Filtruj / szukaj
(0)
Amerykańskie Centrum Studiów Strategicznych i Międzynarodowych szacuje, że kradzież danych oraz praw autorskich to koszt pomiędzy 375 a 575 miliardów USD rocznie. Jest to wyzwanie, z którym zmierzyć się muszą organizacje na całym świecie, także w Polsce.
Podstawowym problemem, z jakim spotykamy się w naszym kraju, jest bardzo niski poziom edukacji i świadomości cyberzagrożeń. Co trzeci ankietowany przez firmę doradczą EY w 17. Światowym Badaniu Bezpieczeństwa Informacji albo nieprawidłowo ocenia, ile czasu jego firmie zajmuje reakcja na naruszenie bezpieczeństwa informacji, albo w ogóle nie jest w stanie odpowiedzieć na to pytanie. 12% przedsiębiorstw reaguje na atak w ciągu 10 minut, a 25% w ciągu godziny. 56% firm przyznaje, że miałoby problem z identyfikacją i wczesnym wykryciem zagrożeń. Na ten problem w obszarze administracji państwowej wskazuje jeden z raportów Najwyższej Izby Kontroli z 2014 roku. W szeroko rozumianej sferze biznesowej, poza nielicznymi wyjątkami, sytuacja nie wygląda o wiele lepiej…
Nie ma większych różnic w technikach cyberataków na świecie. Istotne rozbieżności dotyczą natomiast monitorowania bezpieczeństwa oraz sposobu i sprawności reagowania na wykryte przypadki jego naruszenia
agrożenia dla środowiska teleinformatycznego firm czy administracji są takie same na całym świecie. Bardzo podobne są również techniki przełamywania zabezpieczeń. Polskie firmy w takim samym stopniu są podatne na zagrożenia wynikające z ataków wewnętrznych, jak w Stanach Zjednoczonych, Kanadzie czy Japonii.
Firma doradcza EY co roku przeprowadza Światowe Badania Nadużyć Gospodarczych. W ubiegłym roku w Polsce 60% ankietowanych uznało cyberprzestępczość za istotne zagrożenie. Według ankietowanych menedżerów, źródłem ataków mogą być przede wszystkim pracownicy – tak deklaruje 52%, konkurencja – 42%, hakerów wskazało 36% ankietowanych, a zorganizowane grupy przestępcze – 8%.
Do niedawna osoby odpowiedzialne za zarządzanie bezpieczeństwem IT przyjmowały, że jest ono możliwe tylko i wyłącznie w przypadku, gdy ma się pełną kontrolę nad serwerami, nośnikami danych, aplikacjami, łączami, czyli wszystkim, co wiąże się z systemami informatycznymi przedsiębiorstwa. Takie podejście skutkowało modelowaniem wszelkich mechanizmów bezpieczeństwa i ochrony z założeniem pełnej kontroli i własności wykorzystywanych zasobów.
Tymczasem dynamiczny rozwój internetu oraz rozwiązań informatycznych powoduje, że klasyczny paradygmat bezpieczeństwa „zarządzam, jeżeli kontroluję” zupełnie traci rację bytu. Przedsiębiorstwa nie są w stanie w pełni kontrolować swoich aplikacji i danych umieszczonych w chmurze czy w sieciach społecznościowych, co w praktyce oznacza, że nie są w stanie zarządzać ich bezpieczeństwem według klasycznej definicji. Dlatego też menedżerowie powinni zmienić swoje postrzeganie zagadnień bezpieczeństwa w systemach informatycznych.
Dotychczas w praktyce przedsiębiorstw występowały trzy standardowe elementy zarządcze dotyczące zabezpieczeń IT. Pierwszym z filarów jest zarządzanie ryzykiem, a w szczególności strategia postępowania z nim (risk handling), realizowana na cztery możliwe sposoby:
zabezpieczenie zasobów, czyli standardowe myślenie o bezpieczeństwie;
unikanie zagrożeń, czyli niedopuszczanie do powstania ryzyka;
akceptacja ryzyka, czyli świadome pozostawienie bez działań zapobiegawczych czynnika powodującego zagrożenie;
transfer ryzyka, czyli „ubezpieczanie się” od zagrożeń lub przeniesienie ryzyka na stronę trzecią.
Jedną z głównych cech modelu Software as a Service (SaaS) jest unifikacja rozwiązań. Oznacza to, że model usługowy dobrze sprawdza się w uniwersalnych procesach, natomiast zupełnie nie zdaje egzaminu w przypadku procesów unikalnych, krytycznych dla firmy oraz rozwiązań przesądzających o jej konkurencyjności.
Usługi oparte na chmurze obejmują wystandaryzowane rozwiązania, z których w taki sam sposób może korzystać wiele przedsiębiorstw. Dzięki temu koszty utrzymania i rozwoju infrastruktury oraz aplikacji rozkładane są na wielu klientów, a dostawca może oferować ceny, które mogą być dla firm atrakcyjniejsze niż koszty ponoszone na utrzymanie własnych rozwiązań IT. Przykładem takich procesów są usługi księgowe, które w wielu różnych przedsiębiorstwach są prowadzone tak samo, zgodnie ze standardami i wytycznymi regulatora. Oczywiście, niektóre firmy mogą uważać, że dysponują unikalnymi rozwiązaniami księgowymi, jednak takie podejście nie buduje wartości dla klienta i wynika przede wszystkim z bariery mentalnej w głowach kierownictwa.
…
Sukces projektu w coraz większym stopniu zależy od partnerskich relacji klienta z konsultantem i jest możliwy tylko dzięki pełnemu zaangażowaniu ze strony zarządu i pracowników klienta.
Skuteczna ochrona najważniejszych informacji w firmie wymaga odpowiedzi na pytanie: co i jak chronić, żeby inwestycje w bezpieczeństwo były optymalne. Aby sprostać temu wyzwaniu, warto podejść kompleksowo do architektury bezpieczeństwa w przedsiębiorstwie. Jest to możliwe dzięki zastosowaniu metodyki SABSA.
