Zarządzanie informacją

Bezpiecznie i wydajnie: potrzebne zaangażowanie pracowników

Dotarcie do użytkowników IT w firmie i przekonanie ich o konieczności przestrzegania zasad bezpieczeństwo to jedno z najważniejszych wyzwań dla CSO. Właściwa komunikacja pionu bezpieczeństwa z pracownikami była jednym z tematów konferencji „Advanced Threat Summit 2018”. Nad różnymi aspektami tego zagadnienia dyskutowano w ramach sesji round tables. Przedstawiamy wnioski z dotykających tego tematu dyskusji.

Jak się komunikować z pracownikami, aby skutecznie dotrzeć do nietechnicznych odbiorców i zaangażować ich w cyberbezpieczeństwo?

Doskonale wiemy, że to człowiek jest najsłabszym czynnikiem w całym systemie cyberbezpieczeństwa. Jak zatem dotrzeć do odbiorców, jak ich zaangażować i utrzymać ich uwagę? Każda grupa odbiorców wymaga innego, indywidualnego podejścia, każda ma bowiem inne motywacje. Cały czas trzeba poszukiwać tzw. sweet spot – podejścia, które będzie motywować daną osobę. Dla członków zarządu może to być na przykład premia, dla innych pracowników regulacja KNF. Poszukiwanie indywidualnego „punktu zaczepienia” jest kluczowe. Rozmowa na temat ryzyk cyberbezpieczeństwa, włączanie ich w proces zarządzania ryzykiem organizacji stanowi klucz do sukcesu.

Jak zapewnić maksymalną wydajność użytkownikom przy jednoczesnym utrzymaniu pełnej kontroli przez działy IT?

Wolność z kontrolą można pogodzić. Jednym z warunków zachowania równowagi między maksymalną wydajnością użytkowników a utrzymaniem pełnej kontroli przez działy IT jest ciągła edukacja pracowników mająca na celu zwiększanie świadomości zagrożeń. Szczególną grupą, grupą wysokiego ryzyka, którą należy wziąć pod uwagę w tym kontekście, jest top management. Dział IT potrzebuje pełnej kontroli nad dostępem do firmowych zasobów i jednocześnie musi zarządzać kontami uprzywilejowanymi. Do tego niezbędna jest dobrze zaplanowana i zrealizowana segmentacja infrastruktury. Przy tym konieczne jest świadome planowanie działania zespołu IT. Niektórzy uczestnicy dyskusji zwracali uwagę, że bez zachowania rozsądku może to jednak prowadzić do mającego negatywne skutki ograniczania swobody biznesu.

Jak sprawić, by bezpieczeństwo znalazło się w strategii twojej organizacji, czyli by zarząd uznał je za ważną kwestię?

Zarząd musi mieć świadomość nie samego bezpieczeństwa, ale przede wszystkim istniejącego ryzyka. Jak zatem osiągnąć ten stan? Co może pomóc w budowaniu świadomości zarządu? Po pierwsze, ważna jest praca metodą „małych kroków” na różnych szczeblach organizacji. Edukacja powinna objąć całą organizację: od szeregowego pracownika po prezesa. Zarządowi trzeba pokazywać, że bezpieczeństwo to element całościowego systemu kontroli wewnętrznej. Ważne jest, żeby szukać sojuszników w innych działach. Pierwszorzędnym kandydatem na sojusznika jest departament ryzyka, ponieważ tam właśnie pracują ludzie, którzy mają ogromne doświadczenie w prezentowaniu ryzyka. Jednocześnie nie można zapominać mówić o zagrożeniach, np. o incydentach. Wreszcie, trzeba pamiętać o dokumentacji zarówno w odniesieniu do planu działania, jak i realizacji podjętych działań.

Każda grupa odbiorców wymaga innego, indywidualnego podejścia, każda ma bowiem inne motywacje. Cały czas trzeba poszukiwać tzw. sweet spot – podejścia, które będzie motywować daną osobę. Dla członków zarządu może to być na przykład premia, dla innych pracowników regulacja KNF.

Jak przygotować się na cyberatak?

Dzisiaj nikt nie jest w stanie obronić swojego przedsiębiorstwa przed cyberatakiem. Dlatego oprócz działań prewencyjnych konieczne jest inwestowanie w detekcję i reagowanie po ataku. W obszarze prewencji kluczowe znaczenie ma zarządzanie ryzykiem. Identyfikacja aktywów, informacji, które są najważniejsze z punktu widzenia organizacji, pozwala racjonalnie skoncentrować wysiłki i inwestycje. Jeśli chodzi natomiast o monitorowanie bezpieczeństwa, o detekcję, to potrzebne jest bardziej aktywne podejście, threat hunting i związana z tym wymiana informacji, jak również przygotowanie organizacji na przyjęcie danych typu threat intelligence. Mając na uwadze reakcję, kluczowe jest posiadanie interdyscyplinarnego zespołu, gotowego na sytuacje stresowe i sprawnego operacyjnie, co można osiągnąć dzięki częstemu ćwiczeniu i prowadzeniu gier symulacyjnych.

Jak zarządzać kryzysem w organizacji, w której wystąpił poważny incydent bezpieczeństwa?

Co robić w przypadku kryzysu, kiedy już coś się wydarzyło albo wiemy z pewnością, że wkrótce się wydarzy? Kryzys to nie tylko niedostępność usług, ale także szantaż, wyciek danych, kradzież własności intelektualnej. Przede wszystkim potrzebny jest plan zarządzania kryzysowego. Przy tym nie chodzi wyłącznie o papierowy dokument, ale o to, żeby faktycznie testować to, co jest w nim zapisane. Co powinien zawierać taki plan? Przede wszystkim obligatoryjną i fakultatywną listę osób, które uczestniczą w sztabie kryzysowym. Na liście obligatoryjnej kluczową rolę ma osoba podejmująca decyzje. Najlepiej, jeśli jest to członek zarządu. Najważniejszą zaś rolę na liście fakultatywnej ma do wypełnienia rzecznik prasowy, który komunikuje się z mediami. Plan powinien być aktualny, przez co należy rozumieć, że jest regularnie przeglądany, uzupełniany i zatwierdzany. Niezwykle ważne w tym kontekście jest dzielenie się wiedzą w skali sektorowej.

Polityka zarządzania hasłami i dostępami. Różne podejścia i ryzyka

Podobnie jak w innych przypadkach, także w odniesieniu do polityki haseł istnieje potrzeba szacowania ryzyka. Głównie chodzi o ryzyko w zakresie postępowania z informacjami. Optymalne jest wyjście od klasyfikacji informacji i dobrania polityki dostępu oraz haseł do istniejących ryzyk, które są związane z danymi informacjami. W trakcie dyskusji zastanawiano się, czy ktoś już zwalidował dotychczasowe wymagania odnośnie do polityki haseł i zmienił istniejące warunki. Dotychczas nie pojawiały się sygnały, żeby tak było. Jeśli chodzi o podejście do problemu skomplikowania czy trudności polityk bezpieczeństwa, to istotne jest, żeby z jednej strony brać pod uwagę pomyślne przechodzenie audytów, a z drugiej strony łatwość wdrażania.

Również w odniesieniu do polityki haseł istnieje potrzeba szacowania ryzyka. Chodzi Głównie o ryzyko w zakresie postępowania z informacjami. Optymalne jest wyjście od klasyfikacji informacji i dobrania polityki dostępu oraz haseł do istniejących ryzyk, które są związane z danymi informacjami.

Krok dalej niż SOC i CSIRT, czyli CyberFusion. Jak zrównoważyć technologie i zasoby ludzkie, by jak najlepiej chronić organizację?

Nadal niewiele osób zdaje sobie sprawę, czym jest CyberFusion. Podstawowe funkcje jakie pełnią ośrodki CyberFusion Center to: cyber threat intelligence, threat hunting oraz wykrywanie zagrożeń, monitorowanie zdarzeń i reagowanie oraz analiza złośliwego oprogramowania. Wykorzystanie tego modelu ma oczywiście plusy i minusy. Wiele organizacji jest zainteresowanych implementacją takiego podejścia. Dlaczego jest to kusząca idea? Ponieważ pośród korzyści CyberFusion pojawia się lepsza organizacja działania, która skutkuje szybszym rozwiązywaniem problemów i reagowaniem. Otrzymuje się także lepsze wskaźniki, dzięki którym o wiele łatwiej uzasadniać inwestycje. Oczywiście istnieją i wyzwania. Kluczowe jest rekrutowanie wysokiej klasy specjalistów oraz koszty szkoleń pracowników – zwłaszcza kiedy projekt uruchamiany jest od podstaw.

Oczy nie śpią, czyli czy można monitorować sieć i zasoby użytkowników w zgodzie z prawem, a jeśli tak, to w jaki sposób?

Obowiązujące prawo nie przystaje do aktualnej sytuacji w obszarze monitoringu. Ciągle jest wiele wątpliwości i znaków zapytania. Tymczasem sam monitoring jest niezbędny, jeśli chcemy wykrywać anomalie, zapobiegać incydentom czy odtwarzać ich przebieg. Ważąc interesy pracownika w zakresie ochrony prywatności i tajemnicy korespondencji wobec powodowanych przez niego, zwykle celowo, zagrożeń oraz mając na uwadze bezpieczeństwo interesów gospodarczych pracodawcy, np. w zakresie tajemnicy przedsiębiorstwa, należałoby uznać wyższość tych ostatnich interesów nad pozostałymi. Oczywiście, przy uwzględnieniu spełnienia wobec pracownika obowiązku informacyjnego co do stosowanego wobec niego monitoringu, np. w regulaminie pracy czy regulacjach wewnętrznych zakładu.


Wnioski z wszystkich dyskusji w ramach sesji round tables zostaną zamieszczone w przygotowywanym raporcie pokonferencyjnym „Advanced Threat Summit 2018”.