Politykę bezpieczeństwa powinna mieć każda firma, która poważnie myśli o ochronie danych i zasobów, infrastruktury IT oraz zapewnieniu ciągłości biznesowej. Przy czym dokument musi zawierać nie tylko opis rozwiązań dotyczących ochrony przed cyberzagrożeniami i minimalizowania ich skutków. Ważne jest także, by określał zasady postępowania w sytuacjach kryzysowych zarówno działu IT, jak też zarządu i pracowników. Niestety, wiele firm dysponuje takim dokumentem tylko po to, by spełnić wymogi prawne lub regulacje wewnętrzne. Jednak jeśli nawet tak nie jest, to samo wdrożenie opisanych w nim rozwiązań i procedur nie wystarczy, aby zapewnić firmie należytą ochronę. 

Polityka bezpieczeństwa powinna być stale aktualizowana i dopasowywana do aktualnych uwarunkowań oraz szacowanego ryzyka, w czym mogą pomóc przedsiębiorcom integratorzy. Ich zadaniem jest uświadomienie klientom, że istotnym elementem planu ciągłości działania powinny być okresowe testy procedur i należy je przeprowadzać w zasadzie na „żywym organizmie”, by móc zweryfikować, czy rzeczywiście są skuteczne. 

Pożytki z posiadania dobrze przygotowanej, stosowanej na co dzień polityki bezpieczeństwa, unaoczniła pandemia koronawirusa. Przedsiębiorstwa, które dysponowały sprawnie funkcjonującym systemem zarządzania cyberbezpieczeństwem, łatwiej poradziły sobie z nowymi wyzwaniami i koniecznością szybkiego dostosowania modelu działania do nowych realiów z zachowaniem niezbędnych warunków bezpieczeństwa.

Pandemia pokazała, że otoczenie biznesowe może się zmienić w błyskawicznym tempie, stawiając firmy przed koniecznością zmian w sposobie funkcjonowania. Niektórzy widzą w tym opisywany przez Nassima Taleba klasyczny przypadek pojawienia się tzw. czarnego łabędzia. Inni uważają, że powstał nowy paradygmat prowadzenia przedsiębiorstwa, wymagający umiejętności utrzymania konkurencyjności i zapewnienia ciągłości działania w czasach narastającej niepewności – mówi Ireneusz Piecuch, partner zarządzający w kancelarii prawnej IMP.

Zarówno w jednym, jak i drugim przypadku ważne jest, by polityka bezpieczeństwa zawierała zestaw podstawowych, uniwersalnych reguł reagowania i działania również na wypadek nowych, pojawiających się nagle okoliczności i wydarzeń, których nie sposób było przewidzieć wcześniej. 

 

Przygotowani na nieprzewidywalne  

Podczas budowania polityki bezpieczeństwa firmy uwzględniają przede wszystkim doświadczenia z wydarzeń, które już miały miejsce. Dlatego integrator, który pomaga klientowi w tym procesie, powinien przeprowadzić dokładną analizę istniejącego ryzyka, bo stanowi to podstawę polityki bezpieczeństwa. Warto uczulić klienta na fakt, że musi brać pod uwagę również sytuacje, które dopiero mogą nastąpić.

Trzeba prognozować w miarę możliwości rozwój wydarzeń i oceniać, jakie zagrożenia mogą one spowodować dla przedsiębiorstwa. Oczywiście wszystkiego dokładnie przewidzieć się nie da. Nie oznacza to jednak, że mając właściwie opracowaną politykę bezpieczeństwa, przedsiębiorstwo pozostanie bezradne wobec takich sytuacji, jak pojawienie się „czarnego łabędzia” – podkreśla płk dr Piotr Potejko, doradca zarządu ds. bezpieczeństwa w Deloitte. 

Według niego każda polityka bezpieczeństwa powinna uwzględniać sposoby reagowania na sytuacje podobne do tych, które spowodowała pandemia koronawirusa. Tym bardziej, że część firm miała już doświadczenia z poważnymi sytuacjami kryzysowymi, w tym z pożarami czy katastrofami naturalnymi, które wymuszały zamykanie biur. Ich skutki nie miały, w kontekście globalnym, tak dużej skali jak obecnie, ale również wymagały szybkich, skutecznych decyzji gwarantujących ciągłość prowadzenia biznesu.

Awaryjne przenoszenie pracy i związanych z nią procesów do środowisk zdalnych nie stanowi więc dla wielu firm zupełnej nowości. Również wiele innych procedur reagowania, przećwiczonych wcześniej i zapisanych w politykach bezpieczeństwa, pozwoliło przedsiębiorcom skutecznie sprostać wyzwaniom, które pojawiły się wraz z pandemią. Pozostali zaś mocno odczuli wcześniejszy brak wyobraźni. 

Gdy firma nie jest przygotowana na działanie w sytuacji zagrożenia, zarząd może działać jedynie reaktywnie, minimalizując jej skutki i ograniczając ryzyko podejmowanych działań. Ale po to właśnie jest polityka bezpieczeństwa, aby przedsiębiorstwo było przygotowane do przyszłych, jeszcze nie znanych, nie tylko zresztą globalnych, zdarzeń, które mogą je zmusić do zmiany modelu operacyjnego w sferze IT – podkreśla Grzegorz Sadziak, architekt bezpieczeństwa IT w Komputronik Biznes. 

Potwierdza to Michał Myśliwiec, administrator systemów informatycznych w Unima 2000. Zwraca uwagę, że działając w stresie bez planu, ludzie mogą popełniać błędy powiększające skalę problemu. Przy czym, rzecz jasna, nie wszystko da się przewidzieć i czasem sytuacja może wszystkich zaskoczyć. Wtedy trzeba reagować na bieżąco, a podejmowane działania warto podzielić na dwa obszary: techniczny oraz organizacyjny. Obszar techniczny to chociażby dostosowanie infrastruktury sieciowej i innych zasobów informatycznych do panujących okoliczności oraz zmiany w sposobie świadczenia usług przez firmę. Równie ważny obszar organizacyjny powinien obejmować przebieg wszystkich procesów zachodzących w firmie oraz metody wzajemnej komunikacji – od telefonów i e-maili, przez komunikatory, do zaawansowanych systemów pracy grupowej. Nie należy zapominać także o stronie formalnej, czyli opisaniu podejmowanych działań oraz udokumentowaniu przeprowadzonej analizy ryzyka. 

 

 

Trzy pytania do…

Ireneusza Piecucha, partnera zarządzającego w kancelarii prawnej IMP

Pandemia zmusza firmy do podejmowania  szybkich decyzji i działania w warunkach dużej niepewności. Jakie przepisy dotyczące cyberbezpieczeństwa należy brać pod uwagę w takiej sytuacji?

Wystąpienie skutków siły wyższej nie zawsze pozwala na przyjęcie założenia, że nastąpiło zwolnienie przedsiębiorstwa z realizacji ciążących na nim obowiązków prawnych w zakresie zapewnienia bezpieczeństwa danych czy systemów. Tu należy pamiętać przede wszystkim o przepisach dotyczących ochrony danych osobowych, ale także cyberbezpieczeństwa, w  tym Cybersecurity Act oraz ustawie o krajowym systemie cyberbezpieczeństwa. Ważne są też przepisy sektorowe, jak ustawa o świadczeniu usług drogą elektroniczną czy Prawo telekomunikacyjne. Wreszcie, nie należy zapominać o przepisach antykryzysowych, w tym ustawie o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2. Wskazówek do wprowadzania zabezpieczeń można też szukać w wytycznych organów nadzorczych, jak chociażby w komunikacie KNF w zakresie przetwarzania danych w chmurze, stanowisku ENISA, bądź zaleceniach Europejskiego Urzędu Nadzoru Bankowego.

Jednym z najważniejszych wyzwań stało się przestawienie na telepracę. Jak firmy sobie z tym radzą?

Pandemia COVID19-to wydarzenie bez precedensu, ale nie jest ani pierwszym, ani zapewne ostatnim, które skutkuje zagrożeniami związanymi z funkcjonowaniem w otoczeniu cyfrowym. Teoretycznie przedsiębiorstwa powinny być przygotowane do radzenie sobie z nimi. W praktyce jednak wiele firm postawionych wobec przestawienia działalności na telepracę ze zdumieniem zaczęło dostrzegać wiele zagrożeń do niedawna jeszcze, zapewne głównie ze względu na skalę zjawiska, niezauważanych. Przykładowo: jak zapewnić bezpieczeństwo informacji w sytuacji korzystania przez pracownika z własnego terminala? Kto jest odpowiedzialny za zabezpieczenie domowego routera? Czy licencje, które ma przedsiębiorstwo (np. na program antywirusowy), mogą być wykorzystywane na komputerach należących do pracownika?

