Odporność priorytetem
Brak wdrożonych reguł polityki bezpieczeństwa zwiększa ryzyko narażenia firmy na zagrożenia. Jest to szczególnie ważne obecnie, gdy głównym celem działań w zakresie ochrony cyfrowych środowisk staje się budowanie ich odporności na najbardziej nawet nieprzewidywalne ataki.
Niezbędny jest plan odpowiedniego zagospodarowania potencjału zakupionych narzędzi czy usług.
Wspólne zasady
Z badania Gartnera wynika, że 88 proc. zarządów największych światowych firm postrzega słabą odporność cyfrową nie tylko jako ryzyko technologiczne, ale przede wszystkim biznesowe. Pytanie, w jaki sposób zadanie jej wzmacniania jest lub może być realizowane.
Według uczestników badania Cisco wsparcie ze strony kadry kierowniczej oraz przestrzeganie przez pracowników odpowiednich zasad postępowania to dwa z trzech najważniejszych czynników pomagających w osiągnięciu cyberodporności. Jej wzmacnianiu dobrze służy również posiadanie zespołu reagowania na incydenty. Zdaniem ekspertów firmy Kyndryl, w tym roku można oczekiwać pojawienia się w firmach nowego stanowiska: Cyber Resilience Officers. Pod tym pojęciem kryją się specjaliści odpowiedzialni za rozwijanie cyfrowej odporności przedsiębiorstwa.
Fundamentem dla budowania cyfrowej odporności jest jednak przede wszystkim dobrze przemyślana i dokładnie opracowana polityka bezpieczeństwa przedsiębiorstwa. To ona określa zasady postępowania z firmowymi zasobami, w tym reguły posługiwania się systemami teleinformatycznymi służącymi do przetwarzania ważnych danych. Chodzi o to, by nie dopuścić do sytuacji niosących zagrożenie lub w jak największym stopniu zminimalizować ryzyko ich wystąpienia. W polityce tej powinny zostać również wskazane działania, które należy podjąć w sytuacji naruszenia systemów ochronnych. Sposoby reagowania powinny być tak pomyślane, aby ograniczyć do minimum skutki incydentu, pozwalając jednocześnie firmie na kontynuację sprawnego funkcjonowania.
Polityka cyberbezpieczeństwa określa główne zasady i kierunki działania firmy dla zapewnienia nienaruszalności jej zasobów informacyjnych. Tym samym przedstawia zasady budowania jej cyberodporności. Co ważne, wskazuje w tym obszarze role oraz zadania dla wszystkich uczestników procesów biznesowych w przedsiębiorstwie. Obejmuje swym zasięgiem wszystkich pracowników, od zarządu po szeregowych członków zespołów. Może to być zrealizowane na przykład poprzez określenie rodzajów informacji, do których poszczególne grupy użytkowników mogą mieć dostęp i wskazanie dla każdej z nich zakresu przetwarzania danych.
Stała weryfikacja
Zdaniem ekspertów brak przejrzystych reguł ochrony własnych zasobów przyczynia się do większej podatności na ataki. Ich skutki mogą być na dodatek w takiej sytuacji bardziej dotkliwe niż w przedsiębiorstwach, które dysponują wypracowanymi, obowiązującymi jednakowo wszystkich zasadami, metodami, narzędziami, procedurami i praktykami dotyczącymi bezpieczeństwa.
Należy jednak pamiętać o konieczności stałej weryfikacji zawartych w regułach polityki założeń i rozwiązań. Trzeba je dostosowywać do wciąż zmieniających się warunków działalności biznesowej i wynikających z nich zagrożeń. Ważne jest, aby do ich aktualizacji wykorzystywać doświadczenia z realizacji dotychczasowych działań związanych z zapewnieniem firmie bezpiecznych warunków działania. Analiza skuteczności stosowanych rozwiązań pozwoli na dobranie optymalnych reguł, metod i narzędzi.
Szczególnie przydatny przy tworzeniu wytycznych może być audyt firmowych procedur ochronnych. Daje on możliwość sprawdzenia czy przedsiębiorstwo ma wypracowane zasady bezpiecznego korzystania z używanych rozwiązań i na ile faktycznie sprawdzają się w praktyce. Reguły polityki powinny bowiem odnosić się do realnych, dających się zastosować w codziennej działalności zasad i narzędzi, a nie wymyślonych teoretycznie rozwiązań, w oderwaniu od firmowych realiów.
