Dylematy cyberbezpieczeństwa 2023

Świat wygląda zupełnie inaczej niż jeszcze kilka lat temu, nic więc dziwnego, że krajobraz cyberzagrożeń również nieustannie ewoluuje. Nowe metody wykorzystywane przez hakerów powodują, że specjaliści ds. cyberbezpieczeństwa, a w szczególności CISO (Chief Information Security Officers) często mają wrażenie, że działając intensywnie, w rzeczywistości robią niewielkie postępy. Wydaje się, że najbardziej racjonalnym podejściem zespołów ds. cyberbezpieczeństwa jest uznanie, że nigdy nie będą w stanie uchronić firmy przed wszystkimi cyberzagrożeniami.

Celem jest zapewnienie możliwie najlepszej ochrony i ograniczanie do minimum zarówno ryzyka, jak i skutków ewentualnych incydentów. Cyberbezpieczeństwo powinno być integralną częścią każdej linii biznesowej, funkcji, produktu i usługi. Włączenie go do strategii organizacji stało się ważnym zadaniem CISO. Aby dowiedzieć się więcej na ten temat zachęcamy do zapoznania się z polską analizą raportu oraz z globalną publikacją.

Najważniejsze spostrzeżenia z raportu

Cyfrowe zaufanie, wspólna odpowiedzialność

Debaty na temat prywatności, bezpieczeństwa i etyki nabierają tempa – częściowo napędzane przez regulacje, a częściowo przez opinię publiczną. Cyfrowe zaufanie, którego fundamentem jest cyberbezpieczeństwo i na którym opiera się przyszły sukces każdej działającej w zdigitalizowanym świecie firmy, coraz częściej trafia na listy priorytetów zarządów. Jeśli organizacje chcą utrzymać przewagę konkurencyjną, CISO muszą być przygotowani, aby pomóc kierownictwu w budowaniu i utrzymywaniu cyfrowego zaufania. Wykorzystanie tego potencjału wymaga jednak zbiorowego zaangażowania wszystkich interesariuszy.
Optymalne zabezpieczenia napędzają bezpieczne zachowania

Ludzie wciąż postrzegają bezpieczeństwo, a właściwie konieczność jego zapewnienia, jako przeszkodę i utrudnienie pracy. Zmiana tego nastawienia jest ważnym zadaniem CISO. Aby to osiągnąć muszą uwzględenić zarówno ludzką, jak i biznesową perspektywę. Osadzenie zagadnienia bezpieczeństwa w organizacji w sposób, który pomaga ludziom pracować pewnie, dokonywać produktywnych wyborów i odgrywać swoją rolę w ochronie procesów, staje się kluczowym celem CISO.
Zabezpieczenie przyszłości skoncentrowanej na danych

Nie jest zaskoczeniem, że biznesowe modele operacyjne uległy zasadniczej zmianie w ciągu ostatniej dekady. Stały się bardziej płynne, skoncentrowane na danych, połączone ekosystemami wewnętrznych i zewnętrznych partnerów i dostawców usług. W świecie przetwarzania rozproszonego, aby zminimalizować straty wynikające z potencjalnych awarii lub naruszeń, CISO i zespoły ds. bezpieczeństwa muszą wykazać się elastycznością i być gotowi na podjęcie bardzo zróżnicowanych działań.
Nowe partnerstwa, nowe modele

Minęły już czasy, gdy zespoły ds. bezpieczeństwa koncentrowały się wyłącznie na systemach informatycznych swojej firmy. Bezpieczeństwo stało się priorytetem biznesowym, realizowanym w modelu współodpowiedzialności organizacji i dostawców usług. CISO muszą określić, które umiejętności należy zachować w firmie, a które zadania można zlecić zewnętrznym podwykonawcom. Kluczowym aspektem działania organizacji staje się odpowiednia współpraca między wszystkimi stronami.
Zaufanie do automatyzacji

W wyścigu o innowacje i wykorzystanie nowych technologii, obawy dotyczące bezpieczeństwa i ochrony danych, prywatności i zagadnień etycznego ich wykorzystania, choć przyciągają coraz większą uwagę, gdy przychodzi do działań, są często ignorowane lub zapominane. Pozostawione bez kontroli lub nieodpowiednio wykorzystane narzędzia mogą doprowadzić firmy do sabotowania ich potencjału. Właściwe podejście do automatyzacji będzie szczególnie ważne w obliczu pojawiających się na horyzonie regulacji.
Inteligenty świat

Firmy, niezależnie od branży, przechodzą na podejście produktowe i koncentrują się na opracowywaniu usług sieciowych i zarządzaniu urządzeniami, które je obsługują. Tempo innowacji technologicznych nie zwalnia i często zmusza organy regulacyjne i zespoły ds. bezpieczeństwa do nadrabiania zaległości. CISO i ich zespoły nie powinni ani czekać na kolejną falę regulacji, ani polegać wyłącznie na przepisach, a proaktywnie i pragmatycznie podchodzić do wdrażania kontroli bezpieczeństwa w całym cyklu życia produktu i łańcuchu dostaw. Dla obecnych i potencjalnych klientów oraz szerokiego rynku ważna jest świadomość, że program cyberbezpieczeństwa organizacji, a w szczególności kontrola urządzeń, stale się rozwija.
Przeciwdziałanie zwinnym przeciwnikom

