Rekomendacja Klubu CIO: Bezpieczeństwo

9 kwietnia 2015 15:00,
Szymon Augustyniak

Nowa sytuacja w zakresie zagrożeń bezpieczeństwa oznacza konieczność nowego, systemowego i pragmatycznego podejścia. Przedstawiamy zestaw rekomendacji i praktyk sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.

Cyberprzestępczość nowego typu, przybierająca gwałtownie na sile, profesjonalnie zorganizowana, zmienna i różnorodna pod względem środków i strategii - jest faktem.

Nowe trendy technologiczne oznaczają nowe podatności na zagrożenia i nowe luki kompetencyjne w zakresie bezpieczeństwa. Sieci społecznościowe, mobilność, cloud computing, Internet Rzeczy powodują lawinowy przyrost podatności organizacji na zagrożenia i zarazem pojawianie się luk kompetencji bezpieczeństwa w organizacjach.

Model, w którym izolujemy się w swojej twierdzy jest kosztowny i nie do utrzymania w dzisiejszym świecie. Dotychczasowe podejście zakładało samodzielne budowanie systemów bezpieczeństwa, przy zachowaniu ich tajności i hermetyczności. Dziś nadal wiedza o większości ataków na instytucje i firmy pozostaje ich tajemnicą. Niekiedy – z braku kompetencji – pozostaje tajemnicą także dla samych zaatakowanych. Tymczasem coraz trudniej i drożej kosztuje przeciwdziałanie wyżej wymienionym zagrożeniom bez współpracy z innymi.

Podejście do zagadnień bezpieczeństwa oparte na współdziałaniu firm i instytucji stało się koniecznością. Wymaga to kompetencji, wysiłku i odpowiednich zasobów, ale pozwala całościowo zarządzać ryzykiem w powiązaniu z celami biznesowymi i skutecznie chronić najcenniejsze aktywa.

Z troski o bezpieczeństwo firm i instytucji, całych branż, gospodarki oraz cyberbezpieczeństwo całego kraju, społeczność Klubu CIO, niezależnej organizacji zrzeszającej od 12 lat top-menedżerów IT czołowych polskich firm, postuluje stosowanie i upowszechnianie poniższych praktyk oraz rekomendacji.

Najważniejsze działania, które powinny podjąć firmy i instytucje aby zapewnić sobie bezpieczeństwo w erze cyfrowego biznesu.

1. Zweryfikować system zarządzania bezpieczeństwem cybernetycznym firmy, a tam gdzie go nie ma zbudować adekwatny do skali lub skorzystać z ofert dostępnych na rynku.

2. Cyklicznie dokonywać oceny rzeczywistego bezpieczeństwa firmy np. przy użyciu audytów zewnętrznych eliminować luki bezpieczeństwa, związane z obszarem najwyższych kategorii ryzyka. Dobierać sposób reakcji adekwatny do specyfiki zagrożeń.

3. Powiązać proces tworzenia i dostarczania oprogramowania oraz innych rozwiązań informatycznych ze stałym testowaniem podatności na istniejące zagrożenia.

4. Stale uczyć się i doskonalić system ochrony: każdy istotny incydent bezpieczeństwa musi prowadzić do wyciągnięcia wniosków i podjęcia działań minimalizujących ryzyko.

5. Stworzyć przejrzysty i regularny system informowania Zarządu firmy o poziomie zagrożeń.

Rekomendacje dotyczące systematycznej edukacji służącej przeciwdziałaniu zagrożeniom

1. Budowanie wewnątrz firmy świadomości wyzwań i znaczenia kwestii bezpieczeństwa, tak u członków zarządu, menedżerów, jak i pracowników.

2. Nawiązanie współpracy z partnerami biznesowymi, koncentracja na doborze odpowiednich technologii i kompetencji

3. Dzielenie się dobrymi praktykami i doświadczeniem w ramach forów i spotkań branżowych. Wsparcie instytucji publicznych.

4. Aktywne wykorzystanie usług zewnętrznych w modelu Managed Security Operations, np.- Security Operations Center (współpraca na zasadach rynkowych), Vulnerability Management czy Application Security.

5. Wzmocnienie roli instytucji prewencyjnych i organów państwowych w przeciwdziałaniu cyber-przestępczości oraz współpraca na poziomie narodowym.

Pobierz rekomendację w wersji PDF

***

Zestaw powyższych wybranych rekomendacji i praktyk został sformułowany w toku spotkania Klubu CIO, „Bezpieczeństwo 2015. Nowe sytuacje”, które odbyło się 5 lutego 2015 r.

Komitet redakcyjny rekomendacji Klubu CIO. Bezpieczeństwo

Tomasz Matuła (Orange), Sławomir Panasiuk (KDPW), Dawid Pawłowski (Avon), Krzysztof Grabczak (Oracle), Artur Józefiak (Accenture).

Dodatkowe informacje i materiały źródłowe:

1) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część I

2) Sławomir Panasiuk (KDPW) o ujęciu bezpieczeństwa w kategoriach ryzyka operacyjnego część II

3) Krzysztof Grabczak (Oracle) o systemowym podejściu do bezpieczeństwa

4) Artur Józefiak (Accenture) o możliwościach współpracy w zakresie bezpieczeństwa

5) Tomasz Matuła (Orange) „bezpieczeństwo 2015. Nowe sytuacje” – prezentacja ze spotkania Klubu CIO 5 lutego 2015 r.

6) Raport CERT Orange Polska

7) Wywiad z Tomaszem Matułą (Orange) w CIO Magazynie Dyrektorów IT

***

Rekomendacje Klubu CIO to zestaw zaleceń i praktyk sformułowanych w toku spotkań Klubu CIO w ramach Agendy CIO. Stanowią dokument propagowany w środowisku Klubu CIO i wśród wszystkich czynników i instytucji zaangażowanych w budowę gospodarki wspieranej efektywnym wykorzystaniem nowoczesnych technologii biznesowych.

Klub CIO to istniejąca od 2003 r. niezależna organizacja zrzeszająca top menedżerów IT. W działalności Klubu CIO aktywnie uczestniczy ponad 400 (2014 r.) szefów IT, a środowisko sympatyków Klubu i czytelników CIO Magazynu Dyrektorów IT to ponad 4000 szefów IT (2014 r.). Klub CIO powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO na całym świecie. Program działalności jest formułowany przez samych CIO i przyjmuje postać rocznej Agendy CIO.

Agenda CIO to roczny program działalności Klubu CIO i CIO Magazynu Dyrektorów IT złożony najważniejszych wyzwań stojących przed szefami IT oraz ich organizacjami. Program na podstawie rekomendacji Rady CIO wybierają sami CIO.

Więcej na ten temat

Komentarze (0)

Partnerzy Klubu CIO

reklama

Mirosław Forystek

Mirosław Forystek

CIO
ING Bank Śląski
Józef Beźnicki
Beata Sosnowska
Rafał Robert Lewandowski
Tomasz Matuła
Łukasz Neuman
Sławomir Panasiuk
Monika Płocke
Dorota Poniatowska-Mańczak
Tadeusz Rogaczewski
Małgorzata Ryniak
Dariusz Stolarczyk
Józef Wacnik
Małgorzata Korycka-Purchała
Jacek Pulwarski
Dariusz Zawistowski

Redakcja poleca

Kontakt | Wytyczne ASME | Reklama
Polityka prywatności | Regulamin
© Copyright 2017 International Data Group Poland S.A.
00-105 Warszawa, ul. Twarda 18, tel. +48 (22) 3217800, fax +48 (22) 3217888