Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Narzędzia nie rozwiążą problemów bezpieczeństwa

04 sierpień 2023

Narzędzia nie rozwiążą problemów bezpieczeństwa
Adrian Sroka

Adrian Sroka

Podczas rozwijania firmy łatwo jest wpaść w pułapkę wzmacnianego przez reklamy przekonania, że narzędzia pokonają każdy problem związany z bezpieczeństwem. Jednak nie tędy droga. Kluczową rolę odgrywają ludzie, a rozwiązania, których wdrożenie jest na nich skupione, są trwałe i skuteczne.

Pokusa użycia narzędzi

W pracy często zmagamy się z problemem braku czasu. Chcielibyśmy zaadresować różne obszary działania firmy, jednak nie zawsze są one priorytetowe i wobec tego część z nich odsuwamy na dalszy plan. Między innymi bezpieczeństwo. Z troską o nie jest jak z polisą ubezpieczeniową. Warto ją mieć, ale na co dzień nie widzimy z niej żadnej korzyści, tylko koszty.

By pracować szybciej i efektywniej, korzystamy z wielu narzędzi. Począwszy od systemów CRM, przez narzędzia do zarządzania publikacjami, aż po te bardziej wyspecjalizowane. Ponadto, poszukując rozwiązań naszych problemów, odnajdujemy opisy narzędzi, dzięki którym inni osiągnęli istotne rezultaty. Możemy więc pomyśleć, że zadbanie o bezpieczeństwo to po prostu dobranie odpowiedniego zestawu narzędzi i skonfigurowanie ich na potrzeby naszej firmy. Wygląda to na wygodną, szybką i niezbyt kosztowną metodę dbania o bezpieczeństwo.

Konsekwencje rozpoczynania od wdrożenia narzędzi

Załóżmy, że byłaby to właściwa droga. Jak wygląda najpopularniejszy scenariusz takiego wdrożenia? Zespół (na przykład, wytwarzający oprogramowanie) pracuje zgodnie z pewnym procesem. Któregoś dnia jedna z osób znajduje informację na przykład o nowym skanerze podatności zależności. Zespół jak dotąd nie skanował tego obszaru, więc wszyscy popierają pomysł, żeby w ten sposób zacząć.

Najpierw instalują i konfigurują całe narzędzie. Następnie wyznaczają wymagany poziom bezpieczeństwa (w tym przypadku np. brak problemów powyżej określonej istotności) i zaczynają pracę nad zwiększeniem bezpieczeństwa z pomocą tego narzędzia. Pierwsze kilka tygodni to często okres ekscytacji. Wszyscy są zainteresowani tematem i chętnie monitorują wyniki. Przychodzi jednak okres stagnacji oraz coraz rzadszego zaglądania do narzędzia. Zaś ono samo tego bezpieczeństwa zagwarantować nie może. Dodatkowo część problemów przez nie wykrytych to “false positive”, co często zniechęca. Oczywiście, można by to poprawić i ustawić nowe reguły, ale początkowy entuzjazm już opadł i zespół jest tym mniej zainteresowany.

Często w takiej chwili entuzjazm przechodzi na nowe narzędzie — nową zabawkę. Tak więc może i czujemy, że zadbaliśmy o określony obszar, może nawet raportujemy, że zrobiliśmy coś dla bezpieczeństwa, ale takie podejście nie daje realnych korzyści firmie. Nie porównałbym go ani do słabej polisy, ani nawet do tak bazowego poziomu zabezpieczeń jak apteczka w samochodzie.

Nowa praca u podstaw

Czy to oznacza, że wybrane narzędzie było złe? Nie.

Czy było źle skonfigurowane? Nie.

To często oznacza, że po prostu było źle wdrożone. Kluczowy jest tu brak zrozumienia potrzeb.

Problem można rozwiązać, poprzez poświęcenie czasu na analizę danego narzędzia i jego konfigurację. Jednak sedno tkwi w tym, że wszyscy użytkownicy, nie tylko osoba konfigurująca narzędzie, muszą być świadomi potrzeb, związanych z określonym obszarem. Muszą rozumieć, czym on jest, dlaczego jest istotny i wiedzieć, jak o niego dbać. Aby zadbać o nowy zakres, musimy więc zacząć od “nowej pracy u podstaw”. Czyli z wiedzą o bezpieczeństwie, jej kluczowym znaczeniu i możliwości włączenia w codzienną pracę należy dotrzeć do każdego pracownika — nie tylko dewelopera, ale także PR-owca czy analityka.

Zaczynanie od narzędzi lub narzucanych odgórnie procedur jest jak wchodzenie na nowy rynek, bez uprzedniego poznania i przygotowania adekwatnych działań. Rozwiązaniem tych problemów jest adresowanie tematów z zakresu bezpieczeństwa według schematu: Ludzie, Procesy, Narzędzia — dokładnie w tej kolejności.

Ludzie

Mówiąc o pracy u podstaw, mam na myśli docieranie z wiedzą do każdego pracownika, który posiada dostęp do zasobów firmy. Jak pokazują ataki, to od siły “najsłabszego ogniwa” zależy siła całej organizacji. Dla przykładu wymienię tutaj dwa:

Czy narzędzia mogą zabezpieczyć przed takimi atakami? Nie. Dobrze ułożone procesy mogą pomóc je szybko wykrywać, ale podstawowym i pierwszym krokiem w trosce o bezpieczeństwo powinna być edukacja. Jeżeli dokładamy zespołowi nową odpowiedzialność, musimy się upewnić, że jego członkowie wiedzą, jak działa określony obszar. Rozumieją, dlaczego jest ważny oraz wiedzą, w jaki sposób rozwiązywać pojawiające się problemy.

Jeżeli dajemy dostępy do ważnych dla naszej firmy zasobów, powinniśmy być pewni, że nie tylko zachowa on/a należytą ostrożność, ale także będzie umiał/a odpowiednio postępować w sytuacjach budzących wątpliwości. Warto stworzyć w organizacji przestrzeń do wymiany takiej wiedzy. Niech to nie będą tylko nudne szkolenia do zaliczenia czy skomplikowana procedura do przeczytania. Następnie powinniśmy dać zespołowi czas na ułożenie nowego rytmu pracy i eksperymentowanie. Dzięki temu osoby zaangażowane wyrobią sobie opinię na temat adresowanego obszaru i same zauważą trudności, z którymi jest on związany.

Procesy

Czy jest idealny moment na wprowadzenie procesów? Tak. To czas, gdy pracownicy są już świadomi istotności danego obszaru bezpieczeństwa oraz wyrobili własne nawyki zajmowania się nim. Ustrukturyzowanie procesu to ułożenie planu działania w określonych sytuacjach. Po fazie eksperymentowania znamy już przebieg pracy, więc układamy procedury tak, by umożliwić pracownikom szybkie i automatyczne działanie. Co więcej, ułatwiamy również zapoznanie się z zasadami nowym osobom lub innym zespołom, gdy będziemy chcieli rozszerzyć opracowane praktyki na całą organizację.

Praktyka pokazuje, że taki proces nie jest od razu idealny. Wymaga dostosowywania i dopracowywania. Tak wprowadzany jednak wychodzi naprzeciw potrzebom i trudnościom, nie stając się kolejnym uciążliwym wymaganiem oderwanym od realiów codziennej pracy, o którym nikt nie pamięta. Zależy nam właśnie na bezpieczeństwie realnym, dającym ochronę przed zagrożeniami, nie zaś tylko formalnym potwierdzeniu wysiłków podejmowanych w tej dziedzinie w postaci zestawu raportów wymaganych przez regulacje. W miarę sukcesywnego stosowania dochodzimy do ostatniego pytania: co zajmuje najwięcej czasu?

Narzędzia

To właśnie idealny moment na ostatni krok: wprowadzenie narzędzi. Znamy już dobrze wyznaczony obszar. Wiemy, jak o niego dbać i określiliśmy oczekiwany poziom bezpieczeństwa (np. liczba błędów danego typu). Teraz właśnie warto wdrażać narzędzia, których celem jest wsparcie naszej pracy albo nawet jej zautomatyzowanie. Ponadto jest to idealny moment na ustalenie i egzekwowanie (za pomocą odpowiednich narzędzi) oczekiwanego progu bezpieczeństwa. W ten sposób narzędzie pomaga w pracy i, co najważniejsze, odpowiada na rzeczywiste problemy/potrzeby interesariuszy tego tematu.

Dlaczego to ważne?

Model Ludzie — Procesy — Narzędzia stawia osoby odpowiedzialne za dany obszar w centrum zainteresowania. Dzięki temu docelowy proces jest adekwatny, a ludzie wykonują swoją pracę efektywnie. Czując istotność bezpieczeństwa danego obszaru i mając możliwość jego poznania, biorą za niego pełną odpowiedzialność. Działa to również motywująco na samych pracowników. Nikt nie lubi, gdy dokłada mu się obowiązki bez zapytania go o zdanie, bez pokazania możliwości rozwoju. Ponadto z mniejszym zaangażowaniem wykonujemy zadania, gdy nie widzimy w nich sensu. Za to każdy lubi otrzymywać pomoc. Czy to od człowieka, czy to od narzędzi.

Czy przedstawiony model ma wady?

Tak. Wdrożenie praktyki i osiągnięcie zadowalającego stanu zadbania o określony obszar bezpieczeństwa w ten sposób trwa dłużej niż w przypadku wyjścia od narzędzi bądź procedur przygotowanych dla całej firmy przez działy prawny i bezpieczeństwa.

Czy coś rekompensuje tę wadę?

Tak. Jest to podejście długodystansowe. Tak wdrożona praktyka przynosi firmie realne korzyści (nie tylko w obszarze bezpieczeństwa, gdyż z powodzeniem możemy ją stosować w innych dziedzinach), zostaje w ludziach i łatwiej utrzymać ją w organizacji.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności