Rekomendacja Klubu CIO: Bezpieczeństwo
- 09.04.2015, godz. 15:00
Nowa sytuacja w zakresie zagrożeń bezpieczeństwa oznacza konieczność nowego, systemowego i pragmatycznego podejścia. Przedstawiamy zestaw rekomendacji i praktyk sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.
Cyberprzestępczość nowego typu, przybierająca gwałtownie na sile, profesjonalnie zorganizowana, zmienna i różnorodna pod względem środków i strategii - jest faktem.
Nowe trendy technologiczne oznaczają nowe podatności na zagrożenia i nowe luki kompetencyjne w zakresie bezpieczeństwa. Sieci społecznościowe, mobilność, cloud computing, Internet Rzeczy powodują lawinowy przyrost podatności organizacji na zagrożenia i zarazem pojawianie się luk kompetencji bezpieczeństwa w organizacjach.
Zobacz również:
- 9 cech wielkich liderów IT
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
Model, w którym izolujemy się w swojej twierdzy jest kosztowny i nie do utrzymania w dzisiejszym świecie. Dotychczasowe podejście zakładało samodzielne budowanie systemów bezpieczeństwa, przy zachowaniu ich tajności i hermetyczności. Dziś nadal wiedza o większości ataków na instytucje i firmy pozostaje ich tajemnicą. Niekiedy – z braku kompetencji – pozostaje tajemnicą także dla samych zaatakowanych. Tymczasem coraz trudniej i drożej kosztuje przeciwdziałanie wyżej wymienionym zagrożeniom bez współpracy z innymi.
Podejście do zagadnień bezpieczeństwa oparte na współdziałaniu firm i instytucji stało się koniecznością. Wymaga to kompetencji, wysiłku i odpowiednich zasobów, ale pozwala całościowo zarządzać ryzykiem w powiązaniu z celami biznesowymi i skutecznie chronić najcenniejsze aktywa.
Z troski o bezpieczeństwo firm i instytucji, całych branż, gospodarki oraz cyberbezpieczeństwo całego kraju, społeczność Klubu CIO, niezależnej organizacji zrzeszającej od 12 lat top-menedżerów IT czołowych polskich firm, postuluje stosowanie i upowszechnianie poniższych praktyk oraz rekomendacji.
Najważniejsze działania, które powinny podjąć firmy i instytucje aby zapewnić sobie bezpieczeństwo w erze cyfrowego biznesu.
1. Zweryfikować system zarządzania bezpieczeństwem cybernetycznym firmy, a tam gdzie go nie ma zbudować adekwatny do skali lub skorzystać z ofert dostępnych na rynku.
2. Cyklicznie dokonywać oceny rzeczywistego bezpieczeństwa firmy np. przy użyciu audytów zewnętrznych eliminować luki bezpieczeństwa, związane z obszarem najwyższych kategorii ryzyka. Dobierać sposób reakcji adekwatny do specyfiki zagrożeń.
3. Powiązać proces tworzenia i dostarczania oprogramowania oraz innych rozwiązań informatycznych ze stałym testowaniem podatności na istniejące zagrożenia.
4. Stale uczyć się i doskonalić system ochrony: każdy istotny incydent bezpieczeństwa musi prowadzić do wyciągnięcia wniosków i podjęcia działań minimalizujących ryzyko.
5. Stworzyć przejrzysty i regularny system informowania Zarządu firmy o poziomie zagrożeń.
Rekomendacje dotyczące systematycznej edukacji służącej przeciwdziałaniu zagrożeniom
1. Budowanie wewnątrz firmy świadomości wyzwań i znaczenia kwestii bezpieczeństwa, tak u członków zarządu, menedżerów, jak i pracowników.
2. Nawiązanie współpracy z partnerami biznesowymi, koncentracja na doborze odpowiednich technologii i kompetencji
3. Dzielenie się dobrymi praktykami i doświadczeniem w ramach forów i spotkań branżowych. Wsparcie instytucji publicznych.
4. Aktywne wykorzystanie usług zewnętrznych w modelu Managed Security Operations, np.- Security Operations Center (współpraca na zasadach rynkowych), Vulnerability Management czy Application Security.
5. Wzmocnienie roli instytucji prewencyjnych i organów państwowych w przeciwdziałaniu cyber-przestępczości oraz współpraca na poziomie narodowym.
Pobierz rekomendację w wersji PDF
***
Zestaw powyższych wybranych rekomendacji i praktyk został sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.
Komitet redakcyjny rekomendacji Klubu CIO. Bezpieczeństwo
Tomasz Matuła (Orange), Sławomir Panasiuk (KDPW), Dawid Pawłowski (Avon), Krzysztof Grabczak (Oracle), Artur Józefiak (Accenture).
Dodatkowe informacje i materiały źródłowe:
1) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część I
2) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część II
3) Krzysztof Grabczak (Oracle) o systemowym podejściu do bezpieczeństwa
4) Artur Józefiak (Accenture) o możliwościach współpracy w zakresie bezpieczeństwa
5) Tomasz Matuła (Orange) „bezpieczeństwo 2015. Nowe sytuacje” – prezentacja ze spotkania Klubu CIO 5 lutego 2015 r.
7) Wywiad z Tomaszem Matułą (Orange) w CIO Magazynie Dyrektorów IT
***
Rekomendacje Klubu CIO to zestaw zaleceń i praktyk sformułowanych w toku spotkań Klubu CIO w ramach Agendy CIO. Stanowią dokument propagowany w środowisku Klubu CIO i wśród wszystkich czynników i instytucji zaangażowanych w budowę gospodarki wspieranej efektywnym wykorzystaniem nowoczesnych technologii biznesowych.
Klub CIO to istniejąca od 2003 r. niezależna organizacja zrzeszająca top menedżerów IT. W działalności Klubu CIO aktywnie uczestniczy ponad 400 (2014 r.) szefów IT, a środowisko sympatyków Klubu i czytelników CIO Magazynu Dyrektorów IT to ponad 4000 szefów IT (2014 r.). Klub CIO powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO na całym świecie. Program działalności jest formułowany przez samych CIO i przyjmuje postać rocznej Agendy CIO.
Agenda CIO to roczny program działalności Klubu CIO i CIO Magazynu Dyrektorów IT złożony najważniejszych wyzwań stojących przed szefami IT oraz ich organizacjami. Program na podstawie rekomendacji Rady CIO wybierają sami CIO.