RODO pozostaje najważniejszym punktem odniesienia dla organizacji cyberbezpieczeństwa w firmach. Towarzyszy mu wyraźna zmiana portfela rozwiązań technologicznych i rosnące znaczenie wzmacnianych ustawą KSC schematów organizacyjnych. O to, w jaki sposób zmienia sie cyberbzepieczeństwo pytaliśmy w badaniu CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”.
Kolejne badanie zrealizowane i przedyskutowane w ramach cyklu CXO HUB CyberSec Chapter koncentrowalo się na inspiracjach zmiany podejścia do cyberbezpieczeństwa. Z czego wynikają zmiany i jaki kurs obierają firmy? W jakich aspektach świadczyć może to o konwergencji i standaryzacji podejść, strategii i rozwiązań?
Pomiędzy 4 a 21 stycznia zebraliśmy 52 ankiety. Pytaliśmy o obecne i docelowe składowe wytyczające podejście do cyberbezpieczeństwa: 1) rekomendacje, regulacje i modele, 2) kluczowe rozwiązania technologiczne, 3) rozwiązania organizacyjne oraz 4) ogólną strategię współpracy z partnerami. Dodatkowo, ankieta zawiera pytanie o ocenę obecną fazę rozwoju modelu cyberbezpieczeństwa. W pierwszych trzech kwestiach ankieta dopuszczała do trzech wskazań, aby uzyskać szerszy obraz. Poniżej przedstawiamy podstawowe wyniki, w stopniu pogłębionym ich interpretacja ma się pojawić w raporcie końcowym, obejmującym wszystkie trzy badania obecnego cyklu CXO HUB CyberSec Chapter poświęconego transformacji cyberbezpieczeństwa. Premiera publikacji jest planowana na kwiecień br.
RODO punktem odniesienia dla CyberSec
Z ankiety wynika, że najważniejszym punktem odniesienia dla cyberbezpieczeństwa firm i instytucji jest zaimplementowana do systemu prawnego regulacja dotycząca ochrony danych osobowych (RODO). W przyszłości dodatkowymi punktami odniesienia będą także rekomendacje Narodowe Standardy Cyberbezpieczeństwa zawarte w Strategii Cyberbezpieczeństwa RP oraz zmieniona ustawa o krajowym systemie cyberbezpieczeństwa. Można więc mówić o prymacie twardych, egzekwowanych prawnie zapisów nad „organicznymi”, pierwotnymi w stosunku do nich uniwersalnymi zbiorami rekomendacji, praktycznej wiedzy jak baza MITRE ATT@CK czy rekomendacjami National Institute of Science and Technology (NIST).
Implementacja NIS w 2018 do UKSC nie ma, jak by wynikało z naszej ankiety, tak powszechnego wpływu na kształt bezpieczeństwa. W przyszłości jej znaczenie przejmie być może mające ambicje szerszego oddziaływania znowelizowana UKSC – może ta regulacja uzyska większy wpływ na działające w firmach modele cyberbezpieczeństwa. Należy też zaznaczyć, że kilkukrotnie w kategorii spoza wyboru (inne) pojawiały się, jako punkt odniesienia o największym wpływie na bezpieczeństwo standardy z rodziny ISO 27xxx a także rozporządzenie DORA, ukierunkowane na odporność sektora finansowego.
CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”. Pytnanie 1 i 2. Które z zestawów rekomendacji, modeli i regulacji mają obecnie/docelowo największy wpływ na kształt cyberbepieczeństwa w firmie (można wskazać do 3 odpowiedzi)?
- Zbiór rekomendacji Narodowe Standardy Cyberbezpieczeństwa w Strategii Cyberbezpieczeństwa RP 2019-2024
- Rozporządzenie o Ochronie Danych Osobowej (RODO)
- Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC)
- Dyrektywa Network and Information Security (NIS)
- Rekomendacje National Institute of Science and Technology (NIST)
- Baza MITRE ATT@CK (Adversarial Tactics, Techniques, and Common Knowledge)
- inne (jakie)
Portfel rozwiązań w trakcie zmiany
Uczestnicy naszego badania najwyraźniej są w większości w trakcie istotnej zmiany portfela rozwiązań wykonujących zadania ochrony informatycznej swoich organizacji. Zaobserwować można zdecydowane przesunięcie w kierunku rozwiązań pozwalających w nowy, pełniejszy – komplementarny i automatyczny sposób zarządzać zagadnieniami CyberSec. Najbardziej znaczący przyrost znaczenia będzie dotyczył systemów SOAR, ale także korespondującego z nim podejścia platformowego. Swoją pozycję umocnią także systemy klasy EDR, które zastępują rozwiązania antywirusowe. Jednak podejście realizowane w systemach EDR także podlega ewolucji, czego wyrazem jest pojawienie się platform XDR – zainteresowanie nimi relacjonują m.in. globalne obserwacje fal zakupowych rozwiązań CyberSec prowadzone przez Cisco. Docelowo istotną klasą rozwiązań będą dla uczestników naszego badania także systemy UEBA. Są one ważnym element współpracy i zasilania platform i nowej generacji systemy SIEM, komplementarnym dla nowego technologicznego fundamentu CyberSec.
CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”. Pytanie 3 i 4. Które z klas rozwiązań mają obecnie/docelowo największe znaczenie dla efektywnej realizacji celów cyberbezpieczeństwa w firmie (można wskazać do 3 odpowiedzi)?
- Systemy antywirusowe
- Security Information and Event Management (SIEM)
- Endpoint Detection and Response (EDR)
- Security Orchestration Automation and Response (SOAR)
- User and Entity Behavior Analytics (UEBA)
- Risk Management and Compia
- nce GRC
- platformy integrujące rozwiązania
- inne (jakie)
SOC – bijące serce CyberSec
Spośród komplementarnych rozwiązań o charakterze organizacyjnym lub organizacyjno-technologicznym, kluczowe znaczenie dla uczestników obecnego CXO Insight posiada i będzie posiadał SOC. Waga zespołów CERT i CSIRT, ma co najmniej równe znaczenie, szczególnie jeśli traktować by je potocznie, jako synonimy. Wiadomo jednak, że wprowadzenie sektorowych CSIRT nowelą KSC zmienić powinno krajobraz cyberbezpieczeństwa. Podobnie zresztą, jak pojawienie się jednostek ISAC – kolejnych dźwigarów krajowego systemu cyberbezpieczeństwa.
CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”. Pytanie 5 i 6. Które z rozwiązań organizacyjnych wspierających odpowiedź i zarządzanie incydentami mają obecnie/docelowo największe znaczenie dla firmy (można wskazać do 3 odpowiedzi)?
- computer security incident response team (CSIRT)
- computer emergency response team (CERT)
- Information Sharing and Analysis Center (ISAC)
- Security Operations Center (SOC)
Wąski krąg zaufanych
Wsparcie własnych zasobów cyberbezpieczeństwa zewnętrznymi partnerami staje się w zasadzie niezbędne – wynika z odpowiedzi uczestników naszego badania. Co ciekawe, dla ponad połowy ankietowanych grono długofalowych partnerów w strategicznym i delikatnym obszarze CyberSec jest i powinno pozostać wąskie, i liczyć nie więcej niż 3 zewnętrzne podmioty. Zapewne łatwiej wówczas rozstrzygać o wyborach technologicznych i organizacyjnych. To fundamentalne wyzwanie w obecnej sytuacji rozkwitu rynkowej oferty, utrudniającej porównanie i ocenę wartosci dla firmy dostępnych rozwiązań. Kwestie te poruszało także w pewnym wymiarze poprzednie badanie CXO Insight, które wstępnie odzwierciedliło potrzeby konwergencji i standaryzacji, także w gronie partnerów CyberSec.
CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”. Pytanie 7 i 8. Ilu partnerów w obszarze cyberbezpieczeństwa (dostawców, integratorów) obecnie/docelowo współpracuje długofalowo z firmą?
- zero
- jeden – trzech
- trzech – dziesięciu
- powyżej dziesięciu.
CyberSec ruszył w drogę…
…albo się do niej przygotowuje. Większość uczestników naszego badania jest albo na etapie definiowania docelowego modelu, albo już na drodze prowadzącej ku dojrzałemu modelowi cyberbezpieczeństwa. Organizacje te dzieli zatem bagaż wielu doświadczeń i wdrożeń, który musi wyrażać się także w dystansie czasowym. Choć zastrzec należy, że pytamy o subiektywne oceny etapu budowy dojrzałego CyberSec. Z pewnością to kolejny wymiar, w którym ciekawe informacje przyniesie bliższe przyjrzenie się korelacjom z innymi zagadnieniami poruszonymi w tym badaniu, które przedstawimy w końcowym raporcie obecnego cyklu CXO HUB CyberSec Chapter.
CXO Insight „Ewolucja CyberSec: konwergencja i standaryzacja”. Pytanie 9. Obecny model cyberbezpieczeństwa w firmie określić można w Pani/Pana subiektywnej ocenie, jako
- dojrzały
- zmierzający ku dojrzałości
- na etapie definiowania docelowego modelu
- na etapie początkowym
Grono decydentów na spotkaniach CyberSec Chapter i wśród respondentów CXO Insight
W drugim badaniu CXO Insight cyklu poświęconego transformacji cyberbezpieczeństwa udział wzięły 52 osoby. Reprezentują one grono osób odpowiadajacych w większości bezpośrednio za CyberSec na pozycjach top menedżerów obszarów technologicznych i bezpieczeństwa w dużych i bardzo dużych firmach. Wiele osób, które odpowiedziały, mieliśmy przyjemność gościć podczas spotkań CXO HUB CyberSec Chapter. Dziękujemy za kluczowe dla powodzenia badań i cyklu spotkań zaangażowanie.