Ze względu na rosnące znaczenie usług chmurowych w firmach szczególną uwagę należy dzisiaj zwrócić na zasady bezpiecznego korzystania z bazujących na nich środowisk. Trzeba je ocenić i zweryfikować pod kątem aktualnych wyzwań biznesowych i możliwości technologicznych. Z kolei w związku z upowszechnieniem się na dużą skalę zdalnego i hybrydowego modelu pracy, specjalnej ocenie powinny zostać poddane również zasady dostępu do firmowych zasobów. Użytkownicy firmowych systemów informatycznych powinni dostać jasne, dokładne wskazania, kiedy, na jakich warunkach i w jakim zakresie mogą z nich korzystać, w tym szczególnie w modelu home office.
DORA wzmocni finanse W styczniu br. weszło w życie unijne rozporządzenie dotyczące operacyjnej odporności cyfrowej branży finansowej, tzw. DORA (Digital Operational Resilience Act). Obejmuje ono: banki, firmy ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne, podmioty z obszaru finansów cyfrowych, w tym fintechy, instytucje płatnicze i pieniądza elektronicznego, a także dostawców różnych rozwiązań technicznych, w tym usług chmurowych i innych. Wszyscy mają czas na przystosowanie się do nowych wymogów do stycznia 2025 r. (więcej na ten temat w artykule „Rozporządzenie DORA: nowe wytyczne dla ICT”). Cyfrowa odporność operacyjna oznacza tu zdolność do utrzymania ciągłości działania oraz najwyższej jakości świadczonych usług w obliczu potencjalnych zagrożeń, które mogą mieć wpływ na funkcjonowanie wykorzystywanych rozwiązań IT. Podmioty, których dotyczy rozporządzenie, są zobowiązane do systematycznej kontroli systemów i narzędzi informatycznych, by zapewnić sobie i swoim klientom najwyższy poziom cyberbezpieczeństwa. Do szczegółowych zadań należy identyfikowanie źródeł potencjalnych ataków, wykrywanie podejrzanych operacji czy też raportowanie incydentów. DORA nakłada na podmioty podlegające nowym regulacjom również obowiązek wdrożenia strategii zapobiegania i przeciwdziałania zagrożeniom.
Prosto i wyraźnie Należy pamiętać, by wynikające z założeń polityki bezpieczeństwa reguły postępowania były proste, przejrzyste i zrozumiałe dla wszystkich pracowników. Jak pokazało badanie Cisco, doświadczenia użytkowników mają kluczowe znaczenie dla skutecznego wdrożenia reguł postępowania. Pracownicy nie lubią czasochłonnych procedur i skomplikowanych rozwiązań. Należy zatem mieć na uwadze, że przez wielu użytkowników wprowadzane reguły postępowania są wciąż uznawane za niepotrzebnie obciążające, obniżające efektywność działania i tym samym zabierające cenny czas. Oprócz oferowania im nieskomplikowanych, a jednocześnie skutecznych rozwiązań, trzeba myśleć jednocześnie o odpowiednich szkoleniach z dziedziny cyberbezpieczeństwa. One też mogą wspomóc proces wdrażania zasad ochrony cyfrowych zasobów.
Podobne artykuły
Od kontroli do imitacji
Wielorakość potrzebnych form ochrony poufnych danych daje integratorom wiele możliwości działania. Do nowych wyzwań należy uwzględnienie skutków wykorzystania sztucznej inteligencji.
EDR może być skuteczny i wydajny
Na początku tego roku do portfolio Acronis trafiło kolejne narzędzie ochronne – Advanced Security + EDR. Wysoki poziom automatyzacji, duża skalowalność oraz łatwość użycia umożliwiają teraz integratorom świadczenie usług cyberbezpieczeństwa także na rzecz mniejszych podmiotów.
Dane w trendzie wzrostowym
Wartość danych wzrasta, a wraz z nią koszty związane z ich zabezpieczaniem. Firmy w najbliższych latach będą musiały udźwignąć ten ciężar.