Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

6 rad o tym jak efektywnie budować bezpieczeństwo organizacji

6 rad o tym jak efektywnie budować bezpieczeństwo organizacji

Każda organizacja buduje i rozwija swoje bezpieczeństwo w oparciu o swoich pracowników — świadomie lub nie. Jedne korzystają z branżowych schematów i procesów, inne liczą na kontekstową pomoc konsultantów, a jeszcze inne odsuwają ten temat na lepsze czasy. Niezależnie od profilu firmy, są rzeczy, które będą uniwersalne — i pomogą budować efektywnie bezpieczeństwo organizacji.

Postaw na ludzi

Ile razy słyszeliśmy, że człowiek jest najsłabszym ogniwem? Ba, ile razy sami powtórzyliśmy te słowa chcąc sprzedać usługi bezpieczeństwa, uzyskać dodatkowy budżet, wdrożyć nowe rozwiązanie, czy po prostu postraszyć incydentami? Powtarzamy te słowa od lat, często już bezwiednie. Czasy natomiast się zmieniły. Dzisiaj to pracownicy budują nasze bezpieczeństwo i to od ich skuteczności zależy to czy nasza organizacja będzie bezpieczna. To pracownicy budują świadomość, oni implementują i zarządzają naszymi systemami, i to pracownicy podejmują kluczowe decyzje dotyczące rozwoju bezpieczeństwa.

Stawiając na ludzi — zarówno na role bezpośrednio związane z bezpieczeństwem, jak i resztę populacji pracowników — mamy możliwość przekuć utarte najsłabsze ogniwo w aktywną tarczę, która im lepiej wyszkolona i uzbrojona w narzędzia, da nam najlepszy zwrot z inwestycji w zakresie budowy i rozwoju bezpieczeństwa.

Zabawki są fajne, ale te też trzeba obsłużyć

Podążając za raportem DBIR Verizona, blisko 85% incydentów jest teraz związana z ludźmi. Skala ataków socjotechnicznych, najczęściej przeprowadzanych w formie phishingu, jest tak duża (1 na 4200 maili), że w dużych organizacjach zaczynamy mieć ogromne prawdopodobieństwo, że któryś z pracowników się kiedyś złapie. Brzmi to jak potwierdzenie tezy pracownika będącego najsłabszym ogniwem, ale jest to też argument do pytania — czemu jednak duże korporacje opierają się tym atakom?

Oczywiście, pierwsza myśl jaka się pojawia to narzędzia. Mamy systemy na poziomie sieci, infrastruktury, na poziomie naszych urządzeń końcowych. Te rzeczywiście są dzisiaj bardzo zaawansowane, szczególnie jeśli mówimy o uczeniu maszynowym i marketingowej sztucznej inteligencji. Każde z tych narzędzi trzeba jednak wybrać, wdrożyć, skonfigurować, obsługiwać i utrzymać. To nawiązuje mocno do punktu poprzedniego — potrzebujemy kompetencji, które katalizują możliwości dane nam przez narzędzia i także zapewnią, że wartość wnoszona przez nasze systemy będzie taka sama lub nawet większa im dłużej nimi operujemy. Powinniśmy wybierać najlepsze dostępne na rynku systemy, ale też takie, które będziemy mogli efektywnie wykorzystać w naszej organizacji.

Odpowiednia strategia

To dopasowanie powinno być wielopoziomowe. To jak dobieramy narzędzia, musi być spójne z tym jak dobieramy kompetencje i z tym jak zarządzamy kapitałem ludzkim. Na tym jednak nie koniec. Nasz program bezpieczeństwa musi być przede wszystkim dopasowany do naszego biznesu i strategii. Nawet największe chęci i najmocniej wsparte finansowo inwestycje w bezpieczeństwo zawiodą, jeśli biznes nie będzie na te zmiany gotowy, a działania nie będą układały się w spójną strategiczną całość. I nie chodzi tutaj o techniczne i wewnętrzne roadmapy, które wszyscy tak lubimy. Chodzi o wyznaczenie misji i wizji dla programu bezpieczeństwa, o wyrażenie intencji i planu w formie, która będzie zrozumiała zarówno dla szeregowych pracowników, jak i osób decyzyjnych w naszej organizacji. Wizja powinna energetyzować, a misja wskazywać to jak powinniśmy działać by tę wizję osiągnąć. Nasza strategia będzie tym, czym będziemy przekonywać zarząd do kolejnych inwestycji, tym czym będziemy wyznaczać ramy priorytetów i tym przez co będziemy określać efektywność naszych działań.

Raport IBM Data Breach wskazuje, że znacząca większość zarządów organizacji (88%) zaczęła uznawać bezpieczeństwo komputerowe jako ryzyko biznesowe. Skala zmagań z incydentami i atakami stawia coraz to nowsze wymagania dla budujących program bezpieczeństwa, ale też buduje mocniejszą świadomość osób decyzyjnych. Aby odpowiednio z tej świadomości skorzystać musimy mieć mechanizm, który przedstawi co tak dokładnie za budżet organizacja dostanie. Strategia jest w tym przypadku lepszym produktem wewnętrznego marketingu dla inwestycji w bezpieczeństwo niż potrzeba zakupu kolejnego narzędzia czy zapotrzebowanie na zwiększone zatrudnienie. Budowa strategii wraz z jasną misją i wizją będzie wyznaczać kierunek dla wszelkich działań i wymusi też priorytetyzację.