Czas od początkowego naruszenia bezpieczeństwa do aktywacji oprogramowania ransomware w całym przedsiębiorstwie skraca się. Coraz częściej napastnicy mogą penetrować systemy za pomocą zautomatyzowanych narzędzi i przyspieszać ich wykorzystywanie. Operacje związane z bezpieczeństwem powinny być zoptymalizowane i zorganizowane w taki sposób, aby po wystąpieniu incydentu mieć możliwość jak najszybciej odzyskać priorytetowe usługi i zmniejszyć wpływ ataku na klientów i partnerów.
Bądź odporny, gdy ma to znaczenie

Każdy system bezpieczeństwa ma swoje wady. Prawdopodobnie każda organizacja w pewnym momencie ucierpi z powodu incydentu, bardziej lub mniej szkodliwego. Istnieje duże prawdopodobieństwo, że takich incydentów będzie coraz więcej. Organy regulacyjne w coraz większym stopniu koncentrują się na prawdopodobnych scenariuszach i naciskają na firmy – szczególnie te w strategicznie ważnych branżach, takich jak energetyka, finanse i opieka zdrowotna – aby były z jednej strony odporne na ewentualne ataki, ale też, w razie wystąpienia takiego, przygotowane do powrotu do normalności.

Cyberstrategie w czterech obszarach

Obszary działań, w których Chief Information Security Officers powinni podejmować kroki w celu zapewnienia bezpieczeństwa swoich organizacji można podzielić na cztery kategorie.

Regulacje

Świadomość zmieniających się trendów i czynników regulacyjnych oraz tego, w jaki sposób mogą one wpłynąć na strategię technologiczną firmy czy rozwój produktów i usług.
Znajomość wpływu regulacji na sztuczną inteligencję i automatyzację, określenie jasnej koncepcji możliwych działań firmy, a także bycie na bieżąco z opinią publiczną w tych obszarach.
Zbadanie automatyzacji monitorowania i raportowania zgodności oraz wyznaczenie członka zespołu, pełniącego funkcję nadzoru regulacyjnego.
Dostosowanie strategii bezpieczeństwa i prywatności danych do ogólnej strategii biznesowej firmy w celu zapewnienia interesariuszy całej organizacji o spójności i dokładności.
Strategiczna analiza aspektów związanych z obszarem bezpieczeństwa i prywatności danych wykraczająca poza aktualnie obowiązujące przepisy i obejmująca fundamentalne pytania dotyczące cyfrowego zaufania.

Ludzie

Stworzenie solidnej kultury cyberbezpieczeństwa, która jest interesująca, angażująca, a w odpowiednich momentach nawet humorystyczna, inspirująca pracowników do właściwego postępowania i sprawiająca, że pierwszą poważną przeszkodą dla atakujących są ludzie.
Budowa zespołu ds. bezpieczeństwa, łączącego zróżnicowaną paletę umiejętności, pozwalającego zarządzać ogranizacją bez granic, w tym również zależnościami od chmury oraz zewnętrznych kontrahentów.
Otwarta i klarowna komunikacja, zwłaszcza z liderami różnych funkcji biznesowych, którzy najlepiej znają krytyczne punkty swojej pracy i wskażą potrzeby automatyzacji.
Multidyscyplinarne i międzykulturowe podejście przejawiajające się w opracowaniu kompleksowego ekosystemu bezpieczeństwa obejmującego wewnętrznych specjalistów ds. linii biznesowych, specjalistów ds. bezpieczeństwa, analityków danych, prawników specjalizujących się w zagadnieniach prywatności danych oraz zewnętrznych specjalistów ds. polityki i branży.

Proces

Opracowanie spójnego podejścia do zarządzania ryzykiem, zawierającego scenariusze ataków, pozwalającego na redukcję potencjalnych strat.
Koncentracja na dopasowanych do potrzeb procesach bezpieczeństwa, zapewniających spójne w odbiorze doświadczenia użytkowników.
Ustanowienie ścisłej kontroli tożsamości i ciągła praca nad uzyskaniem dojrzałego stanu zarządzania tożsamością i usługami.
Odseparowanie technologii starszego typu pozwalające ograniczyć powierzchnię ataku i powstrzymać możliwe naruszenia bezpieczeństwa.
Przygotowanie proaktywnego planu odzyskiwania danych, skoncentrowanego na najbardziej krytycznych procesach oraz częste testy w zróżnicowanych warunkach.

Dane i technologia

Zaufanie najnowszym technologiom, tj. robotyka czy automatyzacja, które potrafią w szybszy i pełniejszy sposób wykrywać niebezpieczeństwa. Automatyzacja jest nieuniknioną rewolucją w bezpieczeństwie.
Współpraca z dostawcami usług w chmurze w celu zapewnienia szerokiego wglądu w sposób konfigurowania produktów i usług oraz uniknięcia niezamierzonych luk w zabezpieczeniach.
Kwestia cyberbezpieczeństwa i prywatności uwzględniana od początkowych etapów wprowadzania do firmy nowych technologii, w tym systemów sztucznej inteligencji.
Jasne określanie obowiązków i odpowiedzialności za sposób przetwarzania i zarządzania krytycznymi danymi oraz za sposób, w jaki wspierają one istotne procesy biznesowe.