Transformacja podejścia do cyberbezpieczeństwa przyspiesza. Potrzeba jednak dużo pracy nad świadomością w organizacjach i ich otoczeniu. Szereg dostępnych już dziś praktyk i doświadczeń pozwala optymistycznie patrzeć na wyzwania, jakie niosą nowe zagrożenia i nowe uwarunkowania działania CyberSec w organizacjach.
Pierwsze spotkanie CyberSec Chapter zgromadziło ponad 70 osób a nasza dyskusja przeciągnęła się do 2,5 godziny. To dobry prognostyk przed kolejnymi spotkaniami. W dyskusji o transformacji cyberbezpieczeństwa zastanawiać się będziemy 12 stycznia nad źródłami i inspiracjami regulacyjnymi, w postaci standardów i modeli, także organizacyjnych tej zmiany. Trzeba też podkreślić, że w sondzie CXO Insight, która dała pretekst do uruchomienia kilku wątków dyskusji, wypowiedziało się ponad 60 CXO. Udane spotkanie 8 grudnia z pewnością kładzie zatem mocny fundament pod kolejne dyskusje.
Czy podejście do CyberSec się zmienia?
Rozmowa z Przemysławem Szuleckim, VP GSS, JP Morgan otworzyła nasze spotkanie. Koncentrowaliśmy się w niej na określeniu momentu, w którym jest obecnie cyberbezpieczeństwo. Czy jest to rzeczywiście moment zwrotny? Jeśli tak, to w jaki sposób rysuje się różnica potencjałów potrzeb i możliwości, którymi dysponują firmy w zakresie zmiany swojego modelu cyberbezpieczeństwa? Dla wielu organizacji przełomowym wyzwaniem jest budowa świadomości zagrożeń, zadań i sposobu funkcjonowania w firmie CyberSec. Oto kluczowe stwierdzenia Przemysława Szuleckiego:
- Jesteśmy na polskim rynku w przełomowym momencie budowania świadomości potrzeby zmian w CyberSec. Zależnie od firm i branży ten etap zmiany jest w różnym stopniu zaawansowany. Zmiana świadomości cyberzagrożeń i cyberbezpieczeństwa powinna dotyczyć również naszego otoczenia. To wymaga naszego zaangażowania także poza pracą, np. na uczelniach. Sam włączyłem się w tworzenie na jednej z prywatnych uczelni specjalności dotyczącej CyberSec.
Wchodzimy w okres turbulencji, pojawiania się nieustannie nowych zagrożeń. Co dzień będziemy stawać w obliczu całkowicie nowych rodzajów ryzyka dla aplikacji, procesów. To najbardziej prawdopodobna wizja przyszłości w obszarze CyberSec.
- Deficyt kompetencji rośnie i najbardziej determinuje firmy do działania. Rywalizacja o kompetencje przebiega już nawet nie na poziomie poszczególnych osób, pojedynczych ekspertów, ale całych zespołów, które praktycznie z dnia na dzień przenoszą się z jednej organizacji do drugiej za swoim menedżerem.
- Duża odpowiedzialność spoczywa na największych organizacjach, które mogą oddziaływać pozytywnie na swoje otoczenie, jeśli chodzi o upowszechnienie praktyk i standardów w sieciach partnerskich i łańcuchach dostaw. Jednocześnie wymaga dużej zręczności i delikatności – podejścia partnerskiego, a nie narzucającego. To najskuteczniejszy sposób konwertowania na dojrzałe podejście do CyberSec a co za tym idzie – cywilizowania kolejnych przestrzeni cyfrowych gospodarki. Możemy wspólnie poszerzać strefę bezpieczeństwa.
- Dialog jest też potrzebny pomiędzy obszarem bezpieczeństwa i biznesu. To musi być zrozumiała komunikacja, na siłę nie da się zaimplementować żadnych rozwiązań skutecznie i długofalowo. Wywoła się opór, pojawią się sposoby obejścia – samorozszczelninia układu przez niezadowolonych użytkowników.
- Zmianie powinna przyświecać racjonalność – zarządzanie ryzykiem adekwatne do sytuacji organizacji. Bez rychtowania armat na wróble.
- Narrację CyberSec w wymiarze budżetowym należy też przekuć z obrazu „działu kosztowego” na „inwestycję”. Świadomą inwestycję, o której decyduje zarząd, bo spodziewa się zwrotu.
