CXO HUB CyberSec Chapter: Za i przeciw usługom bezpieczeństwa (relacja ze spotkania)

Przeczytasz w 9 min

Podczas kwietniowego spotkania cyklu CyberSec Chapter dyskutowaliśmy mocne i słabe strony modelu usługowego w cyberbezpieczeństwie. Punktem wyjścia do dyskusji były wyniki kolejnej ankiety CXO Insight – tym razem poświęconej CyberSec-as-a-Service (CSaaS).

FOTO: Fabrizio65 / Pixabay.com

W spotkaniu 13 kwietnia udział wzięło blisko 60 osób. W pierwszej części o uwarunkowaniach modelu adaptacji CSaaS mówił Piotr Kalbarczyk, dyrektor cyberbezpieczeństwa w PKO Banku Polskim. Następnie wraz z Łukaszem Nawrockim, inżynierem bezpieczeństwa z Trecom oraz Aleksandrą Rybak, CyberSec Sales Specialist z Cisco Systems komentowali wyniki CXO Insight poświęconego CSaaS. Wyniki te dyskutowali także uczestnicy CXO HUB CyberSec Chapter.

Strategiczna decyzja o adaptacji modelu usługowego

Zdecydowana większość uczestników naszego badania postrzega jako władnych do podjęcia decyzji o adaptacji modelu usługowego w bezpieczeństwie menedżerów obszarów technologii, odpowiedzialnych za CyberSec, tj. CSO, CISO lub CIO/CTO, w sytuacji, gdy organizacyjnie podlega mu CSO/CISO.

Aleksandra Rybak podjęła się porównania tego zagadnienia do sytuacji na innych rynkach, na których działa Cisco.

  • Model usługowy, w szczególności rynkach zachodnich, jest już bardziej rozpowszechniony i zaawansowany. Decyzja o jego adaptacji rzadko jest podejmowana jednoosobowo. Zwykle w proces zaangażowane jest grono osób z różnych obszarów, a decyzja poparta jest analizą ryzyka. Ostateczna decyzja będzie jednak zwykle należała, wraz z odpowiedzialnością, do CSO/CISO.
  • Przy prawidłowo przeprowadzonym szeroko procesie analizy ryzyka jako podstawy decyzji, nie ma znaczenia, czy podpisze ją CISO, czy CEO. Jako organizacja zyskamy, bo przetransferujemy właściwą część ryzyka na zewnętrznego dostawcę.
  • Dużym zagrożeniem byłaby sytuacja, kiedy decyzja tego typu zostałaby uwarunkowana w przeważającej mierze finansowo. Z taką sytuacją na polskim rynku jeszcze się nie spotkałam.
  • Równie nieefektywne są jednak sytuacje, które można zaobserwować w niektórych z zagranicznych firm z oddziałami w innych krajach, gdzie wybór dostawcy usługi bezpieczeństwa opiera się po prostu na „konkursie piękności” ofert dostawców. Jego wynik będzie potem narzucony oddziałom krajowym. To niestety realny scenariusz, kiedy firma obywa się bez uwzględnienia kontekstu i takiej twardej, ilościowej oceny.

Łukasz Nawrocki odniósł się do tych kwestii z naszej, krajowej perspektywy. Komentując odniósł się do doświadczenia z rozmów i negocjacji zakupu bezpieczeństwa jako usługi. 

