Mecz o wszystko!

Na pierwszy rzut oka mogłoby się wydawać, że świat piłki nożnej i usług bezpieczeństwa IT nie mają ze sobą nic wspólnego. Ten pierwszy uwielbia zapełnione trybuny, hymny kibiców, kolorowe szaliki ulubionych klubów, entuzjastów, którzy kochają ten sport ponad wszystko. Ten drugi zaś najlepiej gdy działa niezauważony, lubi uporządkowane i zoptymalizowane procesy, ceni sobie ciszę i brak zagrożeń, ale z drugiej strony jest kosztownym i często najmniej lubianym obszarem zarządzania przedsiębiorstwem. Przynajmniej tak było do niedawna. Jednak jeżeli zagłębimy się w temat bezpieczeństwa IT, ku zaskoczeniu nas samych, odkryjemy, że więcej go z piłką nożną łączy, niż dzieli.

Ewelina Kornaś–Zarzycka, Specjalista ds. bezpieczeństwa informacji

Małgorzata Zabieglińska – Lupa, ICT Product Manager

Na pierwszy rzut oka mogłoby się wydawać, że świat piłki nożnej i usług bezpieczeństwa IT nie mają ze sobą nic wspólnego. Ten pierwszy uwielbia zapełnione trybuny, hymny kibiców, kolorowe szaliki ulubionych klubów, entuzjastów, którzy kochają ten sport ponad wszystko. Ten drugi zaś najlepiej gdy działa niezauważony, lubi uporządkowane i zoptymalizowane procesy, ceni sobie ciszę i brak zagrożeń, ale z drugiej strony jest kosztownym i często najmniej lubianym obszarem zarządzania przedsiębiorstwem. Przynajmniej tak było do niedawna. Jednak jeżeli zagłębimy się w temat bezpieczeństwa IT, ku zaskoczeniu nas samych, odkryjemy, że więcej go z piłką nożną łączy, niż dzieli.

Po pierwsze, tematy bezpieczeństwa przez lata były zaniedbywane przez firmy i pozostawiane na ławce rezerwowych niczym gracz czekający na swoją kolejkę. Aż do teraz! Coraz większa liczba głośnych przypadków naruszenia bezpieczeństwa IT, przynoszących organizacji poważne straty zarówno finansowe, jak i wizerunkowe sprawia, że wśród przedsiębiorców rośnie zainteresowanie tym tematem oraz świadomość jego krytyczności. W ostatnim czasie niejedna firma prywatna, czy też organizacja publiczna musiały ponieść przykre konsekwencje braku odpowiednich zabezpieczeń przed złośliwymi atakami zewnętrznymi oraz skutkami awarii sprzętowych.

Jak doskonale wiemy w kraju nad Wisłą, wraz z gwizdkiem sędziego oznajmującego rozpoczęcie piłkarskiego meczu, każdy widz czuje się piłkarskim ekspertem. Zaczynając od speców, tzw. couch potato, którzy wytykają nawet najmniejsze błędy piłkarzom, a kończąc na specjalistach od transferów i zarządzania drużyną. Nie jeden uważa się za lepszego od trenera, któremu na konto wpływają krocie i nie zawsze wiadomo za co. Podobnie jest z bezpieczeństwem. Temat zarządzania bezpieczeństwem IT jest ostatnio odmieniany przez wszystkie przypadki. Dodatkowo firmy nie chcą publicznie przyznawać się do braku wdrożonych i utrzymywanych kompleksowych rozwiązań z zakresu bezpieczeństwa IT. Budują więc wokół siebie iluzję bezpiecznego świata, w którym kluczowe dane firmy i ich klientów są „bezpieczne”. Ale czy na pewno?

Czego zatem przedsiębiorstwa mogą się nauczyć od najlepszych drużyn piłkarskiego świata? Poza oczywistymi elementami, do których należą praca zespołowa, system zarządzania talentami, proces rekrutacji czy selekcja, najważniejsza wydaje się konieczność wdrożenia odpowiedniej strategii gry. Podobnie jest w przypadku bezpieczeństwa IT. Wdrożenie i utrzymywanie odpowiedniej strategii pozwalają na długofalową realizację celów, a także podjęcie ważnych decyzji i działań, które wiążą się z kalkulacją kosztów finansowych i zmian organizacyjnych, tak aby jak najbardziej ograniczyć ryzyko. To proces długi i kosztowny, ale i opłacalny. Będzie dla naszej firmy niczym zatrudnienie jednego z najlepszych piłkarzy świata: Lionela Messiego, Cristiano Ronaldo, czy Roberta Lewandowskiego. Pozwoli osiągnąć naszej firmie długoterminowe korzyści. Coraz większa precyzja i wyrafinowanie ataków cyberprzestępczych wymaga coraz to bardziej złożonych działań ochronnych, które mogą przekraczać możliwości organizacyjne wielu firm. Jeśli jednak nie jesteśmy w stanie zatrudnić najlepszych z najlepszych to i na to znajdzie się rozwiązanie. W takiej sytuacji racjonalne staje się korzystanie z bardziej optymalnych kosztowo i łatwiejszych w obsłudze usług chmurowych świadczonych przez wyspecjalizowane firmy.

