem na świecie, tak słabo były zabezpieczone polskie
komputery…
Jakub Sieńko,
ed&r Bardzo ważna jest umiejętność wyważenia ilości informacji,
które trafią do administratora odpowiedzialnego za bezpieczeństwo. Klientowi
można zaoferować produkt lub usługę, w efekcie działania których uzyska on
informacje o kilkuset elementach wymagających naprawy. Oczywiście, nie
będzie wówczas w stanie ocenić wagi każdego z nich, a więc
przyjąć odpowiedniej strategii działania. Tu pojawia się zadanie dla
integratorów, którzy wspólnie z klientem mogą wybrać np. dziesięć obszarów
wymagających pilnej interwencji, a następnie pomogą w rozwiązywaniu
kolejnych problemów.
Michał Mizgalski,
Be-In Dla firm, z którymi rozpoczynamy współpracę
w zakresie doradztwa dotyczącego bezpieczeństwa, mamy ankietę sprawdzającą
aktualny stan ich zabezpieczeń. Niestety, czasami musimy pomagać im ją
wypełniać… Wynika to trochę z faktu, że kiedyś informatyk był panem od
wszystkiego – wdrażał oprogramowanie i wymieniał toner
w drukarce. Dzisiaj od informatyków oczekuje się daleko idącej
specjalizacji, natomiast zarządy firm nadal hołdują przestarzałemu podejściu do
zatrudniania ekspertów IT. Często są wręcz zdziwieni, gdy mówimy, że błędem
jest przyznawanie wszystkim informatykom dostępu do wszystkich zasobów.
Podsumowując: gdyby 50 proc. polskich firm zdecydowało się teraz na
poważnie podejść do tematu bezpieczeństwa danych, to nikt z nas nie miałby
wolnej chwili przez długie lata.
CRN Czy miałoby sens
zaangażowanie zewnętrznej firmy do przeprowadzenia oceny ryzyka?
Michał Ceklarz,
Cisco Zdecydowanie tak. Miałaby ona szansę na bardziej obiektywne
przyjrzenie się infrastrukturze i wskazanie jej najsłabszych elementów.
Dokładnie na takiej samej zasadzie, jak policjant nie powinien być sędzią we
własnej sprawie. To jest obszar, w którym świetnie mogą odnaleźć się
resellerzy, czyli świadczyć usługi, nawet niekoniecznie pełnego audytu, ale
swego rodzaju doradztwa w zakresie bezpieczeństwa informatycznego
i wskazywania podatności na zagrożenie.
Franciszek Musiel,
Cloudware Klienci coraz lepiej rozumieją korzyści płynące
z outsourcingu w niektórych dziedzinach. Współpraca z firmami
trzecimi w zakresie bezpieczeństwa to kwestia dość delikatna, ponieważ
często musi dochodzić do przekazywania poufnych informacji. Ale administratorzy
i zarządcy firm zdają sobie sprawę, że, po pierwsze, często nie stać ich
na zatrudnienie grupy wykwalifikowanych ekspertów bądź wykształcenie własnych,
a po drugie, wiedza i doświadczenie ekspertów z firm trzecich są
jeszcze większe, jeśli obsługują wiele podmiotów jednocześnie.
Sebastian
Krystyniecki, Fortinet Outsourcing
może być realizowany na różne sposoby. Firmy o statusie Managed Security
Service Provider część działań ochronnych mogą prowadzić
z wykorzystaniem własnej infrastruktury albo, w wybranych sytuacjach,
instalować pewne urządzenia u klientów i zdalnie nimi zarządzać.
Klienci, którzy nie decydują się na rozwijanie własnej infrastruktury
i budowanie kadry specjalizującej się w zapewnianiu bezpieczeństwa,
z łatwością mogą skorzystać z outsourcingu, który jednocześnie będzie
dla nich gwarancją ciągłości prowadzonego biznesu i optymalizacji kosztów.
Michał Król,
Veracomp Jeszcze niedawno integratorzy bardzo obawiali się chmury
jako zjawiska, które odbierze im dochody. Dzisiaj wręcz cieszą się, że
powstała, bo przedsiębiorstwa korzystające z cloudu jeszcze bardziej
potrzebują profesjonalnej ochrony. Ale chmura zmusiła też wielu dostawców usług
IT do przemodelowania sprzedaży, a obecnie podobny proces zachodzi
w firmach, które już wcześniej dostarczały rozwiązania ochronne. Kiedyś
sprzedawały sprzęt i oprogramowanie, dzisiaj muszą pełnić rolę
konsultantów odpowiedzialnych nie tylko za wybrany wycinek działania
przedsiębiorstwa, ale jego całość, czasami nawet niezwiązaną bezpośrednio
z IT.
