Bezpieczeństwo to jeden z najszybciej zmieniających się obszarów wyzwań w szeroko rozumianym zarządzaniu technologią, przewija się przez wszystkie aspekty działania organizacji. Już wkrótce startujemy z nową edycją Security Excellence - będziemy rozmawiali na tematy, którymi naprawdę żyją CIO. Na czym się skoncentrujemy?
Nowa mentalność
Jednym z wyzwań dla osób zarządzających obszarem technologii jest znalezienie sposobu na zaangażowanie biznesu w kwestie bezpieczeństwa, tak aby czuł się za nie współodpowiedzialny.
„Potrzebna jest zmiana mentalności organizacji czy wręcz całej kultury organizacyjnej i to niezależnie od wielkości przedsiębiorstwa czy branży. Odpowiedzialność za cyberbezpieczeństwo to nie jest domena jedynie IT czy działu security, ale całej firmy. Deklaratywnie większość, komunikuje, że bezpieczeństwo jest ważne ale rzeczywistość jest inna. Z moich obserwacji wynika, że w 95% firm bezpieczeństwo to sprawa wyłącznie jednego działu, biznes czy zarząd często uważają, że to nie ich problem. ” – mówi Tomasz Matuła, dyrektor programowy Security Excellence.
Bezpieczeństwo w cieniu ROI
CIO planując budżet często mierzą się z decyzją typu czy wydać więcej na nowoczesne platformy i narzędzia czy też na bezpieczeństwo i szkolenia w tym zakresie? Czy można mówić o bezpośrednim zwrocie z inwestycji w cyberbezpieczeństwo, a może raczej warto zastanowić się, w jaki sposób przekonać siebie (jako CIO), a później firmę i zarząd, że inwestycje w bezpieczeństwo mają sens? Warto spojrzeć na obszar security w podziale na trzy elementy: technologia, ludzie (kompetencje) i procesy w całej firmie. Na to nakładają się codzienne strategiczne i taktyczne tematy związane cybersecurity.
Oczekiwania biznesu są oczywiste – jak najszybciej wymyślić, przetestować i wdrożyć nowe rozwiązania. Bezpieczeństwo może taki proces spowalniać. „Często w modelu dev-sec-ops część „sec”, z różnych przyczyn, jest marginalizowana. Security czasami działa niezależnie od departamentu IT i wtedy CIO nie traktuje go priorytetowo. Często też CIO nie potrafią przekonać biznesu, jak ważna jest to kwestia, a presja biznesu utrzymania tempa wdrażania nowych rozwiązań jest zbyt duża. Wtedy świadomie rezygnują z presji na bezpieczeństwo. A przecież „ agile-owa” organizacja bez właściwie zaadaptowanego security jest tym samym czym jazda samochodem bez poduszek powietrznych i pasów bezpieczeństwa” – tłumaczy Tomek Matuła.
Dlatego tak ważna jest świadomość samego CIO, że element bezpieczeństwa musi być obecny od samego początku, we wszystkich projektach –powinniśmy zawsze kierować się zasadami Security by Design i Privacy by Design. Na to powinny się nakładać odpowiednie kompetencje ludzi i technologie, które pomagają w automatyzacji testów bezpieczeństwa, przyspieszają wprowadzanie funkcjonalności i usług do produkcji. To olbrzymi obszar i gigantyczne wyzwanie dla cyfrowych liderów.
Pod presją Smart Workplace
Zapewnienie komfortu pracownikom często decyduje o skutecznym działaniu całej firmy. Ludzie chcą funkcjonować w pracy tak jak funkcjonują poza nią jako konsumenci - chcieliby pracować bez ograniczeń, komfortowo, z dowolnego miejsca, mieć dostęp do wszystkich zasobów i aplikacji, najchętniej bez konieczności logowania się. To kolejny element presji na działy IT i CIO – konieczność upraszczania wszystkich rozwiązań, ułatwiania dostępu i podnoszenia elastyczności, przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa. To nie tylko kwestia technologii, ale zmiany podejścia.
„Dział bezpieczeństwa, choć często miewa takie zakusy, nie może zastopować tego typu działań, ale musi kreatywnie wymyślać, w jaki sposób dane usługi wdrożyć jak najbezpieczniej, zapewniając jednocześnie możliwie największy komfort korzystania z nich dla klientów czy pracowników. Powinien być proaktywnym partnerem a nie tylko strażnikiem „starego” porządku. Trzeba wspólnie znaleźć kompromis” – podkreśla Tomek Matuła. CSO powinien być nie stoperem, ale partnerem dla biznesu i IT w tworzeniu najlepszych rozwiązań.
„Czasem warto zwiększyć ryzyko, ale dać odbiorcom lepsze, łatwiejsze w użytkowaniu usługi. Banki np. zaczynają już wykorzystywać biometrię behawioralną, ponieważ upraszcza to użytkownikom życie i podnosi poziom bezpieczeństwa. To też wymaga zmiany mentalności CSO – wychodzą, w kontrolowany sposób poza swoją strefę komfortu” – uważa Tomasz Matuła.