  • Wyniki tej sondy byłyby podobne także w naszej grupie klientów, a mamy doświadczenie zarówno z małymi firmami, zatrudniającymi kilkadziesiąt osób, jak i wielkimi, zatrudniającymi kilkadziesiąt tysięcy osób. W mniejszych firmach te funkcje bywają sprawowane jednoosobowo. Decyzja opierająca się na CEO jest naturalna w mniejszych firmach, choć w dużej organizacji może też świadczyć o strategicznym wymiarze adaptacji takiego modelu.
  • Sam proces analizy i decyzji nie może być krótki, podejmowany w ciągu kilku czy nawet kilkunastu dni. Decyzja powinna być wypracowana w toku pracy projektowej, polegającej w naszym przypadku na bardzo dokładnym rozpoznaniu mapy procesowej, zasobów, uwarunkowań.
  • Projekt angażuje po stronie klienta szereg osób – najczęściej inicjatorami rozmowy są zespoły techniczne, natomiast w naturalny sposób dołączają przedstawiciele biznesu, a końcowe kwestie są także omawiane z przedstawicielami zarządu. Zatem działa triada: biznes – bezpieczeństwo – zarząd. My traktujemy to jako zaletę. Relacja zaufania jest bardzo ważna a nie da się zbudować tego bez rzetelnego wykonania przygotowania. Efektem ma być skuteczne rozwiązania, konkurencyjne wobec opcji utrzymywania własnych zasobów a zarazem zintegrowane z działaniami i rozwiązaniami pozostającymi w domenie wewnętrznej.
  • Wszelkie podejścia szybkiego, motywowanego np. deficytem compliance, prowadzące do szybkiego wypełnienia go przez usługę CyberSec, są ryzykowne i najczęściej nieefektywne.

Piotr Kalbarczyk z kolei ocenił prawdopodobieństwo powstania zjawiska shadow-CyberSec przy rozwiniętym rynku outsourcingu bezpieczeństwa.

  • Nie spotkałem się w swojej praktyce z biznesem, który by dobrowolnie nakładał na siebie ograniczenia. Reguły bezpieczeństwa są często odbierane jako ograniczenia. Shadow CyberSec na podobieństwo shadow-IT jest jednak trudny do wyobrażenia. Przede wszystkim ze względu na ograniczenia dotyczące samodzielnego instalowania jakiegokolwiek oprogramowania. Dojrzałe pod względem bezpieczeństwa organizacje szczegółowo analizują i kontrolują instalowane na firmowych komputerach oprogramowanie.
  • Widzę natomiast miejsce do dyskusji nad rozwiązaniami, ich skutecznością, ergonomią, doświadczeniem. Czasy „wylewania betonu” w bezpieczeństwie minęły, decyzje dotyczące zabezpieczeń muszą uwzględniać kontekst biznesowy. Sięgamy, mówiąc poetycko, chmur, ten model funkcjonowania wymaga także, a może przede wszystkim zmian w zabezpieczeniach. Znikają historyczne, standardowe elementy jak np. perymetr, nie mamy gdzie budować murów, a korzyści płynące z nowinek technologicznych związanych z zastosowaniem środowisk chmurowych możliwe są do uzyskania tylko przy ścisłej współpracy biznesu, IT i bezpieczeństwa.

CyberSec w modelu usługowym

SOC, NOC, ochrona antyspamowa czy wsparcie prawne są obszarami najchętniej widzianymi jako możliwy element oferty dostawców CSaaS.


Na progu rynku usług CyberSec, trudno o gotowe frameworki, dobre praktyki, które ułatwiłyby właściwy wybór z oferty usługowej. Aleksandra Rybak zauważa, że część istniejących standardów da się wykorzystać do oceny usług CyberSec.

  • Samą adaptację CSaaS musimy podzielić na dwie fazy. Pierwsza to wybór usługi i jej dostawcy. Druga, już w toku współpracy, to stała ocena poziomu usługi. Potencjalne ryzyko, zagrożenie dla naszej firmy może powstać w każdym momencie, a większość usług, jak SOC czy NOC, posiada dostęp do infrastruktury i wrażliwych danych.
  • Powinniśmy wiedzieć o dostawcy możliwie dużo, o jego regularnych audytach dokonywanych przez niezależne instytucje, zgodności z regulacjami, np. raport Service and Organization Control, zwrócić uwagę na zapisy SLA, sposób komunikacji z usługodawcą, jakie czasy reakcji zapewnia.
  • Trudno skrócić fazę początkową, choć można się posiłkować doświadczeniem innych firm czy schematami. Jednak na pewno usługę muszą dopasowywać, w samym SOC jest kilkadziesiąt różnych funkcji i pod-usług. Pomocna oczywiście jest transparentność ze strony dostawcy, dla przykładu Cisco w zakresie usługi MD&R, którą świadczymy, publikuje raport SOC2 i privacy data sheet o danych sięgamy: jaka jest ich retencja, jak obsługujemy dyski, na których były zapisane jego dane.
  • Kto miałby ocenić, a w zasadzie nieustannie oceniać, monitorować oferowane i realizowane usługi? Nie da się tego zrobić automatycznie, kolejną usługą audytową – odpowiednie kompetencje muszą być po stronie klienta.

Wynik naszej sondy dowodzi wstępnej akceptacji szerokiego portfela usług bezpieczeństwa. Łukasz Nawrocki zauważył, że z perspektywy integratora i operatora usług SOC i NOC takie nastawienie do usług odpowiada naszym obserwacjom. Z czego to wynika?

  • Brak alternatywy wobec braku specjalistów do pracy, istotniejszego nawet niż np. wysoki koszt rozwiązań. Wobec tego usługa, taka jak SOC, oczywiście będzie znajdować nabywców.
  • CSaaS, to opłacalny i elastyczny model, który nie wiąże środków kapitałowych firmy na 3-5 czy więcej lat, ale pozwala też stosunkowo łatwo zmienić rozwiązanie czy dostawcę, jeśli poziom bezpieczeństwa jest zagrożony.
  • W naszym badaniu akceptacja dla modelu usługowego przeważa nad negacją, więcej jest obszarów, które firmy skłonne są zlecić zewnętrznej obsłudze.
  • Spośród tych zastrzeżonych obszarów, respondenci wskazują m.in. ochronę danych osobowych, co jest zrozumiałe, ale rodzi też pytanie: czy to kwestia, jak i gdzie będą zinwentaryzowane te dane, czy gdzie się znajdują.

Uczestnicy CXO Insight podchodzą natomiast z rezerwą nie tylko do bezpieczeństwa ochrony danych osobowych, ale także korzystania z zewnętrznej analityki oraz ochrony urządzeń końcowych. Piotr Kalbarczyk uważa, że jest za wcześnie, aby mówić, że krystalizuje się w ten sposób wstępny wzorzec najbardziej popularnej hybrydy CyberSec. Dzisiejsze „sympatie” i „rezerwa” do poszczególnych obszarów będą się zmieniać.

  • Prawdę powiedziawszy pamiętam, jak wyglądała moja pierwsza rozmowa z kolegami o zastosowaniu chmury. Wyglądało to znacznie gorzej niż w przypadku omawianych tu wyników dotyczących CSaaS. A przecież w obszarze cyberbezpieczeństwa nikt nie ufa na kredyt.
  • Trudno nie zauważyć, że deklaracje wiążą się też z przepisami, które opisują dane obszary. Ewentualne wdrożenie usługi ochrony danych osobowych to poważne wyzwanie, jeśli chodzi o dokumentowanie i proces raportowy w relacji z przedstawicielami regulatora. Z perspektywy administratoradanych osobowych łatwiej przygotować własne rozwiązanie, nawet dużym nakładem sił i środków, niż kupować je w formie usługi a w konsekwencji dodatkowo tworzyć osobny proces monitorowania jakości jej wykonania. Ostateczna odpowiedzialność za bezpieczeństwo danych i tak spoczywa na administratorze danych i to się raczej nie zmieni. Takie podejście ma również wpływ na ocenę możliwości wykorzystania zewnętrznej analityki obszaru bezpieczeństwa.
  • Obszar ochrony urządzeń końcowych jest postrzegany jako ten, nad którymi warto utrzymać pieczę. W nowej, chmurowej rzeczywistości stanowią one bramy do środowiska firmy. „Panowanie” nad nimi daje poczucie sprawczości i zarządzania całością zagadnienia, Jednocześnie widać jeszcze brak zaufania do zewnętrznego dostawcy oraz niedostateczny poziom adaptacji modelu „Zero Trust”.

Dynamiczna równowaga własnych i zewnętrznych zasobów w modelu hybrydy CyberSec

Dystrybucja obsługi kluczowych i niekluczowych systemów w organizacji nie wykazuje mocnej polaryzacji, na zasadzie – krytyczne systemy chronione zasobami wewnętrznymi, niekluczowe – zabezpieczane przez zewnętrznych usługodawców. Przyzwolenie na model CSaaS wyraźnie widać w wynikach pytań o relacje obszarów własne-zewnętrzne. Już w przypadku zasobów kluczowych, dopuszcza się najczęściej przekazanie nawet połowy obszarów CS obsłudze zewnętrznej; w przypadku zasobów/obszarów niekluczowych ta skłonność jest jeszcze większa.

Łukasz Nawrocki nie jest jednak tym zaskoczony. Jak zauważa, rozróżnienie zasoby kluczowe – niekluczowe jest coraz bardziej istotne. Będzie zarazem narzucało dynamikę relacji pomiędzy wewnętrznie i zewnętrznie utrzymywanymi systemami.

  • Jeszcze kilka lat temu mówiono o całościowym zabezpieczaniu zasobów IT, dziś raczej określa się już podział na to, co jest, a co nie kluczową usługą. Stworzenie kompletnego środowiska bezpieczeństwa jest zbyt trudne i drogie. Próba wydzielenia priorytetów jest więc jak najbardziej próbą optymalizowania nakładów na bezpieczeństwo.
  • Brak wyraźnej polaryzacji wynika stąd, że dzisiaj, w 2022 nie ma greenfield’ów bezpieczeństwa. Klienci patrzą na rozwój cyberbezpieczeństwa z perspektywy tych narzędzi i tych kompetencji, które już posiadają. Stoją za tym konkretne nakłady pracy, środków i czasu.

Aleksandra Rybak uważa, że obecne wyniki dowodzą ukierunkowania na uzupełnianie ekosystemu bezpieczeństwa za pomocą rozwiązań dostępnych jako usługi.

  • Trudno określić, jak ustalą się te obszary outsourcingu i insourcingu, gdy model usługowy w CyberSec okrzepnie. Będzie to zapewne bardzo indywidualna kwestia i niekoniecznie skorelowana nawet z dojrzałością samej firmy w tym obszarze. Natomiast nie sądzę, aby ogólne proporcje miały się zasadniczo zmieniać w przyszłości.
  • Mamy kontakt z bardzo dojrzałymi firmami, które osiągnęły bardzo wysoki poziom pod względem posiadanego portfela, procesów i kompetencji bezpieczeństwa. A jednak okazuje się, że nawet przy dalszym dużym tempie rozwoju tej sfery nie będą w stanie dotrzymać tempa rozwojowi samego biznesu. I to dla nich jest przesłanką, aby uwzględnić w tym ekosystemie udział usług.

Według Piotra Kalbarczyka, w przyszłym modelu hybrydowym relacje pomiędzy wewnętrznymi i zewnętrznymi zasobami nie byłyby oparte na stałym schemacie.

  • Sądzę, że to początkowo mogłoby sięgnąć 75-25 w systemach kluczowych i 25-75 w pozostałych, na rzecz zasobów własnych. Ale to byłaby raczej dynamiczna proporcja. My jesteśmy w permanentnej zmianie, która na pewno przekłada się na oczekiwania wobec bezpieczeństwa. Jeśli określone potrzeby biznesu dałoby się zaspokoić usługami, w sposób efektywny, to na pewno to by miało wpływ na proporcję.

Usługi: pretekst by „robić więcej” czy droga do kosztowej optymalizacji?

Najważniejsze korzyści z adaptacji modelu usługowego, to w oczach uczestników CXO Insight możliwość korzystania z kompetencji dotąd niedostępnych oraz skalowalność i elastyczność usług CyberSec. Najważniejsze zagrożenia to ryzyko uzależnienia od dostawcy oraz utrata kompetencji i erozja własnej organizacji bezpieczeństwa.


