Zagrożeń związanych z cyberbezpieczeństwem wciąż przybywa a wiele firm technologocznie stoi ciągle w tym samym miejscu. Są firmy produkcyjne, które pomimo zwiększania i udoskonalania produkcji nie inwestują w technologię. I nie chodzi tyko o małe czy średnie firmy. W dużych firmach jest podobnie – oczywiście nie we wszystkich😊 Przyczyn tego może być wiele. Może to wynikać ze zbyt dużego skupienia na rozwoju produktu, zbyt dużego nastawienia na dochód, braku wiedzy technicznej, braku odpowiednich, zaangażowanych i skutecznych ludzi w działach IT ale również, co zdaje się jest poważnym problemem brak świadomości rozwoju technologii w kontekście ataków cyber u pracowników na stanowiskach C-Level.
Wiele osób decyzyjnych, nie zdaje sobie sprawy, że ataki ransomware, phishing to tylko niektóre z ryzyk, jakie mogą sparaliżować działanie firmy. Skuteczna strategia bezpieczeństwa IT wymaga nie tylko technologii, bo nawet najnowsze technologie nie zapewnią ochrony, jeśli nie zostaną połączone z kompetentnym, zaangażowanym zespołem oraz ze świadomym zarządzaniem ryzykiem.
W poniższym artykule przedstawiam Ci 10 pomocnych pytań, które pomogą ocenić Ci stan bezpieczeństwa organizacji i pomogą określić gotowość firmy na potencjalne zagrożenia.
1. Jakie są obecnie największe zagrożenia dla bezpieczeństwa naszej organizacji?
Bez poznania aktualnego krajobrazu zagrożeń nie będziesz w stanie przygotować konkretnej i co najważniejsze skutecznej strategii. Zapytaj zespół o trendy w cyberprzestępczości, o specyfikę zagrożeń. Strategia obronna zależy od posiadanych systemów. Jeśli Twoje środowisko jest oparte o chmurę, to ochrona może wymagać innych zasobów niż w przypadku infrastruktury w pełni lokalnej. W przemyśle warto uwzględnić zagrożenia związane z atakami na systemy SCADA. Jeśli do budynku firmy często przychodzą klienci czy goście warto również rozważyć zabezpieczenia fizyczne – zweryfikować, czy działają one poprawnie a procedury przyjmowania gości działają.
Warto, aby zespół przedstawił analizy zagrożeń z uwzględnieniem globalnych trendów, ale specyficznych też dla Twojej branży.
2. Jakie mamy wdrożone mechanizmy obronnych w firmie?
Zespół powinien przedstawić jak zabezpieczone są poszczególne elementy infrastruktury zaczynając od sieci wewnętrznej, poprzez serwery aż po aplikacje webowe. Czy firma wykorzystuje oprogramowanie do zarządzania komputerami oraz urządzeniami mobilnymi? Czy sieć jest odpowiednie odseparowana tak aby ograniczyć ruch pomiędzy na przykład maszynami produkcyjnymi a serwerami? Czy dane na komputerach oraz w chmurze są szyfrowane?
3. Jakie mamy wdrożenie procedury w celu zapobiegania incydentom
Procedury i procesy w prosty sposób ustalają, jak powinno wyglądać aktualizowanie systemów, kiedy to powinno się odbywać czy powinno być podzielone na 2 fazy (testowa i produkcyjna). W jaki sposób zarządzasz podatności sami w firmie, skąd dział IT wie o nowych podatnościach oprogramowania używanego w firmie? Czy macie narzędzie do monitorowania podatności CVE?
4. Jak wygląda plan reagowania na incydenty natychmiast po ich wystąpieniu?
Nawet najlepsza ochrona może zawieść, nawet najlepsze plany ochrony mogą stać się nieskuteczne. Ważne jest, aby w tym punkcie sprawdzić, czy firma ma plan reagowania już po wystąpieniu incydentu. Zapytaj, czy zespół ma gotowe procedury na wypadek ataku, od izolacji systemów, poprzez komunikację z klientami do współpracy z organami ścigania. Czy procedury te są testowane? Jak często?
5. Czy mamy plany ciągłości działania (BCP) i odtworzenia po awarii (DRP)?
Atak może unieruchomić firmę na kilka czy kilkanaście dni. Zapytaj o częstotliwość robienia kopii zapasowych, lokalizację przechowywania danych – warto rozważyć dodatkowe miejsce na kopie zapasowe poza terenem firmy. Czy plany odtworzenia się po awarii na przykład plany odtworzenia danych z backupu są regularnie testowane? Jeśli twój Plan BCP ma dodatkowe założenia, czy są one regularnie testowane? Czy wyniki testów są dokumentowane? Czy procedury uwzględniają brak zasilania? Ataki DDOS Twojego sklepu w momencie promocji?
6. Jak często szkolimy pracowników z zakresu cyberbezpieczeństwa?
Ludzie są często pierwszymi drzwiami, przez które atakujący wchodzi do organizacji. Phishing czy socjotechnika wciąż skutecznie omijają zabezpieczenia. Dowiedz się czy pracownicy są odpowiednio szkoleni, czy szkolenia obejmują również symulacje ataków phishingowych oraz czy są aktualizowane o nowe zagrożenia. Wiele firm przeprowadza szkolenia z cyberbezpieczeństwa tylko raz do roku, jednak w wielu przypadkach to nie wystarcza, bo po niedługim czasie pracownicy zapominają jaką wiedzę przyswoili na szkoleniu. Warto więc regularnie wysyłać krótkie filmiki z prostymi objaśnieniami. Wiele firm robi newslettery dotyczące cyberbezpieczeństwa. Możesz też udostępnić pracownikom dostęp do platformy e learningowej z wiedzą z zakresu cyber.
7. Jak często przeprowadzamy audyty bezpieczeństwa i testy penetracyjne?
Regularne audyty pomogą zidentyfikować Ci luki w zabezpieczeniach zanim zostaną one wykorzystane przez atakujących. Warto mieć proaktywne podejście do bezpieczeństwa i oceniać regularnie stan organizacji. W czasie takich audytów czy testów penetracyjnych może okazać, że masz system, o którym nawet nie wiesz, o którym nie wie nawet dział IT bo był zainstalowany lata temu.
W tym punkcie warto przyjrzeć się również regulacjom prawnym. Przykładowe regulacje to RODO i NIS2. W tym punkcie warto również zwrócić uwagę na zgodność z normami, jeśli chodzi o Twoich kontrahentów. Zapytaj, czy mają oni certyfikaty np. ISO27001, czy umowa zawiera klauzulę o odpowiedzialności za wyciek?
8. W jaki sposób kontrolujecie dostęp no krytycznym zasobów?
Uwierzytelnianie dwuskładnikowe, tak zwane MFA (Multi-Factor Authentication) to must-have. Z pozoru proste zabezpieczenie pomaga zabezpieczyć konta pracowników przed przejęciem, które z reguły kończy się wyciekiem danych. Dowiedz się czy są stosowane zasady Zero-Trust, czy stare konta są usuwane, czy dział IT kieruje się zasadą minimalnych uprawnień, czy dostępy są aktualizowane na przykład w momencie zmiany działu przez pracownika.
9. Jak monitorujemy i wykrywamy anomalię w czasie rzeczywistym?
Stały monitoring sieci pozwoli na wczesne wykrycie anomalii oraz potencjalnych zagrożeń. Analizowanie ruchu sieciowego umożliwi identyfikację nieautoryzowanych prób dostępu i wczesną reakcje na zagrożenie. Czy mamy wdrożony system zbierania logów oraz generowania alertów na przykład SIEM?
10. Jakie szkolenia i certyfikacje posiada zespół IT / Security?
Ciągłe podnoszenie kwalifikacji Twoich pracowników szczególnie jeśli chodzi o branżę IT jest niezbędne. A to dlatego że świat IT zmienia się bardzo szybko i to co było aktualne 5 lat temu teraz już może być przeterminowane. Zapytaj pracowników w jakich obszarach potrzebują się dokształcić, zapewnij im uczestnictwo w odpowiednich szkoleniach, tak aby zyskali kompetencje do radzenia sobie z problemami które mogą spotkać Twoją firmę.
Nie traktuj odpowiedzi uzyskanych od działu IT jak testu – posłużą one jako punkt wyjścia do wspólnego budowania strategii. Twórzcie wspólnie raport z lukami na przykład w formie macierzy ryzyka. Zaplanujcie budżet na szkolenia, na sprzęt i narzędzia. Włącz inne działy do działania i ustalcie plan na realizację tej strategii. Pamiętaj, że cyberbezpieczeństwo ciągle się zmienia i nawet najlepsze praktyki mogą wymagać ciągłej adaptacji warunków.
Powodzenia 🙂
