Statystyki są bezlitosne. Częstotliwość i skuteczność ataków na organizacje wzrasta. Narzędzia podmiotów atakujących są coraz lepsze, a ich kompetencje wyższe. Publikowana przez Center for Strategic and International Studies (CSIS) lista udanych cyberataków na agencje rządowe, sektor obronny, zaawansowane technologicznie firmy lub przestępstwa gospodarcze, w których straty z powodu ataków przekroczyły milion dolarów, zawiera już blisko 600 przykładów. W samym tylko 2019 r. przybyło na niej prawie 100 pozycji.
Wobec przytoczonych danych obawy o to, czy w naszym biznesie na nie mamy jakichś nieznanych, „niewyłączonych żelazek”, są jak najbardziej uzasadnione. Musimy też pamiętać, że nawet w wyspecjalizowanych zespołach zajmujących się bezpieczeństwem z czasem czujność może osłabnąć. Pojawia się przypadkowa niewrażliwość na oczywiste luki lub akceptacja dla znanych ryzyk, które jednak przez wiele lat nie zakończyły się incydentem.
Audyt bezpieczeństwa informacji
W eliminowaniu luk bezpieczeństwa bardzo pomocne jest wykonanie audytu bezpieczeństwa informacji, szczególnie gdy wykonują go eksperci zewnętrzni, mający świeże spojrzenie na liczne zagadnienia. Audytorzy – co oczywiste – nie mają pełnych informacji o organizacji o muszą je uzyskać od pracowników audytowanego podmiotu. Równocześnie jednak audytorzy przystępują do pracy uzbrojeni w wiedzę na temat zapewnienia bezpieczeństwa informacji w biznesie oraz praktyczne doświadczenie i znajomość najczęściej popełnianych błędów i luk bezpieczeństwa.
Dodatkowe wsparcie stanową kryteria oraz dobre praktyki zawarte w normach, np. ISO 27001, 20000, 22301, 62443, i systemach bezpieczeństwa (VDA ISA/TISAX, TPN i in.). Nie bez znaczenia jest także efekt świeżego spojrzenia na istniejące rozwiązania. Często osoba z zewnątrz łatwiej dostrzega oczywiste błędy, na które zespół wewnętrzny stał się nieczuły.
Cele audytu
Wykonanie audytu bezpieczeństwa informacji pozwala zrealizować różne cele, zależnie od aktualnych potrzeb danej organizacji. Audyt prowadzony przez zewnętrznego partnera pozwoli także rozszerzyć zakres i podnieść jakość realizowanych audytów wewnętrznych.
Jeśli przedsiębiorstwo przygotowuje się do wdrożenia systemu zarządzania opartego na konkretnej normie lub systemie, wykonanie audytu bezpieczeństwa według danych kryteriów pozwala na stwierdzenie skali odstępstw organizacji od wybranego standardu. Zyskujemy możliwość określenia szczegółowego planu oraz kosztorysu wdrożenia (powyższe może też dotyczyć określonych ustaw, np. UODO lub KRI).
Gdy organizacja posiada już wdrożony system zarządzania i chce uzyskać certyfikat, wykonanie audytu pozwala określić stopień przygotowania do certyfikacji. Warto taki audyt przeprowadzić jako próbę generalną. W razie wykrycia luk zyskujemy możliwość uniknięcia kosztownego przerwania audytu certyfikującego w wyniku wykrytych dużych niezgodności.
Audyt w organizacji, która posiada już certyfikat, może być użyty jako przykład audytu wykonanego przez niezależną jednostkę zewnętrzną. Niektóre normy wymagają takich działań. Można go też wykorzystać jako element przeglądu systemu zarządzania.
Oderwijmy się jednak od zagadnień certyfikacyjnych. Wykonanie audytu zerowego tworzy „snapshot” poziomu zarządzania i bezpieczeństwa organizacji w danym momencie. Obnażamy luki bezpieczeństwa informacji oraz ciągłości działania w odniesieniu do ogólnie przyjętych dobrych praktyk. Możemy określić realny poziom ryzyk związanych z różnymi aktywami i celami strategicznymi. Możemy wreszcie dokonać korekt planów postępowania z ryzykiem w oparciu o rzeczywiste potrzeby.
Doświadczeni audytorzy przychodzący do organizacji z zewnątrz są w stanie w trakcie audytu wyłapać ukryte lub oczywiste luki (efekt „dziecka we mgle”), które umykają specjalistom z wewnątrz organizacji.
Podczas audytu audytorzy występują jako neutralna, zewnętrzna organizacja. To ułatwia rozmowy z pracownikami. Gwarantując im anonimowość, zbierają informacje na temat luk bezpieczeństwa. Często to jedyny sposób, by ta wiedza dotarła do najwyższego kierownictwa danej organizacji.
Poprzez wykonanie audytu organizacja uzyskuje weryfikację, czy procesy i incydenty bezpieczeństwa informacji są prawidłowo adresowane i raportowane do najwyższego szczebla.
Przygotowując się do audytu, pracownicy mimowolnie, „przy okazji”, podnoszą swoje kompetencje, zwiększając zgodność realizowanych procesów z przyjętymi w firmie politykami i procedurami. Ponadto audytorzy, rozmawiając z pracownikami w trakcie audytu, podnoszą ich poziom wiedzy o możliwych ryzykach i wskazują metody ich unikania;
Udokumentowany audyt bezpieczeństwa informacji, w szczególności w połączeniu z testami penetracyjnymi oraz socjotechnicznymi, można wykorzystać do udowodnienia kontrahentom, jak dużą wagę przykładamy do zagadnienia bezpiecznego zarządzania organizacją i danymi. To istotne, bo praktycznie każda interakcja biznesowa wiąże się z wymianą wrażliwych danych.
Rosnąca odpowiedzialność
Organizacje ponoszą coraz większą odpowiedzialność za zapewnienie poziomu bezpieczeństwa informacji zgodnego z przyjętymi rynkowo dobrymi praktykami oraz standardami. Kolejne ustawy, w tym ostatnia ustawa o krajowym systemie cyberbezpieczeństwa, czy wcześniejsze ogólne rozporządzenie o ochronie danych osobowych, zwiększają odpowiedzialność finansową, a nawet karną przedsiębiorstw i osób nimi kierujących. Z samego tylko tytułu naruszeń RODO w Europie nałożono już 130 kar, z czego najwyższe przekroczyły pułap 10 milinów euro.
Typowe obszary ryzyka
Zagrożenia dla bezpieczeństwa informacji kojarzą się zwykle z atakami hakerskimi, wirusami, zaawansowanym technologicznie wrogim oprogramowaniem. Jednak duże, a często ignorowane ryzyko wiąże się z banalnymi lukami bezpieczeństwa, które nie mają nic wspólnego z IT, a wynikają z braku świadomości, zaniedbań czy lekkomyślności. Przedstawiamy wybrane przykłady zagrożeń bezpieczeństwa napotkane przez audytorów SNP (aktualnie All for One Poland).
Otwarte tylne drzwi. Bardzo mocne zabezpieczenia „od frontu” organizacji, a równocześnie brak zabezpieczenia innych dróg dostępu (niezabezpieczone drzwi, furtki i szlabany, ochrona tylko z jednej strony obiektu, z przodu przeciwpancerne mury, z tyłu zardzewiałe siatki).
TISAX® jest zarejestrowanym znakiem towarowym ENX Association. All for One Polska sp. z o.o. nie jest w relacji biznesowej z ENX. Wskazanie znaku towarowego TISAX® nie oznacza żadnego oświadczenia właściciela znaku towarowego, dotyczącego przydatności opisywanych tutaj usług.