Mierz siły na zamiary

W początkowych fazach rozwoju programu bezpieczeństwa chcielibyśmy pokryć wszystko i wziać pod uwagę każdą domenę zarządzania nim. Niejednokrotnie kończy się to klęską zbyt wielu równoległych projektów, które będąc rozsynchronizowane lub zbyt mnogie nie dostarczają oczekiwanej wartości na poprawie bezpieczeństwa organizacji.

Z drugiej strony mamy przed sobą też projekty czy wdrożenia, które po rozpisaniu mogą ciągnąć się nawet latami. Obawa, że efekt końcowy rozminie się z potrzebami z uwagi na zmiany w świecie technologii czy naszego biznesu okazuje się być boleśnie rzeczywista. Odpowiednio przygotowana strategia powinna łączyć długoplanowy zysk/wartość z bardziej taktycznymi i łatwiej zarządzalnymi projektami. Różne raporty wskazują, że zaledwie około 10% organizacji realizuje przynamniej dwie trzecie swojej strategii, a ponad 50% organizacji nie osiąga nawet połowy zamierzonych celi.

Implementacja i odpowiednie zabezpieczenie zasobów do wdrożenia jest równie istotne co dobrze sformułowana strategia, a co za tym idzie — powinniśmy mierzyć siły na zamiary. Coś, co wydaje się być tylko prostym procesem PoC (Proof of Concept), potem etapem testów i wdrożenia, może rozciągnąć się na żmudną implementację przypadków brzegowych, integracji z naszym środowiskiem, czy chociażby adopcją wśród pracowników. Każda godzina spędzona przez eksperta na kompensowaniu błędnych planów czy założeń, mogłaby być spożytkowana w kolejnym projekcie lub wdrożeniu.

Inwestuj w automatyzację

Innym obszarem, gdzie organizacje tracą cenny czas eksperta jest praca manualna.

Eksperci, których potrzebujemy by skutecznie przeprowadzić wdrożenie i stabilizację nowego rozwiązania, często zostają już z narzędziami by je utrzymać i obsługiwać. Taki model nie tylko marnuje czas wysocewyspecjalizowanego pracownika, ale nie pozwala się też odpowiednio skalować, pomijając też kwestie wy-palenia czy zmniejszonej innowacyjności pracowników na stałe przypisanych do manualnych procesów.

Imperatywem powinno być wczesne i szybkie automatyzowanie. Raporty Gartnera mówią nawet o hiperautomatyzacji — tj. automatyzo-waniu wszystkiego co jest możliwe. Oczywiście, są zadania, które zawsze będą wymagały ludzkiego czynnika. Powinniśmy te zadania bardzo skrupulatnie zidentyfikować, tak by skoncentrować na nich uwagę naszych zespołów, a resztę zautomatyzować.

Dobrym przykładem jest adopcja systemów klasy SOAR (Security Orchestration, Automation, and Response). Już sama obsługa np. podejrzeń incydentów, ma ogromną przestrzeń do automatyzacji — przez lepsze wzbogacenie danych, pozyskanie dodatkowych informacji z systemów dających nam Threat Intelligence, czy podjęcie reakcji w wielu wewnętrznych systemach, by ograniczyć wpływ ataku. To, co kiedyś wymagało kilku inżynierów i analityków, może sprowadzić się do bardzo efektywnego runbooka, który będzie wymagał interakcji z ekspertem w momentach decyzji, czy chociażby potwierdzenia proponowanej reakcji. Co ważniejsze, taki schemat jest mniej podatny na błąd ludzki — bo interakcja z pracownikiem jest ograniczona do meritum wymaganej wiedzy eksperckiej.

Po prostu słuchaj

Wielu liderów nie docenia woli i możliwości pracowników do rozwiązywania dużych problemów korporacyjnych. Częstym modelem jest budowa strategii odgórnie i narzucenie roadmapy na zespół, chcąc jak najszybciej osiągnąć cele, które komunikowane są nam ze strony zarządu. Niemniej jednak, stawiając na ludzi, budując spójną kulturę bezpieczeństwa firmy, która wraz ze strategią, misją i wizją będzie delegować bezpieczeństwo firmy do naszych pracowników, mamy szanse na uzyskanie lepszych, efektywniejszych inicjatyw oddolnie.

Budowa bezpieczeństwa na wiedzy eksperckiej pracowników bezpośrednio odpowiedzialnych za bezpieczeństwo, ale też naszych Guardianów, Championów, czy Ambasadorów pozwoli szybciej automatyzować, lepiej mierzyć siły na zamiary, budować strategię dopasowaną do biznesu i kultury, a końcowo uzyskać największy zwrot z inwestycji naszego najcenniejszego zasobu — zasobu ludzkiego.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa