s

Klub CIO w Gdańsku - bezpieczeństwo 2015

10 lipca 2015 17:27,
Szymon Augustyniak

Mobilność, infrastruktura krytyczna, sieciowy charakter zagrożeń i obrony... Nowe wyzwania bezpieczeństwa były tematem spotkania Klubu CIO w Gdańsku. W bardzo interesującej dyskusji udział wzięli szefowie IT z czołowych firm i instytucji. Kolejne spotkanie Klubu CIO w Gdańsku odbędzie się we wrześniu.

Nowe wyzwania bezpieczeństwa były tematem spotkania Klubu CIO w Gdańsku 24 czerwca. Na kanwie dyskusji powstają kolejne rekomendacje Klubu CIO dotyczące nowego podejścia do bezpieczeństwa. Spotkanie odbyło się dzięki uprzejmości Tadeusza Rogaczewskiego, dyrektora Biura Informatyki Grupy Lotos, w loży Lotosu na PGE Arena. Partnerem spotkania Klubu CIO była firma FancyFon.

Zaczęliśmy od dyskusji o bezpieczeństwie infrastruktury krytycznej – w tej części głównym bohaterem spotkania był Tadeusz Rogaczewski. Wymagania Lotosu związane z bezpieczeństwem infrastruktury krytycznej są wyjątkowe ze względu na strategiczne znaczenie spółki dla Polski. Ile z tego podejścia może zapożyczyć i zaadaptować stosownie do skali działalności, zagrożeń we wszystkich organizacjach? Uczestnicy dyskusji zgodzili się, że całościowe podejście i dynamiczne zarządzanie obroną jest dzisiaj wymogiem wobec zmienności zagrożeń.

Kliknij, aby powiększyć

Ciekawy wątek dyskusji stanowiła kwestia sieciowego – w sensie organizacyjnym – zabezpieczania firm. Mowa była o możliwościach i praktyce wspierania własnych zasobów i kompetencji bezpieczeństwa współpracą z zewnętrznymi, niezależnymi ośrodkami. Kilku uczestników dyskusji współpracuje w tym zakresie z NASK, jako dobry podmiot do współpracy podawano CERT ABW (Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL). tego typu współpraca musi uzupełniać wewnętrzną organizację bezpieczeństwa. Celem współpracy jest wypracowanie modus operandi – w oparciu o rekomendacje CERT oraz potrzeby biznesowe.

Kliknij, aby powiększyć

Z kolei współpracę w ramach własnych struktur łańcucha dostaw umożliwiają albo rekomendują rozwiązania bezpieczeństwa, w tym szczególnie rozwiązania dotyczące sfery mobilnej. Takie podejście pozwala niwelować przynajmniej częściowo różnice w dojrzałości i zaawansowaniu podejścia do bezpieczeństwa w ramach szerszej grupy podmiotów.

Kliknij, aby powiększyć

Sieciowy charakter dzisiejszych zagrożeń i zabezpieczeń wynika także ze trendu internet rzeczy. Rośnie liczba urządzeń komunikujących się pomiędzy sobą rośnie, tym samym rośnie podatności. Owo włączanie do komunikacji dotyczy także systemów przemysłowych, systemów zarządzających infrastrukturą. Wśród szefów IT, bezpieczeństwa a także wśród specjalistów, wiedza i świadomość tego, że można dotrzeć do takich najpilniej strzeżonych i separowanych systemów jest powszechna, od kiedy podano do wiadomości, że irańskie uranowe wirówki zostały zniszczone najprawdopodobniej przez wirus Stuxnet.

Sama konstrukcja bezpieczeństwa musi z kolei opierać się w coraz większym stopniu na interdyscyplinarności i zręcznym połączeniu różnych kompetencji – nie tylko informatycznych, dotyczących np. sieci, systemów dziedzinowych, baz danych, ale także biznesowych, socjologicznych i psychologicznych. Większość badań dowodzi, że klucz do bezpieczeństwa to sposób, w jaki określone są role i możliwości w ramach systemu bezpieczeństwa oraz świadomość użytkownika.

Kliknij, aby powiększyć

Bartosz Leoszewski, CEO FancyFon poprowadził dyskusję o szczególnie ważnym dzisiaj aspekcie bezpieczeństwa – mobilnej sferze prowadzenia biznesu. Przypomniał najważniejsze dziś uwarunkowanie – trend mobilny dla korporacji i firm oznacza, że pracownicy-użytkownicy oczekują dostępu do takich samych narzędzi i sposobów komunikacji, pracy, jak w życiu prywatnym. Dlatego wszelkie ograniczenia odbierają jako restrykcje i szukają sposobu aby je obejść. Około 30% naruszających bezpieczeństwo w kanale mobilnym czyni to świadomie. Bartosz Leoszewski zwrócił uwagę na cztery „mobilne” zagrożenia, wobec których staje IT to utrata urządzenia (dzisiaj – najczęściej smartfona), związane z tym atak i utrata danych, wspomniana świadoma skłonność do omijania zasad i procedur bezpieczeństwa, oraz wszelkie aplikacje, które stanowią kanał ataku. Problem można stopniować albo potęgować, jako że inną, codzienną praktyka firm jest fakt nieformalnego, ale faktycznego podziału polityki bezpieczeństwa na politykę ogólną, dla 95% użytkowników i „politykę VIP”, która jest dowolnie liberalna a zarazem dotyczy najważniejszych danych i rozwiązań firmy. Dopóki te przypadki nie ulegną zmianie, trudno będzie dyskutować ze stwierdzeniem, że złotówka zainwestowana w bezpieczeństwo mobilne – jest stracona.

W toku dyskusji udało się wstępnie sformułować kilka rekomendacji, które po zredagowaniu i zatwierdzeniu przez uczestników dyskusji uzupełnią rekomendacje wypracowane przez Klub CIO podczas spotkania w Warszawie.

Gdańskie rekomendacje dotyczyć będą m.in. przygotowania prawodawstwa do skutecznego ścigania sprawców cyberprzestępstw, także w ramach Unii Europejskiej oraz wprowadzenia do edukacji szkolnej problematyki bezpieczeństwa i „higieny” zachować w cyberprzestrzeni.

Komentarze (0)

Partnerzy Klubu CIO

reklama

Mirosław Forystek

Mirosław Forystek

CIO
ING Bank Śląski
Józef Beźnicki
Beata Sosnowska
Rafał Robert Lewandowski
Tomasz Matuła
Łukasz Neuman
Sławomir Panasiuk
Monika Płocke
Dorota Poniatowska-Mańczak
Tadeusz Rogaczewski
Małgorzata Ryniak
Dariusz Stolarczyk
Józef Wacnik
Małgorzata Korycka-Purchała
Jacek Pulwarski
Dariusz Zawistowski

Redakcja poleca

Kontakt | Wytyczne ASME | Reklama
Polityka prywatności | Regulamin
© Copyright 2017 International Data Group Poland S.A.
00-105 Warszawa, ul. Twarda 18, tel. +48 (22) 3217800, fax +48 (22) 3217888