Aleksandra Rybak zwróciła uwagę, że zagadnienie kompetencji jest w kontekście CSaaS postrzegane jako szansa. Z drugiej strony mocna jest obawa o erozję własnych kompetencji.

  • Widać ambiwalentne nastawienie. To rodzi pytanie: czy te kompetencje można utrzymać próbując ignorować usługi? Walka o specjalistów będzie coraz bardziej zażarta, co spowoduje, że rotacja wzrośnie. Cisco szacowało, że już w 2021 r. na świecie zabrakło 3,5 miliona specjalistów do obsadzenia potrzebnych miejsc w CyberSec. Na pewno trzeba bardzo starannie dbać o zespół bezpieczeństwa.
  • Usługi będą uzupełnieniem, dopełnieniem dla naszego zespołu, dostarczą nowych narzędzi, procesów, ekspertów kwalifikowanych w innych obszarach. Bardzo często w ramach usługi są treningi czy warsztaty, które wzmacniają wewnętrzne kompetencje. I jest to całkiem realny, pozytywny scenariusz, który obserwujemy także na rynku. Potrzeba kompetencji jest, była i będzie, świadomie można tym zarządzać i wzrastać – również w modelu usługowym.

W świetle takiej hierarchii wartości, interesujące jest, jak integratorzy – usługodawcy dyskutują plan współpracy i osiągania korzyści ze swoimi klientami. Łukasz Nawrocki zauważył zaskakująco niskie wskazania korzyści związanych z ogólnym przyrostem poziomu bezpieczeństwa.

  • Z moich doświadczeń z rozmów z klientami, przykładowe wdrożenie SOC jako usługi, jest jednoznacznie odbierane jako wymierny wzrost poziomu bezpieczeństwa.
  • Samo rozpoczęcie rozmów wiążę się z analizą ryzyka, podatności, odporności. To samo w sobie podnosi świadomość oraz poziom bezpieczeństwa. Poszukujemy od razu możliwie dużej wartości z wdrożenia.
  • Jednym z najczęstszych motywacji, które obserwujemy u klientów, jest właśnie chęć uzupełnienia własnych braków w systemach obrony zewnętrzną usługą, kompetencją. CSaaS stwarza tutaj bardzo duże pole do działania. Moim zdaniem jest bez wątpliwości sposobem na dokonanie skoku w poziomie bezpieczeństwa.
  • Jeśli chodzi o percepcję zagrożeń – cieszę się, że nie w ocenie ankietowanych zagrożeniem brak wpływu na rozwój usługi. Bo w istocie, te usługi bardzo się muszą rozwijać, wynika to z presji rynkowej, presji zagrożeń cyber.

W wynikach ankiety niezbyt mocno wybrzmiał aspekt wpływu wykorzystania usług CyberSec na poziom ryzyka i zarządzanie nim. Zastanawia to Piotra Kalbarczyka, ponieważ powinno być to nadrzędnym celem. Być może na poziom uzyskanych albo oczekiwanych korzyści ma wpływ obecny poziom dojrzałości usług oraz modelu współpracy.

  • Generalnie poziom oszacowanego ryzyka w połączeniu z efektywnością zastosowanego rozwiązania nie może być gorszy niż ten sprzed wykorzystania cyberusług. To powinno być kluczowym kryterium wdrożenia modelu usług CyberSec.
  • Rozwój rynku usług ma wpływ zarówno na usługobiorców w jaki i usługodawców. Ci pierwsi mierzą się z problemem erozji zespołów i utrzymania wewnętrznych kompetencji na odpowiednim poziomie. Z kolei usługodawcy ze względu na presję ze strony klienta na utrzymanie wysoko wykwalifikowanego zespołu realizującego usługę będą musiały również zmierzyć się z ryzykiem odpływu kadr do innych graczy a może nawet klientów.
  • Podsumowując: moim zdaniem, do czasu wypracowania modelu współpracy i osiągnięcia odpowiedniego poziomu dojrzałości usług poziom ryzyka dla potencjalnych usługobiorców będzie jednak rósł.

Trzecie spotkanie zamyka cykl dyskusji o zmianach w CyberSec w ramach CXO HUB CyberSec Chapter. Cykl  zrealizowaliśmy we współpracy z firmami Trecom i Cisco. Podsumowanie przedstawimy w raporcie końcowym, zawierającym komentarze i rekomendacje uczestników spotkań, który ogłosimy w czerwcu 2022 r.

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeczytaj też:

Przeczytasz w 7 min
0

Allegro: Praca zdalna powoduje ogromy narzut na komunikację, wydłuża ją

Przeczytasz w 7 min Z Marcinem Mazurkiem, Engineering Director i Dawidem Lewandowiczem, Agile Coach w Allegro rozmawiamy o tym, jak na stan epidemii w Polsce reaguje sektor e-commerce, czy można było się przygotować na taką sytuację, czym różni się od innych sytuacji kryzysowych, z jakimi, największymi problemami musiało sobie poradzić Allegro i w jaki sposób tego dokonano.

Przeczytasz w 11 min
0

Polski, folwarczny sposób zarządzania

Przeczytasz w 11 min O przywództwie, byciu liderem, empatii lidera, mikro- i makrodyktaturach biznesowych oraz polskim, folwarcznym stylu zarządzanie i jego wpływie na pozycję polskich firm na świecie rozmawiamy z Jackiem Santorskim, psychologiem, twórcą Akademii Psychologii Przywództwa Szkoły Biznesu Politechniki Warszawskiej i Values, byłym terapeutą i wydawcą, założycielem wydawnictwa Jacek Santorski and CO.

Przeczytasz w 5 min
0

Opowieść managera IT: od startupu, po akwizycję i dalej

Przeczytasz w 5 min Każda organizacja na świecie potrzebuje partnera w postaci zespołu IT, który będzie dla niej wiatrem w żaglach okrętu, a nie kotwicą, która będzie ciągnąć biznes w dół. Gdybyśmy przenieśli się w czasie do epoki wielkich odkryć i Krzysztof Kolumb zadałby Wam proste pytanie: czy popłyniesz ze mną odkryć nowy świat? Kto z Was by z nim popłynął? Dzisiaj te nowe światy to startupy kuszące obietnicą olbrzymich zysków. Niestety 90% z nich upada przynosząc inwestorom tylko straty. Wiedząc to, kto z Was wciąż popłynąłby w taką podróż?

Dziś tam gdzie jest cyfrowe terra incognita są członkowie CXOHUB, którzy są pionierami cyfryzacji, transformacji do nowej gospodarki (new normal).

Zapraszam do udziału,
Szymon Augustyniak

Misja, wizja i wartości CXO HUB

  • CXO HUB powstało, aby zgromadzić najlepszych menedżerów i ekspertów w zakresie szeroko pojętej cyfrowej zmiany.
  • Misją społeczności CXO HUB jest promowanie wiedzy oraz sylwetek jej członków na arenie polskiej oraz międzynarodowej.
  • Społeczność CXO HUB stanie się widoczną, słyszalną siłą w dyskursie o przyszłości i standardach w zakresie zastosowań nowych technologii.

Zdobywaj kontakty, buduj relacje

CXO HUB:

  • wspiera budowę wizerunku merytorycznej i doświadczonej firmy
  • zapewnia oryginalne, inteligentne formaty budowania relacji
  • tworzy zaangażowaną i aktywną społeczność
  • buduje i dystrybuuje unikalny content dla publiczności
  • zapewnia przestrzeń do budowy kontaktu, relacji i wpływu

Dołącz do nas!

Formuła CXO HUB jest etyczna w wymiarze moralnym, obiektywna w wymiarze poznawczym oraz neutralna w wymiarze relacji z rynkiem.

Dołącz do naszej społeczności w serwisie LinkedIn

 

Dla kogo jest CXO HUB:

  • CIO polskich przedsiębiorstw
  • szefowie IT
  • liderzy największych firm w Polsce
  • decydenci zakupu rozwiązań informatycznych