Z obserwacji i doświadczeń, jakie Ewa Piłat, zarządzająca globalnym zespołem ds. cyberbezpieczeństwa w DWS Group, Członkini Rady Programowej Security Excellence, zebrała w wielu organizacjach, wynika, że im bardziej dojrzała jest organizacja, tym większa jest świadomość roli i znaczenia bezpieczeństwa w aspekcie biznesowym. Konsekwencją jest to, gdzie ulokowana jest w strukturach jednostka ds. bezpieczeństwa, w jaki sposób skonstruowane są linie raportujące, czy bezpieczeństwo jest zapraszane do rozmów na tematy dotyczące strategii biznesowej, wreszcie czy budżet na bezpieczeństwo jest wydzielony czy współdzielony.

REKOMENDACJE

• Strategię bezpieczeństwa buduje się na podstawie strategii biznesowej, pokazując jaką wartość może mieć dla biznesu, na jakich etapach angażować bezpieczeństwo w różne procesy inwestycyjne i biznesowe.
• Biznes nie lubi być zastraszany - lepszy jest pozytywny przekaz poprzez pokazywanie wartości, jaka powstaje przy udziale bezpieczeństwa.
• Wciąż niedocenianym tematem jest bezpieczeństwo szeroko rozumianego łańcucha dostaw, na który składają się wszyscy partnerzy, podwykonawcy, dostawcy wszelkich usług.
• Kluczowe jest zaangażowanie bezpieczeństwa jeszcze zanim zapadnie ostateczna decyzja o migracji do chmury.
• Chmura nie może być odwzorowaniem jeden do jednego środowiska on-prem, a rolą bezpieczeństwa jest zastopować takie myślenie.
• Firmy będą różnie postrzegać sytuację kryzysową i to, co może być kryzysem, musi zdefiniować biznes. Rolą bezpieczeństwa jest wspomóc biznes w wychodzeniu z kryzysu.
• Wszystko w cyberbezpieczeństwie sprowadza się do tego, żeby poradzić sobie z kryzysem, kiedy nadejdzie, gdy zdarzy się incydent.

STRATEGIA

Chcąc zbudować w organizacji cyberbezpieczeństwo w sposób dojrzały, nie należy zaczynać od określania budżetu, ilu potrzeba ludzi, jaka ma być technologia.

To musi działać w drugą stronę. Najpierw buduje się strategię bezpieczeństwa na podstawie strategii biznesowej. Pokazując jaką wartość może mieć dla biznesu. Na jakich etapach angażować bezpieczeństwo w różne procesy inwestycyjne i biznesowe. Dopiero na końcu pokazując, co potrzebujemy, żeby to zrealizować – mówiła Ewa Piłat.

W dodatku biznes nie lubi być zastraszany. Nie lubi podejścia: jak nie dacie na bezpieczeństwo, to stanie się coś złego. Lepszy jest pozytywny przekaz poprzez pokazywanie wartości, jaka powstaje przy udziale bezpieczeństwa. Takim pozytywnym przekazem jest pokazanie, jak dzięki bezpieczeństwu migracja do chmury może być szybsza i skuteczniejsza. W tym wypadku błędem jest straszenie, że przejście do chmury będzie generować same problemy. Jeśli biznes będzie wiedział, że bezpieczeństwo wspiera jego działania, sam będzie przychodził, żeby to wsparcie uzyskać. Kluczem jest więc pokazywanie wartości z bezpieczeństwa językiem biznesowym.

BEZPIECZEŃSTWO ŁAŃCUCHA DOSTAW

Wciąż niedocenianym tematem jest bezpieczeństwo szeroko rozumianego łańcucha dostaw, na który składają się wszyscy partnerzy, podwykonawcy, dostawcy wszelkich usług. Nie mamy bezpośredniego wpływu na to, jak dostawca zabezpiecza dane nasze czy dane naszych klientów. Z drugiej strony mamy pewne narzędzia, które dają nam kontrolę.

Pierwszym środkiem kontroli są specyficzne zapisy w umowach z dostawcami, gdzie powinny być bardzo jasno sformułowane klauzule bezpieczeństwa. Przykładowo, kiedy dostawca jest zobowiązany poinformować nas o incydencie oraz w jaki sposób powinien być zgodny z naszymi wymaganiami i jak to może być weryfikowane. Drugą, bardziej praktyczną rzeczą jest weryfikacja dostawcy, nie tylko przed podpisaniem umowy, ale także w trakcie jej trwania. Może to w przypadku kluczowych dostawców polegać nawet na prawie do wykonywania testów penetracyjnych. Można też wymagać miesięcznych raportów o podatnościach wraz z planem działania w zakresie ich usuwania – tłumaczyła Ewa Piłat.

BEZPIECZEŃSTWO W CHMURZE

Ważnym tematem jest bezpieczeństwo w chmurze i to w dwóch wymiarach. Pierwszy dotyczy wszystkich aspektów związanych z migracją biznesu do chmury i koniecznością zabezpieczenia tego, drugi wiąże się z wyniesieniem samego bezpieczeństwa do chmury. Ponieważ zdecydowana większość polskich firm wciąż posiada rozwiązania on-prem środowisko nie tylko się nie upraszcza, ale komplikuje. Jak w związku z tym powinna zmieniać się architektura bezpieczeństwa?

Chociaż nie wszyscy jeszcze z tym się zgadzają, to nie ma wątpliwości, że chmura jest przyszłością. I to bliską a nie daleką. Zabezpieczenie migracji utrudnia to, że ogromna większość firm nie ma komfortu budowania swojego IT od zera. W zależności jaki to będzie rodzaj chmury - IaaS, PaaS czy SaaS - będą potrzebne inne kontrole bezpieczeństwa i zakres tego, za co my będziemy odpowiadać, a za co dostawca usługi. Kluczowe jest zaangażowanie bezpieczeństwa jeszcze zanim zapadnie ostateczna decyzja o migracji do chmury – mówiła Ewa Piłat.

Co ważne, organizacja, która ma już cześć on-prem, powinna wystrzegać się migracji typu lift and shift. Chmura nie może być odwzorowaniem jeden do jednego środowiska on-prem, a rolą bezpieczeństwa jest zastopować takie myślenie. Ważna jest analiza, jakie niebezpieczeństwa wynikają z migracji i co powinno być zrobione choćby w planie koniecznego minimum, żeby można było ją w efektywny sposób przeprowadzić. Dlatego bezpieczeństwo musi być zaangażowane na wczesnym etapie tworzenia planów chmurowych.

GDY NADEJDZIE KRYZYS

Ostatecznie wszystko w cyberbezpieczeństwie sprowadza się do tego, żeby poradzić sobie z kryzysem, kiedy nadejdzie, gdy zdarzy się incydent. A kryzys przychodzi wtedy, kiedy nie jesteśmy na niego przygotowani. Wszystko inne można sobie zaplanować - po to są procedury, po to jest plan Business Continuity. W cyberbezpieczeństwie rosnąca liczba ataków zero-day pokazuje, że nie wszystko można zaplanować, nie wszystko opisać sygnaturami.

Trzeba wychodzić poza standardowe działania, w czym istotny jest dobór ludzi, którzy będą potrafili zareagować na niespodziewane zdarzenia.

LESSONS LEARNED SPOŁECZNOŚCI SECURITY EXCELLENCE
Więcej informacji o programie: https://www.cionet.com/security