Chmura już tu jest
Zmienia się podejście nie tylko do technologii, ale także do procesów i zarządzania IT. Internet staje się nową siecią korporacyjną, a cloud nowym Data Center. Przenoszenie części rozwiązań IT w organizacji do chmury jest nieuniknione i oczywiście generuje nowe wyzwania, związane z nowym podejściem do kontrolowania i monitorowania działania systemów. Konieczne jest pozyskiwanie nowych kompetencji pracowników, a z dostępnością specjalistów na rynku pracy jest wciąż ogromny problem.
Groźny Internet Wszechrzeczy
Lawinowo rośnie liczba urządzeń podłączonych od internetu, jednocześnie rozwiązania często są niedopracowane, niedoinwestowane. To kolejne wyzwanie dla osób odpowiedzialnych za obszar bezpieczeństwa. A w dobie przemysłu 4.0 szczególnie dotyczy to właśnie tego sektora. Dawniej całe gałęzie przemysłu były hermetycznie zamknięte, korzystano z niezależnych systemów. Teraz to się dramatycznie zmienia. Rozwiązania IoT są instalowane masowo, automatyzują wykrywanie awarii, przeciwdziałanie przestojom, obniżają koszty. To nowy, bardzo ważny obszar cybersecurity, w którym wciąż jesteśmy na etapie eksperymentów, brakuje nam doświadczenia. Doskonale wiedzą o tym także osoby odpowiedzialne za bezpieczeństwo np. w branży energetycznej czy inteligentnych rozwiązań w miastach – na świecie rośnie liczba cyberataków skierowanych na te systemy. Np. w lipcu 2019 atak typu ransomware na wiele godzin wyłączył sieć przesyłową jednego z największych dostawców elektryczności w Johannesburgu. Tego typu ataki zdarzają się też w miastach w USA, które zresztą często decydują się na zapłacenie przestępcom okupu.
Dane wysokiego ryzyka
Firmy działają w globalnej przestrzeni, w związku z tym rośnie ryzyko związane z wyciekiem danych, coraz trudniej jest je zabezpieczać. A w grę wchodzi bezpieczeństwo ludzi, marketingowe, reputacyjne. Skutki wycieku mogą w skrajnym przypadku spowodować nawet bankructwo całej organizacji.
Nie jesteśmy przygotowani do bezpiecznego korzystania z sieci 5G, która staje się już rzeczywistością. To zupełnie nowe wyzwania dla CIO. „W telekomunikacji wszystko staje się softwarem, co ułatwia pracę cyberprzestępcom. Tradycyjne, zamknięte rozwiązania były bardziej odporne, trudniej było się włamać jeśli były odpowiednie zabezpieczenia. 5G wiąże się również z olbrzymimi transmisjami danych, dużymi prędkościami przesyłu. Oznacza to jednocześnie, że łatwiej jest łatwiej ukryć złośliwy kod i na skalę masową prowadzić ataki” – tłumaczy Tomasz Matuła.
Ważne jest wdrożenie w firmie dobrych nawyków, zapewnienie odpowiednich szkoleń, uczenie odporności na ataki socjotechniczne. To wymaga współpracy na poziomie całej organizacji. „Nie da się w 100% chronić żadnej firmy przed atakami i wyciekami. Przestępcy działają tak samo dobrze jak my, wykorzystując nowe technologie. Zatem, jak skutecznie i dobrze monitorować to, co dzieje się w firmie, aplikacjach, sieci, żeby przeciwdziałać wyciekom danych czy atakom hakerskim? Jak przygotować siebie, systemy, pracowników, aby jak najszybciej wykryć gdy dzieje się coś złego i zminimalizować negatywne skutki? To bardzo ważne i obszerne zagadnienia. Konieczna jest taka organizacja procesów w firmie, aby skutecznie wykrywać wycieki danych i ataki hakerskie oraz jak najszybciej minimalizować ich skutki. Security Operation Center, działający 24 godz. na dobę, własny czy powierzany wyspecjalizowanej firmie jest koniecznością dla większości firm. Jednocześnie trzeba zadbać o ciągłą edukację i awarness wszystkich pracowników w zakresie cyberzagrożeń, ich minimalizacji i wykrywania. Praktyka pokazuje, ze to człowiek zazwyczaj jest tym najsłabszym ogniwem.
Przepis na bezpieczeństwo w firmie? Tylko holistyczne podejście: rozwiązania powinny być budowane zgodnie z zasadą security by design i dobrze funkcjonującym dev-sec-ops, systemy projektowane tak, aby umożliwiły jednocześnie skuteczny monitoring cyberzagrożeń, a cała organizacja czuła się odpowiedzialna za bezpieczeństwo.” – podsumowuje Tomasz Matuła.
Rozmowy o cyberbezpieczeństwie będzemy kontynuować podczas serii spotkań Security Excellence, zapraszamy do rejestracji: www.securityexcellence.pl
Marszałkowska 18 lok 5
00-590 Warszawa
office@degroup.pl