Wiedza
w cenie
CRN Gdzie firmy powinny szukać ekspertów do spraw
bezpieczeństwa?
Jakub Sieńko,
ed&r W Polsce mamy bardzo dobrych
informatyków i wielu zdolnych studentów. Ale ci ludzie są bardzo doceniani
za granicą, więc w rodzimych firmach niestety pozostanie ich niewielu. Ten
problem jest już widoczny i wiadomo, że będzie narastał. Dlatego
integratorzy, którzy potrafią wielowątkowo obsłużyć klienta, będą cieszyć się
bardzo długo trwającą jego lojalnością. Tym bardziej że mniejsze firmy mają
niewielkie szanse na zatrudnienie dobrych ekspertów zajmujących się
bezpieczeństwem, zresztą nie zawsze ich potrzebują. Często lepsze dla nich jest
skorzystanie od czasu do czasu z usługi profesjonalnego doradcy.
Michał Ceklarz,
Cisco Jeżeli resellerzy i integratorzy będą w stanie
przyjąć tych specjalistów i pokierować ich karierami tak, aby mogli
świadczyć dodatkowe usługi, sytuacja stanie się bardzo ciekawa.
W dziedzinie IT w kilku obszarach już teraz przegoniliśmy Europę
Zachodnią, np. w bankowości czy telekomunikacji. Poza tym nagle pojawili
się młodzi i zdolni ludzie, którzy wchodzili na rynek pracy już
zaznajomieni z komputerami. Jednocześnie mamy też pokolenie starszych
osób, wykluczonych cyfrowo, i problem polega na tym, że to one zasiadają
dziś w zarządach wielu firm.
Franciszek Musiel,
Cloudware To oczywiste, że ekspertów IT – nie tylko
w dziedzinie bezpieczeństwa – będzie wkrótce brakowało. Dlatego
należy zoptymalizować czas, którym dysponują, przez pełne wykorzystanie ich
wiedzy i doświadczenia oraz automatyzację niektórych działań. Nie można
dopuścić do sytuacji, gdy np. jeden z informatyków przez cały dzień śledzi
logi. To całkowita strata czasu, gdyż mamy do dyspozycji dużo oprogramowania do
ich analizy.
CRN Czy trzeba to rozumieć jako sygnał, że resellerzy
powinni obecnie rzucić wszystko i wziąć się za świadczenie usług
związanych z bezpieczeństwem, bo tam są największe pieniądze?
Michał Król,
Veracomp My rekomendujemy taki model, w którym kilku ekspertów
ds. bezpieczeństwa zakłada firmę i świadczy usługi doradztwa oraz
wsparcia. Czasami słyszymy, że z małą firmą nie będą chciały współpracować
duże instytucje, ale to nieprawda. Banki i towarzystwa ubezpieczeniowe
potrzebują przede wszystkim specjalistycznej wiedzy, a wielkość podmiotu,
od którego ją uzyskają, jest dla nich sprawą drugorzędną. Veracomp, jako duży
dystrybutor, współpracuje z małymi podmiotami i jest to bardzo dobra,
merytoryczna współpraca.
Jakub Sieńko,
ed&r Potwierdzam, że z małymi firmami rzeczywiście bardzo
dobrze się współpracuje. Ale jednocześnie muszę przyznać, że ed&r, jako
mały dystrybutor, ma też klientów, którzy są bardzo dużymi integratorami
i często prowadzi z nimi projekty zakrojone na szeroką skalę.
Wszystko zależy od profesjonalizmu i podejścia firmy partnerskiej.
Co za dużo to
niezdrowo…
CRN Wspominaliśmy już o niewystarczającym poziomie
inwestycji w zakresie systemów ochronnych. A jak często zdarza się
przeinwestowanie i czy jest to równie groźne zjawisko?
