Posted inCyberBezpieczeństwo

Jak przygotować firmę do NIS2

Brak komentarzy.
Wdrożenie NIS2 UKSC

NIS2 zmienia podejście do cyberbezpieczeństwa w firmach. Nie chodzi już tylko o zabezpieczenie komputerów, instalację antywirusa czy wykonywanie kopii zapasowych. Teraz firmy muszą bardziej świadomie zarządzać ryzykiem, wiedzieć jakie systemy są kluczowe, kto odpowiada za bezpieczeństwo i jak zareagować, kiedy pojawi się incydent.

Wiele firm nadal traktuje cyberbezpieczeństwo jako temat techniczny, którym zajmuje się dział IT. Problem w tym, że NIS2 wymaga spojrzenia szerszego. Bezpieczeństwo zaczyna się od procesów, odpowiedzialności i decyzji biznesowych.

Dla wielu organizacji najtrudniejszym elementem będzie nie samo wdrożenie nowych zabezpieczeń, ale uporządkowanie tego, co już posiadają.

NIS2 (KSC) to przede wszystkim zarządzanie ryzykiem

Jednym z najważniejszych elementów NIS2 jest podejście oparte na analizie ryzyka. Firma powinna wiedzieć, jakie zasoby są dla niej najważniejsze i co może zagrozić ich dostępności lub poufności.

W praktyce oznacza to konieczność odpowiedzi na podstawowe pytania:

  • Jakie systemy są krytyczne dla działania firmy?
  • Gdzie przechowywane są najważniejsze dane?
  • Kto ma dostęp do tych informacji?
  • Co stanie się, jeśli dany system przestanie działać?

W wielu firmach problem pojawia się już na początku, bo brakuje aktualnej wiedzy o własnym środowisku IT. Pracownicy korzystają z różnych aplikacji, pojawiają się nowe urządzenia, usługi chmurowe i konta użytkowników. Po kilku latach organizacja często nie ma pełnej kontroli nad tym, co faktycznie znajduje się w jej środowisku.

Bez takiej wiedzy trudno skutecznie zarządzać bezpieczeństwem.

Inwentaryzacja systemów i danych jako pierwszy krok

Przygotowanie do NIS2 warto rozpocząć od uporządkowania informacji o infrastrukturze.

Firma powinna wiedzieć między innymi:

  • jakie posiada serwery i urządzenia
  • jakie aplikacje są wykorzystywane w codziennej pracy
  • jakie dane są przetwarzane
  • kto posiada dostęp do poszczególnych zasobów
  • z jakich usług zewnętrznych korzysta organizacja

Pamiętajmy, że nie chodzi o stworzenie dokumentu, który później leży w szufladzie. Chodzi o stworzenie obrazu środowiska, który pozwala podejmować decyzje.

Częsty problem w małych i średnich firmach wygląda podobnie. System działa od kilku lat, wdrażała go jedna osoba, część konfiguracji była robiona „na szybko”, a dokumentacja nigdy nie powstała. Dopiero przy awarii albo incydencie okazuje się, że nikt dokładnie nie wie, jak wszystko jest połączone.

Procedury reagowania na incydenty

NIS2 kładzie duży nacisk na obsługę incydentów bezpieczeństwa.

Sama świadomość, że atak może się wydarzyć, nie wystarczy. Firma musi wiedzieć, co zrobić w momencie problemu.

Przykład jest prosty. Pracownik otwiera podejrzany załącznik, komputer zaczyna działać inaczej, pojawia się podejrzenie infekcji.

  • Co dalej?
  • Kto podejmuje decyzję?
  • Czy komputer jest odłączany od sieci?
  • Kto kontaktuje się z dostawcą IT?
  • Kto ocenia skalę problemu?

Brak odpowiedzi na takie pytania powoduje chaos. Pierwsze godziny po incydencie często decydują o tym, czy problem zostanie szybko ograniczony, czy zacznie obejmować kolejne systemy.

Dlatego firmy powinny posiadać procedury reagowania i regularnie je sprawdzać.

Bezpieczeństwo dostawców i partnerów

Współczesne firmy rzadko działają wyłącznie na własnych systemach. Korzystają z dostawców oprogramowania, usług chmurowych, firm serwisowych i zewnętrznych administratorów.

To oznacza, że bezpieczeństwo organizacji zależy również od innych podmiotów.

Przykładowo firma może mieć dobrze zabezpieczone komputery i serwery, ale korzystać z aplikacji dostawcy, który ma dostęp do danych lub systemów bez odpowiedniej kontroli.

Dlatego przy przygotowaniu do NIS2 warto przeanalizować:

  • z jakimi dostawcami firma współpracuje
  • jakie dostępy posiadają zewnętrzne osoby
  • jakie dane są przekazywane poza organizację
  • jakie zabezpieczenia stosują partnerzy

Łańcuch dostaw jest jednym z miejsc, które często są pomijane podczas budowania bezpieczeństwa.

Odpowiedzialność za cyberbezpieczeństwo

W wielu firmach nadal funkcjonuje przekonanie, że za bezpieczeństwo odpowiada administrator albo firma IT.

To podejście jest niewystarczające.

Technologia jest ważna, ale bezpieczeństwo wymaga decyzji biznesowych. Ktoś musi określić priorytety, zaakceptować ryzyko i zadbać o to, aby działania były wykonywane regularnie.

Dotyczy to między innymi:

Bez przypisania odpowiedzialności nawet najlepsze narzędzia nie rozwiążą problemu.

Jak przygotować firmę do NIS2 krok po kroku

Najlepszym podejściem jest rozpoczęcie od podstaw.

Najpierw warto sprawdzić obecny stan bezpieczeństwa. Nie przez zakup kolejnego rozwiązania, ale przez analizę tego, jak firma działa dzisiaj.

Następnie należy uporządkować:

  • zasoby IT
  • dostęp użytkowników
  • procedury bezpieczeństwa
  • proces obsługi incydentów
  • zależności z dostawcami

Dopiero na tej podstawie można planować kolejne działania.

Częsty błąd firm polega na kupowaniu narzędzi zanim wiadomo, jaki problem mają rozwiązać.

Podsumowanie

Przygotowanie firmy do NIS2 to przede wszystkim uporządkowanie bezpieczeństwa. Organizacja musi wiedzieć, jakie posiada zasoby, jakie ryzyka występują i jak zareagować, kiedy coś pójdzie nie tak.

Największą wartością nie jest sam dokument zgodności, ale stworzenie środowiska, w którym bezpieczeństwo jest kontrolowane i rozwijane razem z firmą.

Firmy, które zaczną od podstawowej analizy swojej sytuacji, łatwiej przygotują się do wymagań NIS2 i szybciej zauważą obszary wymagające poprawy.

Chcesz sprawdzić, jak Twoja firma wygląda pod kątem przygotowania do NIS2?

Przeprowadzamy analizę środowiska IT, procesów i obszarów ryzyka, aby wskazać miejsca wymagające uporządkowania.

Umów analizę bezpieczeństwa IT i uporządkuj swoją drogę do NIS2.

Odezwij się do nas!

Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *