Cyber Essentials #1 – Twój wstęp do cyberbezpieczeństwa

– Kto i za co dokładnie? 

Wielu menadżerów – zwłaszcza tych łączących obowiązki zapewnienia zarówno infrastruktury IT jak i jej bezpieczeństwa – zastanawia się co do wyboru odpowiedniego punktu odniesienia.  Cyberbezpieczeństwo, które w ich przypadku jest tylko częścią obowiązków, ale za które w przypadku incydentu biorą pełną odpowiedzialność. Aby zapewnić Wam fundamentalne wskazówki, odwołamy się do Cyber ​​Essentials agencji CISA (Cybersecurity&Infrastracutre Security Agency – US), która opublikowała  przewodnik, mający na celu wypracowanie praktycznego zrozumienia, od czego zacząć wdrażanie praktyk bezpieczeństwa IT w organizacji. Warto dodać, że zgodnie z powszechnie stosowanym przez organizacje doradcze i audytorskie NIST Cybersecurity Framework – Cyber ​​Essentials są punktem wyjścia do stanu gotowości na cyber-zagrożenia. A w najgorszym razie do udowodnienia swojego przygotowania audytorowi… 

OBSZAR PIERWSZY 

Kto jest odpowiedzialny za cyberbezpieczeństwo – IT? Compliance? Dział Bezpieczeństwa Informacji? Gdy odbędzie się audyt będzie za późno by to określić a wina pozostanie tam, gdzie ktoś da ją na siebie zrzucić. Określ kto jest odpowiedzialny i za jaki obszar – w końcu informacje nie leżą tylko w zasobach cyfrowych. Pomogą Ci: 

1. NACD Director’s Handbook on Cyber-Risk Oversight – zbudowany wokół pięciu podstawowych zasad, które odwołują się do odpowiedzialności jaką ponoszą władze spółki – ale także menadżerowie i dyrektorzy. 

2. Porady CISA dotyczące bezpieczeństwa — pytania, które każdy dyrektor powinien zadać na temat zagrożeń cybernetycznych: obrazuje zakres wiedzy, który musisz posiadać w celu zapewnienia lepszej gotowości i odporności na zagrożenia IT. 

Jeżeli Twoim zadaniem jest kierowanie strategią, inwestycjami i kulturą cyberbezpieczeństwa – przemyśl następujące kwestie: 

• W jakim stopniu operacje Twojej organizacji zależą od IT  
  – co jest głównie papierowe, a co cyfrowe – i po której stronie leżą krytyczne punkty obrotu danym rodzajem informacji? 
  – co z cyfrowych zasobów i procesów należy priorytetyzować 
  – w jaki sposób zabezpieczyć zidentyfikowane priorytety 
    

• Podejdź do cyberbezpieczeństwa jako do ryzyka biznesowego – jakie zasoby są zagrożone i ile będzie kosztować ich uszkodzenie? Do biznesu przemawiają cyfry. 

Powyższe to założenia, warto przełożyć je na dwie kwestie – polityki i technologie bezpieczeństwa informacji. Jedno musi wspierać drugie, bez tego nie osiągniesz sukcesu. Bez odpowiednich technologii nie zapewnisz bezpieczeństwa – jednak narzędzie jest tak skuteczne jak umiejętności i strategia jego wykorzystania. 

Oto kilka kwestii, które warto rozważyć: 

1. Cyberbezpieczeństwo to nie tylko inwestycje w możliwości technologiczne, ale także ciągłe inwestycje w szkolenia z zakresu cyberbezpieczeństwa. Określ, co jest ważniejsze – procesy zapewnienia bezpieczeństwa czy technologie? 

2. Jeżeli masz firewall, data loss prevention czy endpoint detection & response, ale Twoi pracownicy nie wiedzą co zrobić w przypadku incydentu (lub nawet nie wiedzą co kwalifikować jako incydent) – postaw na wdrożenie polityk i uświadomienie organizacji wagi bezpieczeństwa infrastruktury cyfrowej.  

3. Jeżeli posiadasz szereg polityk, ale brak narzędzi do ich egzekwowania – naturalnym wyborem jest inwestycja w technologie. Nasza działalność to wdrożenia w tym zakresie – nie będziemy opisywać, po prostu napisz! 

Niezależnie od dwóch powyższych pamiętaj, że główną granicą bezpieczeństwa jest świadomość użytkownika końcowego – pomóż im zrozumieć jak mogą wspomóc dział bezpieczeństwa IT za pomocą szkoleń i dyskusji – zamiast być “policją IT”. 

• Zainwestuj czas w zrozumienie polityk cyberbezpieczeństwa. Liderzy biznesu i personel techniczny powinni współpracowaćw zakresie opracowywania polityki i zapewnienia, że ​​zasady są dobrze rozumiane przez organizację.  

• Przeprowadź przegląd wszystkichaktualne polityki bezpieczeństwa cybernetycznego i ryzyka w celu zidentyfikowania luk lub słabych punktów poprzez porównanie ich z uznanymiramy zarządzania ryzykiem cybernetycznym.  

• Opracuj mapę drogową polityki, ustalając priorytety tworzenia i aktualizacji polityki na podstawieryzyka określone przez liderów biznesu i personel techniczny. 

Dobre praktyki na tym etapie znajdziesz w:
 

1. NIST Computer Security Resource Center 

2. SANS Information Security Policy Templates
    

Zbuduj sieć zaufanych relacji, aby uzyskać dostęp do aktualnych informacji o zagrożeniach cybernetycznych – osoby odpowiedzialne za cyberbezpieczeństwo muszą mieć aktualną wiedzę. Krajowy CSiRT, NASK czy międzynarodowe zasoby lub technologie typu threat intelligence pomogą utrzymać sytuacyjną świadomość zagrożeń bezpieczeństwa IT. 
Najbardziej zagrażają Ci aktualne kampanie w Twoim kraju/regionie – nie masz czasu by skupiać się na wszystkim. Warto również rozważyć do realizowanego w ramach Polskiego CSIRT programu ARAKIS-GOV. 

  Kilka sprawdzonych zasobów to również: 

1. VirusTotal 

2. OWASP TOP 10 

3. SANS: Internet Storm Center 

4. Department of Homeland Security (DHS): CISA Automated Indicator Sharing 

Znając przede wszystkim zakres odpowiedzialności za ryzyko IT – Twojej oraz innych liderów w Twojej organizacji – możesz zamapować w jaki sposób powyższe zasoby są wykorzystywane w Twojej organizacji. Dopiero świadomość organizacyjnego “as-is” pozwoli zauważyć niedostatecznie chroniony obszary – informacje, kanały komunikacji, sprzęt – i przekonać zarząd do inwestycji w technologie z zakresu bezpieczeństwa IT. Jeżeli chodzi o mapowanie technologii do istniejącej infrastruktury, złotym źródłem w branży jest niezmiennie NIST Cyber Security Framework. 

Jednak to dopiero pierwszy obszar, który kładzie nacisk przede wszystkim na zrozumienie odpowiedzialności i zakresu – by na tym zbudować zarówno procesy wewnętrzne jak i współpracę z innymi działami. W końcu cyberbezpieczeństwo to proces obejmujący nas wszystkich.