70% uczestników CXO Insight „Potencjał zmiany cyberbezpieczeństwa” ocenia, że poziom bezpieczeństwa organizacji jest odpowiedni. Jednocześnie ponad połowa ocenia kompetencje CyberSec w firmie jako niedostatecznie, ale w zdecydowanej większości organizacji trwa ich uzupełnianie. Jakie jeszcze odpowiedzi przyniosło badanie CXO Insight – zapraszamy do lektury wyników.
Skuteczne strategie CyberSec
Jeśli zmiana podejścia do cyberbezpieczeństwa jest potrzebna, rozpoczyna się lub właśnie trwa – to warto także rozważyć, co z kapitału doświadczenia rozwoju cyberbezpieczeństwa warto i da się przenieść do nowej rzeczywistości. W dyskusji na ten temat udział wzięli Beata Mycer, CIO w firmie Ultimo, wcześniej m.in. CISO w Credit Agricole, Piotr Skibiński, CISO w Polkomtel, Artur Czerwiński, dyrektor ds. technicznych w Cisco, Łukasz Nawrocki, inżynier bezpieczeństwa w Trecom i bohater pierwszej części spotkania, Przemysław Szulecki, VP GSS, JP Morgan.
W pierwszej kolejności, zajęliśmy się podsumowaniem czynników i okoliczności zmiany w podejściu do CyberSec. Beata Mycer skomentowała m.in. zagadnienie możliwości osiągniecia jednego, uniwersalnego standardu cyberbezpieczeństwa.
- Mamy do czynienia z cyberbezpieczeństwem różnych prędkości – adekwatnie do potrzeb i możliwości firm – które utrzyma się także w nowym paradygmacie. Możliwym i pożądanym wspólnym mianownikiem powinno być pojęcie bezpieczeństwa informacji, które obejmuje wszystkie aspekty, od bezpieczeństwa danych, po bezpieczeństwo infrastruktury. Bezpieczeństwo powinno zakładać komplementarność.
- O możliwości rozwoju CyberSec decydują skala, ale i regulacje, które dobrze stymulują rozwój, np. w sektorze finansowym. Dynamikę rozwoju CyberSec determinuje także m.in. poziom świadomości. W pewnym przybliżeniu określa go poziom świadomości najmniej uświadomionego obszaru w firmie.
Język i komunikacja są niezbędne dla rozwoju CyberSec, nie tylko świadomości, ale i wykonania przyjętych celów. Poprzeczkę warto – a nawet trzeba – postawić jak najwyżej. Komunikacja pomiędzy bezpieczeństwem a IT i biznesem nie może się odbywać tylko na poziomie menedżerów. Prostym, jasnym językiem polskim muszą mówić wszyscy zaangażowani w sprawy bezpieczeństwa i biznesu. Poza swoją enklawą, gdzie język ekspercki jest potrzebny, trzeba porozumiewać się dobrym językiem polskim, prostym i logicznym.
- Te czynniki przekładają się także na bezpośredni czynnik rozwoju CyberSec: zarządzanie ryzykiem biznesowym określające, jaki firma ma apetyt na ryzyko, a co za tym idzie – skłonność do inwestowania w cybersec. Jeśli już jesteśmy uświadomieni, potrafimy się porozumieć, mamy pełen obraz ryzyka, to świadomie decydujemy, ile i w jakie obszary inwestujemy.
- Cyfryzacja przyspieszona epidemią COVID przysłużyła się zmniejszeniu polaryzacji, rozpiętości różnic w poziomie CyberSec. Dzięki większej świadomości ryzyka – inwestycje będą bardziej adekwatne do potrzeb. Oby ten trend się utrwalił.
Piotr Skibiński skomentował kwestie różnic wynikających z kontekstu skali organizacji, m.in. w kontekście presji na zmianę w cyberbezpieczeństwie.
- Abstrahując od czynników charakterystycznych dla poszczególnych rynków, np. telekomunikacyjnego, wszystkie firmy podlegają tym samym presjom związanym z cyfryzacją, nowymi technologiami. Te zmiany rzutują na biznes a za tym – na jego potrzebę nowego podejścia do CyberSec.
