s

Klub CIO: chwytanie równowagi w bezpieczeństwie

17 maja 2016 11:59,
Szymon Augustyniak

3 lata zajmie co najmniej osiągnięcie minimalnego akceptowalnego poziomu cyberbezpieczeństwa Polski – przyznał prokurator krajowy Bogdan Święczkowski podczas dyskusji na majowym spotkaniu Klubu CIO. W jaki sposób zapewnić bezpieczeństwo nie odcinając zarazem firm od sięgania po możliwości jakie stwarza cyfrowa transformacja a obywateli i administracji - od realizacji wizji państwa usługowego szeroko sięgającego po technologię?

Klub CIO w maju zgromadził rekordową publiczność, która miała okazję do bardzo interesujących dyskusji.

Tomasz Matuła, CIO Roku 2010, dyrektor infrastruktury ICT i cyberbezpieczeństwa w Orange Polska, przedstawił najbardziej aktualny zarys zjawisk. Od ataków wielowektorowych, przykrywkowych, nowe, złożone oblicza DDoS, po stary, znajomy spam, dziś będący najlepszym nośnikiem malware. Od teoretycznie „oswojonego” phishingu, po opłacalny najbardziej, z perspektywy cyberprzestępców, ransomware. Tomasz Matuła przedstawił bardzo różne poziomy i perspektywy zagadnienia: indywidualnego internauty, firmy, całej gospodarki. Przytaczał przykłady zatrzymanych prób włamań, oszustwa, szantażowania – dotyczące banków, także polskich, sieci handlowych, pojedynczych osób, w tym szczególnie cennych i „podatnych” top menedżerów i beznesmenów. Konkluzją, którą można wyprowadzić, jest konieczność szerszego rozpisywania systemu i strategii bezpieczeństwa (nie można już chyba zresztą odżegnywać się od takich stwierdzeń nawet w przypadku indywidualnych osób), niż tylko oparcia o własne zasoby i kompetencje.

Kliknij, aby powiększyć

Janusz Krzyczkowski, prezes IPR-Insights, nowego partnera Klubu CIO, mówił o Software Asset Management w kontekście bezpieczeństwa. Wiedzę i władzę nad własnymi zasobami oprogramowania odnosił do poszczególnych firmowych funkcji. Prosto zarysowane przykłady bardzo dobitnie ilustrowały zakres i skalę wpływu zarządzania ryzykiem na całościowe ryzyko w działalności firmy. Janusz Krzyczkowski mówił zatem m.in., jaką wartość oprogramowania wykazał audyt w PGNiG, w jakich sytuacjach zewnętrzny audyt oprogramowania ze strony dostawcy jest nieunikniony, o przykładach pułapek, jakie czyhają także w relacjach z największymi dostawcami. Wskazał także na logiczne związki SAM z planowaniem i wdrażaniem architektury IT, zarządzaniem ryzykiem operacyjnym, z organizacją firmowego prokurmentu, strategią rozwoju IT i firmy w odniesieniu do takich zagadnień jak kosztochłonność. SAM wyrastający z norm i praktyk ISO ściśle związany jest wreszcie z głównym tematem spotkania, nieodłącznie jest z nim związany.

Prezentacja Janusza Krzyczkowskiego:

Kliknij, aby powiększyć

Grzegorz Salachna, Orange Polska, mówił o sytuacji podnoszenia firmy z "cyberupadku". Odnosząc się do statystyk i skali zjawisk z zakresu cyberbezpieczeństwa, dowodził, że należy już rozpatrywać je w kategoriach finansowych, i szukać odpowiedniego "ubezpieczenia", a nie "zabezpieczenia". Umiejętność wyceny ryzyka i jego ubezpieczenia staje się kompetencją z zakresu bezpieczeństwa tak, jak są nią kompetencje technologiczne.

Kliknij, aby powiększyć

Finałowy panel poświęcony wyważaniu bezpieczeństwa i możliwości biznesowych od początku skupił się na najszerszej i kluczowej z dzisiejszego punktu widzenia perspektywie: perspektywy państwa. Raporty NIK i audyty minister cyfryzacji nie pozostawiają wątpliwości co do sytuacji: startujemy z poziomu zero pod względem koordynacji zasobów, możliwości szybkiej diagnozy, reakcji albo prewencji. Zgodzili się z tym na wstępie uczestnicy panelu: prokurator krajowy, Bogdan Świeczkowski, , Artur Józefiak, szef zespołu bezpieczeństwa Accenture, recenzent m.in. Rekomendacji D i strategii cyberbezpieczeństwa RP, Tomasz Matuła i Janusz Krzyczkowski.

Kliknij, aby powiększyć

Uczestnicy panelu rozmawiali o akceptowalnym poziomie ryzyka i kontekście cyberbezpieczeństwa, jakie mogłoby i powinno zapewniać obywatelom i biznesowi państwo. Mówili o referencyjnych rozwiązaniach francuskich czy brytyjskich, o potrzebnych instytucjach, jak narodowy CERT i mechanizmach. Bogdan Święczkowski mocno podkreślał rolę wprowadzenia na obecnym etapie odpowiednich ram prawnych. Prawne, organizacyjne, kompetencyjne budowanie cyberbezpieczeństwa państwa w wymiarze rozpoznania, reakcji i ewentualnie kontrakcji, zapewnienia bezpiecznego otoczenia dla biznesu i obywateli, zajmie co najmniej 3 lata – do osiągnięcie minimalnego akceptowalnego poziomu cyberbezpieczeństwa Polski – ocenił prokurator krajowy Bogdan Święczkowski podsumowując dyskusję na majowym spotkaniu Klubu CIO. Taki horyzont czasowy jest osiągalny przy założeniu płynnego wprowadzania zmian, od zatwierdzenia spójnej koncepcji.

Komentarze (0)

Partnerzy Klubu CIO

reklama

Mirosław Forystek

Mirosław Forystek

CIO
ING Bank Śląski
Beata Sosnowska
Józef Beźnicki
Rafał Robert Lewandowski
Tomasz Matuła
Łukasz Neuman
Sławomir Panasiuk
Monika Płocke
Dorota Poniatowska-Mańczak
Tadeusz Rogaczewski
Małgorzata Ryniak
Dariusz Stolarczyk
Józef Wacnik
Małgorzata Korycka-Purchała
Jacek Pulwarski
Dariusz Zawistowski

Redakcja poleca

Kontakt | Wytyczne ASME | Reklama
Polityka prywatności | Regulamin
© Copyright 2017 International Data Group Poland S.A.
00-105 Warszawa, ul. Twarda 18, tel. +48 (22) 3217800, fax +48 (22) 3217888