Myśląc o bezpieczeństwie IT, pierwszym, a często i jedynym skojarzeniem jest ochrona przed złośliwymi atakami sieciowymi z zewnątrz, takimi jak: hacking, DDoS czy "popularny" ostatnio ransomware. Tymczasem w branży IT bezpieczeństwo rozumiane jest dużo szerzej - jako dostępność, integralność oraz poufność danych. Nie tylko cyberatak może pozbawić organizację możliwości świadczenia usług swoim klientom lub narazić na przykre konsekwencje (prawne, finansowe, wizerunkowe). Dlatego tak ważne wydaje się wdrożenie usług Managed IT Security Services jako kompleksowego zestawu narzędzi i procesów, które mają za zadanie chronić działanie organizacji klienta poprzez zapewnienie bezpieczeństwa jej danych. Usługi Zarządzania Bezpieczeństwem IT są dla biznesu tym czym dla piłkarskiej drużyny wdrożenie odpowiedniego programu zarządzania talentami – jej sercem, które pozwala osiągnąć wysoką wydajność zarówno na boisku, jak i w świecie biznesu.

Wdrożenie najlepszych systemów monitorowania i wykrywania zdarzeń bezpieczeństwa jest bezcelowe, jeśli w odpowiednim czasie nie nastąpi odpowiednia reakcja. O ile wdrożone środki techniczne mogą niwelować lub blokować zdarzenia bezpieczeństwa, nie dopuszczając do powstania incydentu, to nie jest możliwe wyeliminowanie i zablokowanie wszystkich tego typu zdarzeń, choćby z tego powodu, że w grę wchodzi czynnik ludzki. Odpowiedzią może być wdrożenie sensownego procesu Security Incident Management, którego głównym zadaniem jest wykrycie takich sytuacji oraz jak najszybsza reakcja. Prawidłowe wdrożenie procesu będzie dla naszego przedsiębiorstwa tym, czym dla zespołu jest jego trener – centrum dowodzenia, które jest w stanie wyłapać wszystkie ryzyka i potencjalne zagrożenia, a na te, które się wydarzyły, odpowiednio zareagować. Skuteczny proces obsługi incydentów bezpieczeństwa wymaga implementacji odpowiednich procedur zarządzania incydentami i pokazuje wszystkie kluczowe zadania, jakie powinny zostać realizowane przez kompetentny personel. Trener nigdy nie osiąga sukcesu sam, potrzebuje do tego sztabu wykwalifikowanych ludzi (trener bramkarzy, fizjoterapeuta, lekarz, masażysta, statystyk, szef banku informacji itp.) i oczywiście odpowiednich narzędzi. Podobnie jest w przypadku wdrażania procesu Security Incident Managemnt. Zadania realizowane w tym procesie przez zespół ds. bezpieczeństwa są wspierane przez odpowiednio skonfigurowane techniczne narzędzia, usprawniające jego obsługę (systemy zabezpieczające, systemy monitorowania, system gromadzenia, korelacji i zarządzania zdarzeniami i incydentami, mechanizmy automatycznego powiadamiania oraz systemu obsługi zgłoszeń oraz incydentów). Incydent bezpieczeństwa wymaga analizy i wyciągnięcia wniosków, które w przyszłości pozwolą lepiej zorganizować zabezpieczenia i procesy (lessons learned) w celu wyeliminowania podobnych zdarzeń oraz ich skutków w przyszłości.

Na sukces w biznesie piłkarskim składa się wiele czynników. Potrzebna jest nie tylko inspiracja, za którą pójdzie strategia i dojrzałość biznesowa, ale również innowacje technologiczne, odpowiednie przywództwo. Ogromną rolę w osiąganiu tego sukcesu ma bramkarz. Jego rola na boisku jest nie do przecenienia. Bramkarz jest dla zespołu tym, czym dla biznesu jest Vulnerability Management. Poruszając się w obrębie własnego pola karnego bramkarz ma przed sobą niemal całe boisko. To on jest w stanie dostrzec najwięcej. Dzięki temu jest w stanie zauważyć błędy kolegów i podpowiadać im najlepsze ustawienia. Vulnerability Management to zautomatyzowany proces, którego zdaniem jest również wykrywanie nowopowstałych słabości w infrastrukturze. Posiłkując się skanerami podatności, zasoby sprawdzane są pod kątem występowania w nich podatności, które mogłyby przyczynić się do przełamania zabezpieczeń. Silniki skanujące umożliwiają wykrywanie podatności na serwerach, stacjach roboczych, w systemach operacyjnych, w aplikacjach, bazach danych i innych urządzeniach posiadających adres IP. Dla każdej zidentyfikowanej podatności można przypisać nowopowstałe zagrożenie bezpieczeństwa. Wykryte podatności zawierają dokładne informacje o niej, jak również opis środków zaradczych, które powinny zostać podjęte aby ją usunąć. O ile skanowanie podatności jest zautomatyzowane, o tyle testy penetracyjne są wykonywane manualnie, według scenariuszy ściśle określonych standardów (.in.. OWASP) oraz bazujące na szerokim doświadczeniu Pentestera. Testowaniu mogą podlegać tutaj podatności wykryte wcześniej przez skaner - sprawdzamy wówczas, czy można je wykorzystać do złamania zabezpieczeń.

