„Moja firma została wyznaczona jako Operator Usługi Kluczowej! I co teraz?” Czy jest optymalny przepis na wdrożenie i jakie błędy łatwo popełnić – czy firmy będą wiedziały, co i w jakiej kolejności robić? Czy powinny rozwijać własne kompetencje, czy pozyskać je na zewnątrz? Te zagadnienia były podczas „KSC Forum 2019” tematem dyskusji w grupie roboczej „Dobre dopasowanie narzędzi i drogi działania do specyfiki danej organizacji”. Przedstawiamy wypracowane przez jej uczestników wnioski. 

Co oznacza dla firmy wdrożenie KSC? Odpowiedź na to pytanie nie jest jednoznaczna, gdyż specyfika każdej organizacji oznacza inną ścieżkę dojścia do osiągnięcia zgodności z wymaganiami Ustawy. Można jednak stworzyć mapę drogową, która będzie pomocna w wyznaczeniu optymalnej formuły działania. 

1. Należy zacząć od poznania własnej organizacji, czyli identyfikacji krytycznych procesów z dwóch perspektyw: realizacji celów biznesowych oraz bycia operatorem usługi kluczowej.

2. Kiedy już określimy procesy krytyczne, musimy ustalić jakie systemy teleinformatyczne wspierają ich realizację.

3. Kolejnym krokiem jest weryfikacja wpływu niedostępności tychże systemów teleinformatycznych na realizację procesów krytycznych.

4. Następnie budujemy profil ryzyka dla powyższych systemów, aby określić potencjalne zagrożenia.

5. W kolejnym kroku musimy wykonać analizę ryzyka, biorąc pod uwagę istniejące zabezpieczenia i kontrole ograniczające materializację ryzyka.

6. Teraz jesteśmy gotowi, aby wykrytym słabościom nadać adekwatne priorytety, określić czas ich usunięcia oraz sposób sfinansowania wymaganych zmian.

Hybrydowy model wsparcia 

Okazuje się, że bez względu na profil organizacji najczęściej brakuje wewnętrznych zasobów na realizację dużych projektów, szczególnie w obszarze cyberbezpieczeństwa. Nie wynika to z braku kompetencji zespołu, lecz z obciążenia bieżącymi zadaniami. Przy jednoczesnym niedoborze wykwalifikowanych kadr na rynku pracy zasadne wydaje się skorzystanie z zewnętrznych usług wsparcia. 

Szczególnym obszarem jest monitorowanie bezpieczeństwa, gdyż wymaga powołania specjalnego zespołu, i to najczęściej w trybie 24/7. Należy jednak pamiętać, że proces monitorowania bezpieczeństwa wymaga ciągłych poprawek i strojenia narzędzi, więc w sytuacji pełnego outsourcingu usługi istnieje ryzyko dużego uzależnienia się od dostawcy. Warto zastanowić się nad modelem hybrydowym, w którym pierwsza linia dostawcy usług pracuje, korzystając z naszych narzędzi. W sytuacji zakończenia kontraktu nie tracimy konfiguracji powstałej w wyniku ciągłego dopasowywania narzędzi do aktualnych zagrożeń i potrzeb.

Wybór narzędzi 

Nie ma narzędzi dobrych dla każdej organizacji. Ich wybór musi być podyktowany realizacją funkcji celu, opierając się na analizie ryzyka. Wdrożenie rozwiązania za 10X, które minimalizuje ryzyko straty w wysokości 2X, nie ma żadnego uzasadnienia biznesowego. Doskonałym pomysłem są wizyty referencyjne, w trakcie których będziemy mogli z pierwszej ręki uzyskać informacje, jak wygodnie pracuje się z danym rozwiązaniem, czy też jakie są jego silne i słabe strony. 

Najważniejsze aspekty związane z wyborem narzędzi

1. Poziom pokrycia wymagań organizacji (realizacja funkcji celu).

2. Możliwości integracji z istniejącą infrastrukturą.

3. Posiadane kompetencje w przyszłym zespole utrzymaniowym.

4. Źródła finansowania.

5. Poziom wsparcia na polskim rynku.

Opracował: Wojciech Kubiak, ICT Security Director, PKP Energetyka, moderator grupy roboczej „Dobre dopasowanie narzędzi i drogi działania do specyfiki danej organizacji”.