Wiele czynników zmiany było już obecnych, szczególnie w dużych organizacjach, jednak teraz stały się dominujące i powszechne pod wpływem wdrożenia modeli pracy zdalnej. Kanały VPN, zdalne dostępy, były znane jako opcja, teraz jednak stały się głównym nurtem. Koncepcja „pracuję wszędzie” na IT i bezpieczeństwie wymusza zupełnie nowe podejście. Przy takiej skali – przy takim zakresie, wymaga wdrożenia nieustannej pracy nad rozpoznawaniem i rozumieniem znaczenia danych, które w tej „pracy zewsząd” są wykorzystywane. To prowadzi do konieczności brania pod uwagę nowego typu ryzyka związanego z bezpieczeństwem danych, które muszą uwzględniać z jakimi danymi i gdzie ludzie pracują. Ideałem by było, aby powstawała mapa danych z przypisywanymi na bieżąco poziomami ryzyka, korelacjami i powiązaniami. Te nowe ryzyka muszą też zacząć uwzględniać architekci danych tak samo, jak nowe wymagania regulacyjne (np. UKSC czy PKE w branży telekomunikacyjnej).
- Nowe technologie ułatwiają development oprogramowania i wymagają elastycznego hybrydowego podejścia z uwzględnieniem modelu chmurowego i on-premise. To wymaga współpracy CyberSec z IT.
- Transformacja CyberSec nie powinna być odrębnym, autonomicznym programem jak np. transformacja cyfrowa czy transformacja chmurowa. Ona nie jest kreowana przez bezpieczników, tylko wyprowadzona jest z potrzeby biznesowej. Nie jest samodzielnym motorem zmian tylko częścią czegoś większego, akceptowalnego biznesowo przez firmę.
Artur Czerwiński uwarunkowania i trendy rynkowe skomentował z globalnej perspektywy, odnosząc się przy tym do ich realnego wpływu na zmianę podejścia do CyberSec – dostrzegalnego w obecnych falach zakupowych rozwiązań i technologii.
- Najważniejsze czynniki zmiany cyberbezpieczeństwa to regulacje i sytuacja pandemiczna. Odpowiadają za obecny wzrost zainteresowania i aktywności firm w obszarze CyberSec. Projektujący cyberbezpieczeństwo powinni w pierwszej kolejności odnosić się do tych punktów.
- Przykładem takiej przemiany jest dotąd nieco teoretyczny nurt ZeroTrust, obecny przecież od kilku lat. Dopiero uwarunkowania narzucone przez pandemię przyniosły przyspieszenie, upraktycznienie go i konkretne decyzje budżetowe uzasadnione już biznesowo.
- Pierwsza fala zakupowa wywołana pandemią dotyczyła przeskalowania dostępu zdalnego przez VPN i – niemal natychmiast firewalli, na które trafiał ruch z VPN. O tych szybko i powszechnie podjętych krokach nastąpiło wyhamowanie.
W drugiej fali zakupowej pojawił się trend związany z uwierzytelnieniem wieloskładnikowym. Dostęp zdalnych użytkowników musi być lepiej kontrolowany, szczególnie korzystających z zasobów w chmurze. To zrozumiałe, bo do najpopularniejszych ataków należały ataki na usługi pocztowe w chmurze, wydobycie danych uwierzytelniających, które służyły następnie do uzyskania dalszych możliwości penetracyjnych w ekosystemie organizacji. Ten trend zakupowy utrzymuje się do dziś.
- Równolegle, w drugiej fali pojawiła się kwestia punktów końcowych. Wiele firm posiadało różne systemy, głównie antywirusy, ale ze wzrostem skali przetwarzania zdalnego skierowało zainteresowanie na automatyzujące i zbierające wiele działań systemy EDR (Endpoint detecion and response).
- W dalszej perspektywie należy spodziewać się fali zainteresowania i zakupów rozwiązaniami XDR (Extended Detection and response), które skalują możliwości EDR.
- Badanie „Future of remote workforce” Cisco sygnalizuje, że trendem nadchodzącym będzie zabezpieczenie rozwiązań budowanych w chmurze – a także korelowania tego zabezpieczenia z istniejącymi rozwiązaniami, aby uzyskać synergiczny system cyberbezpieczeństwa.
Łukasz Nawrocki komentował nadchodzącą i dokonującą się już niekiedy zmianę cyberbezpieczeństwa zmianę z perspektywy integratora, jakim jest Trecom, współpracujący blisko i długofalowo z wieloma polskimi organizacjami.
- Czujemy się w obowiązku wspierać rozwój, dojrzewanie świadomości. Dobrym sposobem komunikacji jest perspektywa finansowej straty, ponieważ można ją w wiarygodny sposób prognozować.
