Rekomendacja Klubu CIO: Bezpieczeństwo

Nowa sytuacja w zakresie zagrożeń bezpieczeństwa oznacza konieczność nowego, systemowego i pragmatycznego podejścia. Przedstawiamy zestaw rekomendacji i praktyk sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.

Cyberprzestępczość nowego typu, przybierająca gwałtownie na sile, profesjonalnie zorganizowana, zmienna i różnorodna pod względem środków i strategii - jest faktem.

Nowe trendy technologiczne oznaczają nowe podatności na zagrożenia i nowe luki kompetencyjne w zakresie bezpieczeństwa. Sieci społecznościowe, mobilność, cloud computing, Internet Rzeczy powodują lawinowy przyrost podatności organizacji na zagrożenia i zarazem pojawianie się luk kompetencji bezpieczeństwa w organizacjach.

Zobacz również:

Model, w którym izolujemy się w swojej twierdzy jest kosztowny i nie do utrzymania w dzisiejszym świecie. Dotychczasowe podejście zakładało samodzielne budowanie systemów bezpieczeństwa, przy zachowaniu ich tajności i hermetyczności. Dziś nadal wiedza o większości ataków na instytucje i firmy pozostaje ich tajemnicą. Niekiedy – z braku kompetencji – pozostaje tajemnicą także dla samych zaatakowanych. Tymczasem coraz trudniej i drożej kosztuje przeciwdziałanie wyżej wymienionym zagrożeniom bez współpracy z innymi.

Podejście do zagadnień bezpieczeństwa oparte na współdziałaniu firm i instytucji stało się koniecznością. Wymaga to kompetencji, wysiłku i odpowiednich zasobów, ale pozwala całościowo zarządzać ryzykiem w powiązaniu z celami biznesowymi i skutecznie chronić najcenniejsze aktywa.

Z troski o bezpieczeństwo firm i instytucji, całych branż, gospodarki oraz cyberbezpieczeństwo całego kraju, społeczność Klubu CIO, niezależnej organizacji zrzeszającej od 12 lat top-menedżerów IT czołowych polskich firm, postuluje stosowanie i upowszechnianie poniższych praktyk oraz rekomendacji.

Najważniejsze działania, które powinny podjąć firmy i instytucje aby zapewnić sobie bezpieczeństwo w erze cyfrowego biznesu.

1. Zweryfikować system zarządzania bezpieczeństwem cybernetycznym firmy, a tam gdzie go nie ma zbudować adekwatny do skali lub skorzystać z ofert dostępnych na rynku.

2. Cyklicznie dokonywać oceny rzeczywistego bezpieczeństwa firmy np. przy użyciu audytów zewnętrznych eliminować luki bezpieczeństwa, związane z obszarem najwyższych kategorii ryzyka. Dobierać sposób reakcji adekwatny do specyfiki zagrożeń.

3. Powiązać proces tworzenia i dostarczania oprogramowania oraz innych rozwiązań informatycznych ze stałym testowaniem podatności na istniejące zagrożenia.

4. Stale uczyć się i doskonalić system ochrony: każdy istotny incydent bezpieczeństwa musi prowadzić do wyciągnięcia wniosków i podjęcia działań minimalizujących ryzyko.

5. Stworzyć przejrzysty i regularny system informowania Zarządu firmy o poziomie zagrożeń.

Rekomendacje dotyczące systematycznej edukacji służącej przeciwdziałaniu zagrożeniom

1. Budowanie wewnątrz firmy świadomości wyzwań i znaczenia kwestii bezpieczeństwa, tak u członków zarządu, menedżerów, jak i pracowników.

2. Nawiązanie współpracy z partnerami biznesowymi, koncentracja na doborze odpowiednich technologii i kompetencji

3. Dzielenie się dobrymi praktykami i doświadczeniem w ramach forów i spotkań branżowych. Wsparcie instytucji publicznych.

4. Aktywne wykorzystanie usług zewnętrznych w modelu Managed Security Operations, np.- Security Operations Center (współpraca na zasadach rynkowych), Vulnerability Management czy Application Security.

5. Wzmocnienie roli instytucji prewencyjnych i organów państwowych w przeciwdziałaniu cyber-przestępczości oraz współpraca na poziomie narodowym.

Pobierz rekomendację w wersji PDF

***

Zestaw powyższych wybranych rekomendacji i praktyk został sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.

Komitet redakcyjny rekomendacji Klubu CIO. Bezpieczeństwo

Tomasz Matuła (Orange), Sławomir Panasiuk (KDPW), Dawid Pawłowski (Avon), Krzysztof Grabczak (Oracle), Artur Józefiak (Accenture).

Dodatkowe informacje i materiały źródłowe:

1) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część I

2) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część II

3) Krzysztof Grabczak (Oracle) o systemowym podejściu do bezpieczeństwa

4) Artur Józefiak (Accenture) o możliwościach współpracy w zakresie bezpieczeństwa

5) Tomasz Matuła (Orange) „bezpieczeństwo 2015. Nowe sytuacje” – prezentacja ze spotkania Klubu CIO 5 lutego 2015 r.

6) Raport CERT Orange Polska

7) Wywiad z Tomaszem Matułą (Orange) w CIO Magazynie Dyrektorów IT

***

Rekomendacje Klubu CIO to zestaw zaleceń i praktyk sformułowanych w toku spotkań Klubu CIO w ramach Agendy CIO. Stanowią dokument propagowany w środowisku Klubu CIO i wśród wszystkich czynników i instytucji zaangażowanych w budowę gospodarki wspieranej efektywnym wykorzystaniem nowoczesnych technologii biznesowych.

Klub CIO to istniejąca od 2003 r. niezależna organizacja zrzeszająca top menedżerów IT. W działalności Klubu CIO aktywnie uczestniczy ponad 400 (2014 r.) szefów IT, a środowisko sympatyków Klubu i czytelników CIO Magazynu Dyrektorów IT to ponad 4000 szefów IT (2014 r.). Klub CIO powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO na całym świecie. Program działalności jest formułowany przez samych CIO i przyjmuje postać rocznej Agendy CIO.

Agenda CIO to roczny program działalności Klubu CIO i CIO Magazynu Dyrektorów IT złożony najważniejszych wyzwań stojących przed szefami IT oraz ich organizacjami. Program na podstawie rekomendacji Rady CIO wybierają sami CIO.