Od analizy ryzyka do wyboru technologii. Jak podejmować decyzje o bezpieczeństwie danych?
Kiedy zabezpieczasz dane firmy, najpierw oceń ryzyko i sprawdź, czy organizacja jest gotowa na incydent. Dopiero wtedy dobieraj do tego odpowiednią technologię. W ten sposób chronisz budżet firmy przed kupowaniem niepotrzebnych narzędzi i ustalasz, na które narzędzia wydawać pieniądze. Dowiedz się więcej na ten temat.
Dlaczego organizacje wciąż zaczynają od technologii zamiast od ryzyka?
Ochronę infrastruktury często traktuje się tak, jakby jeden system antywirusowy miał na dobre rozwiązać problem z cyberatakami. Jednak pojedyncze narzędzie nie jest w stanie załatać błędów w procedurach firmy.
Jeśli zespół IT nie sprawdzi, co zagraża firmowym systemom i danym, wszystkie zasoby zabezpiecza w identyczny sposób. W efekcie organizacja wydaje pieniądze na licencje, a i tak ulega atakom phishingowym, ponieważ nie określiła, przed czym dokładnie musi się chronić. Ten problem pojawia się zwykle jeszcze przed etapem zakupów - skoro nikt wcześniej nie ustalił, które procesy muszą działać bez przerwy, dział IT kupuje oprogramowanie, choć nie wie, co konkretnie ma ono chronić.
Jaką wartość mają dane i co oznacza ich utrata?
Kiedy złośliwy program zaszyfruje dyski, jest spore prawdopodobieństwo, że firma będzie musiała przerwać pracę, a pracownicy - odtworzyć systemy zgodnie z wcześniej przygotowanymi instrukcjami. W wielu organizacjach właśnie wtedy wychodzi na jaw, że nikt wcześniej nie ustalił, które systemy trzeba przywrócić jako pierwsze i kto za to odpowiada.
Czytaj więcej: Backup danych: czym jest, po co go robić i dlaczego reguła 3-2-1 to przeszłość
Sytuacja wygląda nieco inaczej, gdy bazy klientów wyciekną do sieci. Wtedy uderza to w wizerunek spółki i ściąga na decydentów kary z tytułu RODO. Do kosztów prawnych dochodzi jeszcze strata czasu zespołów, które muszą wyjaśniać zdarzenie klientom, partnerom i zarządowi. A najtrudniej wykryć ciche operacje hakerów, jeśli ci miesiącami zmieniają numery kont w panelach rozliczeniowych. Dział finansowy bazuje wtedy na fałszywych wskaźnikach i często traci spore sumy pieniędzy, zanim ktoś zauważy problem.
Właśnie dlatego firma musi najpierw dokładnie sprawdzić, co przechowuje w swoich plikach i do czego ich używa na co dzień. Należy też ocenić:
- ile straci, gdy przerwie pracę;
- ile wyda, by przywrócić systemy;
- jak przekona klientów, aby znów jej zaufali.
Gdzie dane są przetwarzane i jakie ryzyko jest z tym związane?
Po analizie ryzyka trzeba zdecydować, gdzie będziesz przechowywać dane - w chmurze publicznej, na własnych serwerach czy w obu tych miejscach jednocześnie. Od tego zależy, kto fizycznie ma dostęp do plików i jakie prawo je chroni.
Na to, czy biznes działa stabilnie, wpływa także to, gdzie fizycznie stoją serwery. Wysyłając pliki poza Unię Europejską, firma traci bezpośrednią kontrolę nad tym, jak prawo egzekwuje ochronę prywatności. Wtedy trudniej ustalić, kto odpowiada za systemy, w jaki sposób audytorzy je kontrolują oraz jaka jest reakcja na ewentualny spór. Z kolei, jeśli serwery są w Europie, zespół IT może łatwiej egzekwować przepisy i wskazać osoby odpowiedzialne za dostęp do danych.
Gotowość operacyjna - kiedy zespół wie, jak zachować się po ataku
Czym jest gotowość operacyjna? To stan, w którym zespół potrafi odizolować system po ataku. Jest to ważne, ponieważ nawet drogi pakiet ochronny może przepuścić ruch, który trudno wykryć.
Czy osoba odpowiedzialna za bezpieczeństwo zna awaryjny kod i procedurę postępowania? Dyrektywa NIS2 nakłada na właściciela obowiązek zgłoszenia incydentu, więc jeśli firma nie ma instrukcji opisującej krok po kroku sposób zgłaszania ataku, naraża się na duże ryzyko kary. Podobną wytyczną zasadę w zapisie polskiej UKSC dla wybranej branży strategicznej. Jeśli nie przećwiczysz takiego postępowania wcześniej, pierwszy atak może wywołać paraliż organizacji.
To może Cię zainteresować: Dyrektywa NIS 2: co zawiera i kogo dotyczą nowe przepisy, wymagania i implementacja
Jak podejmować decyzje o bezpieczeństwie?
Jak zadbać o bezpieczeństwo firmy? Przede wszystkim:
- oceń potencjalne straty finansowe i przygotuj mapę incydentów;
- uporządkuj zasady obiegu umów i haseł;
- rozdziel obowiązki poszczególnym menedżerom;
- dopiero na koniec kup oprogramowanie, żeby automatyzowało wcześniejsze ustalenia.
W ten sposób firma m.in. przestanie opłacać te same subskrypcje, a co za tym idzie - zachowa fundusze. Warto też oddać analizę zewnętrznym ekspertom i wdrożyć sprawdzone rozwiązania z oferty cyberbezpieczeństwa. Wtedy technologia rozwiązuje faktyczne problemy, ponieważ realizuje konkretne wytyczne spisane przez zespół. Dobrze przeprowadzony rekonesans bezpieczeństwa pozwala też uniknąć sytuacji, w której firma kupuje dwa narzędzia rozwiązujące ten sam problem.
Sprawdź także: Jaka jest różnica między SIEM i SOC i czy SOC potrzebuje systemu SIEM
Bezpieczeństwo danych nie zaczyna się od wdrożenia narzędzia, ale od analizy ryzyka, procesów i scenariuszy incydentów. Dopiero wtedy technologia ma sens, ponieważ będzie faktycznie wspierać działania, które organizacja już potrafi nazwać, zaplanować i egzekwować.
Zanim wybierzesz rozwiązanie, sprawdź, które dane i procesy są krytyczne oraz czy firma wie, co zrobić, gdy dojdzie do naruszenia.