Każda organizacja, niezależnie od formy własności i branży funkcjonuje w określonym porządku prawnym i musi spełniać określone normy i standardy (np. PCI DSS, ISO/IEC 27001, ISAE 3402). Przekłada się to na określone wymagania co do poziomu zabezpieczeń i sposobu zarządzania usługami IT. Compliance Management jest tym co ma zapewnić aby wszystkie wymagane regulacje były spełnione, czy to dotyczące np. ochrony danych osobowych czy wymagane przez instytucje certyfikujące.

Musimy zdawać sobie sprawę z tego, że pomimo świetnego przygotowania, wyważonej strategii czy najlepszych graczy zawsze istnieje niepewność co do wyniku meczu. Niepewność związana z niedocenieniem przeciwnika, niewykorzystaniem szans, zmieniającymi się dynamicznie warunkami na boisku czy niedostosowaniem swojej gry do bieżących sytuacji. Podobnie jest w bezpieczeństwie, ten wpływ niepewności na cele to nic innego jak definicja ryzyka wg normy ISO 31000 będącym zbiorem standardów dotyczących zarządzania ryzykiem opracowanych przez Międzynarodową Organizację Normalizacyjną. Żadna organizacja nie jest w stanie zupełnie uniknąć ryzyka. Paradoksalnie ryzyko do pewnego stopnia musi być podejmowane, żeby umożliwić organizacji osiągnięcie tychże celów. Większość organizacji wykonuje czynności związane z ryzykiem, ale ów Risk Management nie zawsze jest usystematyzowany, udokumentowany i powtarzalny. Może warto zastanowić się nad oddaniem obszaru zarządzania ryzykiem w ręce profesjonalistów, czyli firm zewnętrznych, które poprzez identyfikację, estymację i ewaluację ryzyka, a następnie zaplanowanie i wdrożenie odpowiednich środków zapobiegawczych będą w stanie podnieść poziom bezpieczeństwa danego przedsięwzięcia i je kontrolować. Ponadto dzięki temu, że zajmą się jedynie wydarzeniami mającymi wpływ na osiąganie celów organizacji w świetle kontekstu, w którym ona działa, będą w stanie zrozumieć jaki jest ogólny poziom zagrożenia.

Każdy trener zdaje sobie sprawę, że sukces drużyny zależy nie tylko od optymalnego doboru składu, ale również od ciągłego planowania oraz testowania strategii tak by maksymalnie zminimalizować czynnik ryzyka. Tym samym w bezpieczeństwie zajmuje się proces IT Continuity Management, który skupia się na planowaniu, ustanawianiu oraz testowaniu określonych strategii czy procedur mających na celu minimalizację wpływu niedostępności określonej usługi IT dla klienta. Strategią może być zapewnienie dodatkowej przepustowości łącza, ale również przygotowanie całego ośrodka zapasowego, który będzie w stanie świadczyć określoną usługę w przypadku niedostępności ośrodka pierwotnego. Ważnym aspektem zarządzania ciągłością jest posiadanie procedur na wypadek wystąpienia sytuacji awaryjnych i map komunikacyjnych. Podobnie jest w przypadku piłki nożnej, każdy trener ma zawsze plan B na wypadek kontuzji któregoś ze swoich podopiecznych. Taki plan regularnie testowany pozwala mieć pewność, że w przypadku wystąpienia awarii wszystko przebiegnie zgodnie z planem i wszystkie zaangażowane strony otrzymają adekwatną informację minimalizując w ten sposób ryzyko wystąpienie niedostępności świadczonej usługi.

Reasumując, tak jak trener, który ma wizję swojej drużyny i zwycięstwa tak i my musimy zastanowić się jak odpowiednio wyselekcjonować i dostosować poziom zabezpieczeń w naszej organizacji, aby były skuteczne, celne i doprowadziły nas do jednego: wygrania meczu, bo jest to mecz o wszystko.