- Na etapie rozmowy o narzędziach służących zmianie, staramy się przekonywać, że zmiana nie ma charakteru punktowego, tylko ekosystemowy, gdzie wsparcie integratora jest wartością. Nadal często jest okazja i konieczność posłużenia się pewnym prostym uzasadnieniem. Przytaczam przykład zmiany poziomu szyfrowania ruchu w sieci. W 2015 r. według Google poziom zaszyfrowanego ruchu w sieci Web stanowił 30-50%, a obecnie, w 2021 – 85-95%. Pojawia się problem umożliwienia jego deszyfracji do potrzeb analizy zaawansowanych systemów cyberbezpieczeństwa. Jeśli klient nie ma tego świadomości i nie umożliwi tego, to inwestycja w drogie rozwiązanie będzie chybiona – 95% ruchu nie będzie analizowana.
Systemy aktywnego bezpieczeństwa dobrze wdrożone są bardzo ważne także w kontekście kompetencji osób, którym podlega monitorowanie infrastruktury IT. Takich ludzi brakuje. Więc w projektach budowy całościowych systemów ważną role odgrywają narzędzia do priorytetyzowania informacji (co posiada swój wymiar regulacyjny i procesowy).
- Niezależnie od organicznej dyskusji współpracy z klientami – największym motorem zmiany są zawsze informacje o wielkich włamaniach i katastrofach biznesowych spowodowanych przez malware, ataki ransowmare, przykłady głośnych włamań. To kluczowy katalizator tematu bezpieczeństwa.
Efektywność CyberSec…
Zagadnienie efektywności CyberSec także powinno być czynnikiem stymulującym zmianę. Rozmawialiśmy o tym w dalszej części spotkania. Beata Mycer zwróciła uwagę, że pojęcie efektywności bezpieczeństwa powinno być dziś doprecyzowane, na podobieństwo efektywności innych obszarów współczesnej firmy.
- Z reguły efektywność odnosimy do procesów – także w cyberbezpieczeństwie należy je zdefiniować, kontynuować i monitorować.
Efektywność powinna być monitorowana w obszarze twardym i miękkim cyberbezpieczeństwa. Twardy aspekt dotyczy technologicznego uzbrojeniu się i unarzędziowieniu – pomiar skuteczności jest tu bezwględnie wymagany. W obszarze miękkiego cyberbezpieczeństwa miary wiążą się z najsłabszym ogniwem, jakim jest człowiek. Oba pomiary powinny być skorelowane.
- Kampanie testowania miękkiego cyberbezpieczeństwa są realizowane np. przez kampanie phishingowe, sprawdzające świadomość zagrożeń w praktyce. Muszą być cykliczne, powtarzalne a zarazem odnosić się do aktualnej sytuacji w cyberprzestrzeni.
- Należy ściśle zdefiniować key risks indicators, key performance indicators. Analiza ryzyka to podstawa, która umożliwia komunikowanie się i w efekcie zapewnianie bezpieczeństwo. To stałe, dynamiczne podejście oparte o mapę ryzyka spiętą z szeregiem zaplanowanych reakcji albo działań uprzedzających, z niwelowaniem poziomu ryzyka i wnioskowaniem, kiedy ta efektywność nam spada.
Piotr Skibiński podkreślił, że pojęcie efektywności bezpieczeństwa wiąże się z biznesem.
Bezpieczeństwo jest dla biznesu a nie na odwrót. Trudno byłoby więc rozpatrywać jego efektywność w oderwaniu od kontekstu biznesowego. Skoro wydajemy budżet na bezpieczeństwo, to trzeba mierzyć je w kontekście biznesowym.
- Najlepiej odnieść to do przesłanek biznesowych, analogicznie jak to na przykład ma miejsce w czasie migracji do chmury. Efektywność bezpieczeństwa można mierzyć w kontekście takiej dużej zmiany – przed i po zmianie, czy środki obniżania ryzyka zadziałały, itd.
- Nie wszystkie specyficzne miary techniczne i bezpieczeństwa można jednak wyrazić w języku biznesowym. Natomiast ich konsekwencje także można z biznesem omówić w sposób zrozumiały. Przykładem choćby aplikacje klienckie, poddawane falowym atakom w oparciu o skompromitowane bazy klientów i haseł. Efektywność systemów antybotowych wpływa na niezakłócony dostęp do tych platform dla naszych klientów, na wydajność systemów. Biznes rozumie taki przykład z życia wzięty – bo słusznie kojarzy go z jakością obsługi, utrzymaniem klientów.
… i jej ewolucja
Artur Czerwiński mówił o ewolucji efektywności rozwiązań bezpieczeństwa. Ich żywiołowy rozwój ma dobrą, ale i złą stronę.
- Zdecydowanie przybywa narzędzi cyberbezpieczeństwa. Wiąże się z tym problem ich obsługi. O ile w miarę płynnie można rozwinąć kompetencje od obsługi rozwiązań antywirusowych do EDR, to pojawiają się też całkiem nowe klasy narzędzi. Jeszcze kilka lat temu nikt nie mówił o CASB (Cloud Security Acccess Broker) czy zabezpieczaniu kontenerów. Dziś są dostępne, ale niedostępni są specjaliści, którzy mogliby wykorzystać ich potencjał. Obsłużyć, skalibrować, skorelować, zinterpretować i dostarczyć organizacji obraz niebezpieczeństwa kompromitacji.
Jedynym wyjściem, jeśli chcemy efektywnego wykorzystania nowych narzędzi jest automatyzacja. Stąd nowa grupa produktów – platform klasy XDR, które pozwalają na korelację danych i informacji z różnych źródeł, zarówno po stronie organizacji jak i środowiska chmurowego. Dzięki nim małe zespoły dostaną czas na właściwą interpretację zjawisk a przede wszystkim informację o nich. Taka konsolidacja ma właśnie miejsce na rynku. Najłatwiej konstruować takie platformy dostawcom, którzy posiadają w portfelu całe spektrum tych narzędzi. Ale po stronie firm jest kwestia jakości wykorzystywanych źródeł informacji.
- Mamy różne obserwacje z adaptacji tych narzędzi w polskich organizacjach. Są przypadki, kiedy organizacje są na to gotowe, jest właściwy timing dla XDR i odpowiedni potencjał do ich przyjęcie. Ale kiedy indziej pada odpowiedź: „tak, to świetne narzędzie, ale nasz zespół ma ich już wiele i jest zbyt mały i nie ma czasu, aby je sobie przyswoić”. Technologia jest i potrafi dać odpowiedź na dzisiejsze wyzwania, ale niekoniecznie jest przestrzeń do jej adaptacji. Tymczasem to propozycja również odzyskania tej przestrzeni, nawet w wymiarze czasowym.
Łukasz Nawrocki zwrócił uwagę, że pod hasłem poprawy efektywności dokonuje się obecnie selekcja, konsolidacja rozwiązań bezpieczeństwa.
Na przestrzeni zaledwie kilku lat widzimy znacząca poprawę efektywności. Według MTrends publikowanego przez Medianet, w 2011 r. od momentu przejęcia kontroli – skompromitowania organizacji – do wykrycia tego przez inżyniera czy analityka upływało średnio kilkaset dni (416). W 2020 r. było to już średnio 24 dni. Zmiana się dokonała – procesy, świadomość dorównały kroku rozwojowi narzędzi – ich ewolucja z kolei promuje najlepsze.
- Chęć optymalizacji efektywności jest uwarunkowana świadomością. Często w branżach zaawansowanych jako integrator towarzyszymy w rozwiazywaniu problemów wysokiego poziomu – automatyzacji, optymalizacji, przyspieszenia procesów. Natomiast z klientami z branż niestymulowanych regulacjami ani potrzebą biznesową, rozmowy mają inny charakter.
- Działy bezpieczeństwa są niedofinansowane, borykają się z brakami kadrowymi i kompetencyjnymi a problemy przed którymi stoją są bardzo konkretne. Wówczas często wychodzimy naprzeciw jako operator SOC-a.
Przemysław Szulecki powrócił do kwestii konieczności szerokiego, wieloaspektowego oddziaływania na zmianę podejścia do CyberSec. Obserwowanie efektywności CyberSec – uwzględniając, że nie wszystkie zasoby są własne, że bezpieczeństwo dotyka wszelkich obszarów firmy?
- Wpływ na efektywność CyberSec docelowo będą miały takie organiczne elementy, jak masowa świadomość. Dlaczego na studiach nie wprowadzić podstaw bezpieczeństwa? Na co dzień obserwuję naganne praktyki dotyczące choćby kwestii ochrony danych osobowych w relacjach z klientami, a to przecież często wierzchołek góry lodowej.
Efektywność rozbija się o zasoby. Utrzymanie niezbędnej wiedzy wewnątrz organizacji jest drogie, to wiedza ekspercka. Należy więc poddać pod zastanowienie – czy korzystanie z zewnętrznych centrów kompetencji nie będzie po prostu lepsze i efektywniejsze, także dla całego wspólnego ekosystemu cyfrowej gospodarki. Ponieważ takie centra będą oddziaływały i standaryzowały cały obszar naszych ekonomicznych relacji cyfrowych.
- Z drugiej strony zewnętrzne ośrodki kompetencji cyberbezpieczeństwa mogą się nadmiernie konsolidować. Wówczas, kiedy rynek skurczyłby się do 2-3 depozytariuszy wiedzy – to staliby się oni zasobami krytycznymi. Nie ma już wówczas mowy o powierzenie własnego ryzyka na zewnątrz. To pozorne – wówczas nadal ryzyko jest przy nas. Wymaga to więc dobrego rozważenia, bo korzyści na obecnym etapie są niewątpliwe, ale zrównoważony rozwój – jest miarą dojrzałego i długofalowego podejścia w tej kwestii.
Decyzyjność i sprawczość cybersec
Czy nowe cyberbezpieczeństwo potrzebuje więcej autonomii i decyzyjności? Czy w obrębie tego obszaru powinny ulec rozproszeniu i odpowiedzialności, i sprawczość? Na jakich zasadach może się to dokonać? Beata Mycer podzieliła się w tym kontekście m.in. doświadczeniem z objęcia nowoutworzonej roli CISO i budowania podległej sobie jednostki.
Bardzo ważne było to, że udało się zaprojektować tę rolę jako niezależną jednostką odpowiadającą bezpośrednio zarządowi. Równolegle funkcjonują rozproszone elementy bezpieczeństwa, przede wszystkim operacyjnego, ulokowane w IT albo w ramach firmowego compliance. Ale zasadnicza Zasadnicza część kompetencji i odpowiedzialności została skupiona i podporządkowana zarządowi, co stworzyło unikalną okazję, aby dokonać szeregu zmian, technicznych, ale i wymiarze świadomości. Zmiana była realna, nie tylko organizacyjna, ale i polegała na wyposażeniu w decyzyjność i budżet. Czyli łącznie – w sprawczość.
- Bardzo ważne jest w tym kontekście zbudowanie strategii bezpieczeństwa, która zostanie zrozumiana, zaakceptowana. Wówczas CISO powinien mieć kompetencje zarządzania i wdrażania tej strategii.
- Wysokopoziomowa strategia bezpieczeństwa obejmuje zagadnienia miękkiego i twardego cyberbezpieczeństwa. Według reguł sztuki wprowadza także nadrzędną wartość – współodpowiedzialność. Od poziomu specjalisty, po osoby w zarządzie – na wszystkich nakłada współodpowiedzialność za bezpieczeństwo.
Piotr Skibiński zwrócił uwagę, że zagadnienie wyposażenia w decyzyjność może być pochodną kultury organizacyjnej i sytuacji firmy.
Im wyższa pozycja cyberbezpieczeństwa, tym łatwiej pewnie rzeczy przeprowadzić, ale też większa odpowiedzialność. Nawet, jeśli pojawi się świadoma współodpowiedzialność w firmie. Decyzyjność i pozycja w firmie są ważne, ale firma ma przynosić zyski i kluczowym gwarantem zysku są liderzy biznesowi, którzy te zyski przynoszą. To przestroga – aby nie popaść w klasyczną pułapkę, kiedy to bezpieczeństwo staje się hamulcowym inicjatywy, innowacji. To ostatecznie biznes musi zdecydować jakie ryzyko jest w stanie podjąć, ale powinien to robić świadomie.
- Obok decyzyjności musi być i ścieżka eskalacyjna – aby porozumiewać się kolejnymi poziomami, aż do decyzji zarządu wobec prezentowanego ryzyka danych przedsięwzięć.
- Bezpieczeństwo posiada oczywiście swoją uprzywilejowaną kartę – obsługa incydentu to przejęcie całej odpowiedzialności i decyzyjności. Taka karta operacyjna jest elementem nadzwyczajnym. Ale obszar współodpowiedzialności ewolucyjnie się powiększa.