Michał Ceklarz,
Cisco Owszem, zdarza się, że analiza ryzyka została źle
przeprowadzona i systemy zabezpieczające są więcej warte niż chronione
przez nie zasoby. A jeśli osoba podejmująca decyzje zakupowe jest
klasycznym geekiem i lubi nowe gadżety, często po jakiejś konferencji
kupuje kolejne urządzenie, które albo nie pasuje do już posiadanych, albo
zostaje niepoprawnie wdrożone, co jest jeszcze groźniejsze od zwykłego nierozsądnego
wydawania pieniędzy.
Sebastian
Krystyniecki, Fortinet Przeinwestowanie można też zaobserwować
w dwóch innych aspektach. Pierwszy to problem rozsądnego planowania
budżetów. Często pod koniec roku dział IT dysponuje pieniędzmi, które musi
wydać, gdyż ich niewydanie wpłynie negatywnie na kolejny budżet. Ta presja może
powodować psucie procesu decyzyjnego. Drugi aspekt związany jest ze środkami
unijnymi, które, jak już zostaną przyznane, trzeba bardzo szybko wydać. Dlatego
firmy najpierw kupują co popadnie, a dopiero potem zastanawiają się, jak
to dopasować do własnej infrastruktury.
CRN Czyli przedsiębiorcy,
postępując zdroworozsądkowo, mogą zaoszczędzić?
Michał Mizgalski,
Be-In Z naszego doświadczenia wynika, że połowę problemów
związanych z bezpieczeństwem można zlikwidować za pomocą działań
organizacyjnych i wcale nie wymaga to kosztów. Wystarczy przemodelować
pewne procesy i, jeżeli ocena aktywów wymagających zabezpieczeń została
dokonana prawidłowo, efekty będą bardzo wyraźne.
Jakub Sieńko,
ed&r Ważne jest też to, aby ponoszone przez klienta wydatki na
rozwiązania ochronne były mniejsze niż koszty ewentualnego odwrócenia skutków
ataku. To klasyczny bilans tzw. korzyści utraconych, czyli działanie mające na
celu minimalizację szkód.
Franciszek Musiel,
Cloudware Na tematy wykorzystania
różnych rozwiązań ochronnych resellerzy i integratorzy oferujący usługi
powinni rozmawiać z zarządami firm, bo czasami jest to łatwiejsze
i skuteczniejsze niż rozmowa z przedstawicielami działów IT. Zresztą
zdarza się, że informatycy nawet proszą nas, abyśmy porozmawiali
z zarządem i przedstawili problem. Po prostu czasem nie mają
wystarczającej mocy, aby dotrzeć do managementu i przekonać decydentów
o sensowności inwestowania w określone rozwiązanie, a czasami od
takiej decyzji odwieść.
Michał Król,
Veracomp Już od kilku lat firmy IT pełnią funkcję edukacyjną.
Działom biznesowym tłumaczą, na czym polega zagrożenie, a działom IT
wyjaśniają, jak można mu zapobiec. Dzięki temu mają gwarancję pełnienia roli
zaufanych doradców i jeśli swoje zadanie wykonują dobrze, jeszcze długo
będą zarabiać duże pieniądze.
Michał Mizgalski,
Be-In Stanowczo jednak przestrzegam wszystkie firmy przed zbyt
wczesnym ogłaszaniem sukcesu w walce z zagrożeniami. Mimo że dobrze
się zabezpieczamy, cały czas jesteśmy w tyle za atakującymi. To jest
wojna, która nie została wypowiedziana. W zasadzie nosi znamiona
terroryzmu, bo nie toczy się przeciw konkretnej grupie osób. Mamy do czynienia
z coraz większą liczbą incydentów, których nie widać i które bardzo
trudno wykryć. A takie są najbardziej niebezpieczne. Resellerzy
i integratorzy powinni przekonać klientów, żeby zawsze zastanawiali się,
czy przypadkiem nagły spadek ich obrotów, pojawienie się bezpośredniej
konkurencji czy niemal identycznego produktu nie jest skutkiem kradzieży
własności intelektualnej. Takich przypadków było już wiele, a jeśli się
ich odpowiednio szybko nie wykryje, trzeba się liczyć nawet z bankructwem.
Pamiętajmy, że w dzisiejszych czasach nie mają sensu fizyczne włamania, bo
elektroniczne zdecydowanie prościej przeprowadzić, trudniej wykryć
i przynoszą więcej korzyści.
Artykuł Polityka bezpieczeństwa nie może trafić do firmowego archiwum pochodzi z serwisu CRN.
]]>