Gdzie w takim razie firmy mogą szukać pomocy i na czym bazować, żeby zminimalizować skutki wystąpienia nagłych, nieprzewidzianych sytuacji?

Z naszych doświadczeń wynika, że najlepsze wskazówki odnaleźć można w normie ISO/IEC 27000:2017. Nie trzeba jej nawet wdrażać w  całości. Wystarczy czytać ze zrozumieniem i wyciągać wnioski. Wniosek pierwszy: nie ma mowy o systemie zarządzania bezpieczeństwem informacji bez zaangażowania i przywództwa ze strony kierownictwa firmy. Wniosek drugi: polityki ochrony informacji nie tworzą szefowie bezpieczeństwa czy też szefowie IT. To zadanie spoczywające na barkach kierownictwa firmy. To zarząd definiuje cele przedsiębiorstwa i jest w stanie zapewnić odpowiednie środki i zasoby na wdrożenie koniecznych rozwiązań. Wniosek trzeci: kluczową rolę w wypracowaniu odpowiednich rozwiązań powinien odgrywać proces szacowania ryzyka. Od jego wyników w głównej mierze zależy podjęcie konkretnych decyzji o tym, jakie informacje i w jaki sposób powinny być chronione oraz jaki jest poziom akceptacji dla ryzyka rezydualnego.

 

 

Poligon doświadczalny

Mimo trudności z tym związanych, warto mieć na uwadze, że warunki wymuszone przez koronawirusa dały firmom sposobność do przetestowania przyjętych rozwiązań i weryfikacji wypracowanych założeń polityki bezpieczeństwa.

Na poznanie skuteczności wielu rozwiązań nie trzeba będzie długo czekać, obecnie na bieżąco można sprawdzać zasadność podejmowanych decyzji i skuteczność wdrażanych narzędzi. Warto by firmy wykorzystały ten poligon doświadczalny do budowania jeszcze skuteczniejszej polityki bezpieczeństwa na przyszłość – mówi Piotr Potejko.

Nabyte w ten sposób doświadczenia mogą okazać się niezwykle cenne i użyteczne nie tylko podczas powrotu do funkcjonowania firmy po ustąpieniu pandemii, ale też w szerszej perspektywie zachodzących właśnie procesów transformacji cyfrowej. Oczywiście same dokumenty i procedury nie wystarczą. Zachowanie ciągłości działania wiąże się z posiadaniem redundantnej infrastruktury informatycznej, odpowiednimi systemami kopii zapasowej itp. Według specjalistów czasami warto poszukać nowych narzędzi informatycznych, chociażby migrując do rozwiązań chmurowych, które w mniejszym stopniu są zależne od dostępności lokalnej infrastruktury. I nie chodzi przy tym o wdrażanie rozwiązań na zapas. Inwestowanie w nowe zabezpieczenia czy technologie „na wszelki wypadek” nie ma uzasadnienia biznesowego. Niezbędnym staje się natomiast posiadanie gotowych i przetestowanych procedur zmian modelu operacyjnego IT, ścieżek szybkich zakupów niezbędnego sprzętu i oprogramowania oraz zapewnienia użytkownikom dostępu do wsparcia IT w czasie kryzysu. To jest także zadanie do odrobienia dla integratorów. Na podstawie planów awaryjnych opracowanych z zespołami IT u klientów, powinni przygotować się na szybką i sprawną reakcję w sytuacji kryzysowej. Tego oczekują użytkownicy już teraz i będą oczekiwać w jeszcze większym stopniu w przyszłości.

 

Zdaniem integratora

Grzegorz Sadziak, architekt bezpieczeństwa IT, Komputronik Biznes

Utrzymanie ciągłości działania w czasach pandemii jest dużym wyzwaniem dla działów IT, zazwyczaj przygotowanych na bardziej lokalne problemy. Przeniesienie stanowisk pracy poza siedzibę firmy odsuwa użytkowników od firmowych systemów bezpieczeństwa, serwisu sprzętu i wsparcia IT. Wymaga to szybkich inwestycji w oprogramowanie i sprzęt oraz opracowania prawidłowych procedur w nieprzygotowanych do takiej sytuacji działach IT. Dla integratora najważniejszym zadaniem jest znalezienie rozwiązań bezpiecznych, wydajnych, łatwych i szybkich we wdrożeniu oraz nie rujnujących budżetu klienta. W sytuacji, kiedy zespoły IT muszą reagować niemal z godziny na godzinę, łatwość i szybkość wdrożenia oraz późniejsza stabilność rozwiązania ma kluczowe znaczenie. W przyszłości w wielu firmach niezbędne będzie opracowanie i przetestowanie procedur szybkich zmian modelu operacyjnego IT na czas kryzysu.