Artur Czerwiński komentując kwestie decyzyjności ze świadomością ryzyka.
- Rola cyberesec jest proporcjonalna do uświadomionego ryzyka po stronie biznesu. Zycie przynosi cały czas tego dowody. Firma przemysłowa bez wiedzy o cyberataktach z dnia na dzień przeniosła jednostkę CyberSec na poziom zarząd – z budżetem, prerogatywami – po tym, jak w wyniku ransomware straciła 150 mln zł.
Łukasz Nawrocki przypomniał, że jako integrator, Trecom nie chce kreować roli bezpieczeństwa. Raczej odpowiada na sytuację, dobrze ją rozumie i dostarcza wartość dodaną.
- Klienci cenią – to widać w badaniu CXO Insight – konsolidację partnerów, powodującą, że pozostają przy tych, na których realnie mogą bazować: na ich wiedzy, doświadczeniu, inwencji. Na dostarczonym pomyśle polityki bezpieczeństwa, obudowaniu go systemem bezpieczeństwie. Stawiamy na długofalową relację, na zaufanie i odchodzenie od punktowego traktowania zagadnienia.
Przemysław Szulecki podkreślił, że miejsce przy stole decyzyjności powinno być dla CyberSec czymś naturalnym. W fundamentalnym standardzie ISO 27001 zapisana jest rekomendacja strategii bezpieczeństwa informacji skomunikowanej i akceptowanej przez zarząd.
Decyzyjność CyberSec daje wsparcie dla IT i odwrotnie. Oba silosy, CyberSec i IT powinny mieć głos w gremium decyzyjnym, aby synergicznie wydawać decyzje wspierające oba obszary.
Co robić inaczej niż dotychczas, co robić tak samo?
Na koniec, po krótkiej dyskusji z uczestnikami, paneliści podzielili się krótkimi rekomendacjami dobrych praktyk cyberbezpieczeństwa.
Piotr Skibiński zaakcentował trzy kwestie:
- budowa zaufania do CyberSec,
- właściwy język rozmowy z IT i biznesem,
- znajdowanie dobrych liderów do projektów bezpieczeństwa.
Łukasz Nawrocki podkreślił, że rekomenduje spojrzenie całościowe w cyberbezpieczeństwie. Borykamy się z punktowym podejściem, które ogranicza skuteczność. Dobrą praktyką powinno być przyłożenie staranności do jakości wdrożenia systemów bezpieczeństwa we współpracy z inżynierami partnera. Dobra selekcja partnerów pozwala realizować wdrożenia w oparciu o wiedzę, umiejętności jej przekazania oraz doświadczenie. Trzecią dobrą praktyką, jest budowanie wewnętrznych kompetencji.
Artur Czerwiński zaproponował, aby w kontekście cyberbezpieczeństwa starać się zawczasu symulować, prognozować synergie wykorzystywanych narzędzi i narzędzi, które planuje się pozyskać.
Przemysław Szulecki przypomniał o naczelnej zasadzie adekwatności w projektach cyberbezpieczeństwa. Dobrą praktyką zaś dla samego „bezpiecznika”, CSO, CISO – jest próba zrozumienia punktu widzenia biznesu czy CIO. Tak, aby samemu uzyskać odpowiedź, czy słusznie mogą obawiać się zduszenia przez bezpieczeństwo ich inicjatyw. Dodatkowo polecił także zaangażowanie w pracę na uczelni – choćby w ramach własnej Alma Mater, dlatego że potrzeby są bardzo duże. A przyjemność z tej aktywności – będzie gwarantowana.
Beata Mycer powróciła do kwestii komunikacji. Mówmy językiem prostym, poprawnym polskim i próbujmy wchodzić w buty naszych rozmówców – starajmy się ich rozumieć. Po drugie – traktujmy bezpieczeństwo jako cześć biznesu. A po trzecie – budujmy i realizujmy strategię, bezpieczeństwa. Mądrze, elastycznie – ale bez tego fundamentu trudno będzie pokusić się o zmianę, jakiej obecnie w CyberSec potrzeba. Ona gwarantuje też niezbędną w tym procesie konsekwencję.
Kolejne spotkanie CXO HUB CyberSec Chapter „Ewolucja CyberSec” odbędzie się 2 marca 2022 w godz. 16-18. Temat: „CyberSec-as-a-Service?”.
Serdecznie zapraszam i zachęcam, aby już dziś zarezerwować sobie czas w kalendarzu!