Michał Myśliwiec, administrator systemów informatycznych, Unima 2000

Elementem polityki bezpieczeństwa powinien być dobrze opracowany plan ciągłości biznesowej (BCP – Business Continuity Plan), który zakłada proaktywną postawę. Takie właśnie prewencyjne działania staramy się od lat wprowadzać w firmie. Jednym z obszarów jest gotowość do pracy zdalnej, rozumiana nie tylko jako zabezpieczenie infrastruktury technicznej, ale również jako gotowy zbiór procesów z tym związanych. Ten model był już wielokrotnie, choć na nieco mniejsza skalę, wykorzystywany przez nas w codziennej pracy. Dzięki temu wiemy, że kluczowa jest ścisła współpraca tych osób, które mają wpływ na infrastrukturę i procesy zachodzące w przedsiębiorstwie: działu IT, inspektora ochrony danych, kierownictwa i zarządu. Tworząc politykę bezpieczeństwa wychodzimy od procesów i wdrażania odpowiednich rozwiązań technicznych. Równolegle opracowywane są procedury, instrukcje oraz wykonywana jest analiza ryzyka. Te wszystkie elementy dają nam całościowe ujęcie tematu. Na uwadze należy mieć nie tylko skuteczność realizacji procesu, ale również niezawodność i bezpieczeństwo.

 

 

 

Zdaniem specjalisty

Jolanta Anders, Software and Cloud Business Unit Manager, Tech Data

Jednym z największych wyzwań dla firm jest rzetelna ocena poziomu bezpieczeństwa ich systemów IT. Jej przeprowadzenie niestety nie jest proste, a większość raportów tworzonych przez rozwiązania ochronne jest pełna żargonu i trudnych do zrozumienia informacji. Nie nadają się przez to do okazania członkom zarządu, jako umotywowanie potrzeby wdrożenia nowych systemów zabezpieczających. Dlatego rekomendujemy skorzystanie z rozwiązań podsumowujących stan bezpieczeństwa IT w fi rmie w uproszczony sposób, niejako na zasadzie grywalizacji, które przyznają punkty za spełnienie wymogów z listy zawierającej przykłady najlepszych praktyk z zakresu cyberochrony.

Płk. dr Piotr Potejko, doradca zarządu ds. bezpieczeństwa, Deloitte

Doświadczenia wyniesione z działań w warunkach spowodowanych pandemią koronawirusa SARS-CoV-2 pokazały, jak ważne jest budowanie odporności fi rmy, z polityką bezpieczeństwa jako fundamentem. Przedsiębiorstwa, które miały ją zdefi niowaną i stosowały się do niej w praktyce, lepiej poradziły sobie z wyzwaniami dotyczącymi konieczności szybkiego podejmowania decyzji pod presją zagrożeń. Łatwiej było im chociażby przygotować zasoby i wdrożyć procedury związane z przejściem na pracę zdalną. Trzeba jednak już teraz myśleć o budowaniu scenariuszy na przyszłość. Pomocne będzie przygotowanie się na powrót do normalności. Chociażby w kontekście zmiany formy pracy. Wiąże się ona nie tylko z powrotem pracowników do biur, ale też z nowymi wyzwaniami w zakresie organizacji funkcjonowania fi rmy i wynikającymi stąd zadaniami, także w zakresie cyberbezpieczeństwa. Tym bardziej, że według prognoz tylko część pracowników wróci do fi rm, a reszta już na stałe będzie pracować zdalnie. Zapewnienie ciągłości działania wymaga obecnie reagowania na bieżąco, a więc podejmowania decyzji pod wpływem sytuacji, jaka się tworzy z dnia na dzień. Trzeba też jednak pamiętać, by stale weryfi kować założenia polityki bezpieczeństwa i zmieniać je z myślą o tym, co będzie dalej. Ważne jest też wykorzystywanie nowych doświadczeń, nabytych w trakcie pandemii.