Streszczenie: W firmie Compass jednym z kluczowych nierozwiązanych problemów związanych z bezpieczeństwem jest wdrożenie modelu BYOD (Bring Your Own Device). Aby podjąć decyzję o kontynuacji tego modelu, konieczne jest zrozumienie specyfiki pracy w firmie, w tym tego, kto, w jaki sposób i jakie dane przetwarza. Pracowników można podzielić na handlowców i doradców, którzy pracują inaczej i mają dostęp do różnych danych. Handlowcy korzystają z systemów typu CRM i mają dostęp do danych z wizytówek lub notatek ze spotkań, co stanowi relatywnie niskie ryzyko. W ich przypadku firma mogłaby pozostać przy lekko zmodyfikowanej wersji modelu BYOD, zezwalając na używanie prywatnego sprzętu, pod warunkiem spełnienia minimalnych wymagań bezpieczeństwa, takich jak szyfrowanie dysków, program antywirusowy, aktualizacje bezpieczeństwa czy hasło blokujące dostęp. Dodatkowo, na urządzeniach powinno być zainstalowane oprogramowanie umożliwiające weryfikację lub wymuszenie spełniania tych standardów. MIT Sloan Management Review Polska
Artur Józefiak: profesjonalna reakcja jest kluczowa dla wizerunku firmy
Artur Józefiak
W Compassie spośród kilku nierozwiązanych kwestii bezpieczeństwa najbardziej podstawowym problemem jest sposób wdrożenia modelu BYOD. Aby odpowiedzieć na pytanie, czy pozostać przy tym modelu, trzeba zacząć od zrozumienia specyfiki pracy w Compassie: kto, w jaki sposób i jakie dane przetwarza. Pracowników firmy można podzielić na handlowców i doradców. Obie grupy pracują inaczej i mają dostęp do innych danych. Pierwsza korzysta z systemów typu CRM, ma dostęp do danych z wizytówek lub zapisków ze spotkań. Jest to grupa relatywnie małego ryzyka. Wobec niej Compass mógłby pozostać przy lekko zmodyfikowanej wersji modelu BYOD, czyli zezwolić na wykorzystanie prywatnego sprzętu, ale pod warunkiem że będzie spełniał ustalone, minimalne wymagania bezpieczeństwa (szyfrowanie dysków, program antywirusowy, aktualizacje bezpieczeństwa lub hasło blokujące dostęp). Poza tym należy zainstalować w sprzęcie oprogramowanie umożliwiające weryfikację lub nawet wymuszenie spełniania tych standardów. Do tej grupy prawdopodobnie można zaliczyć sporą część pracowników tzw. back‑office. Druga grupa, czyli doradcy, ma dostęp do potencjalnie wrażliwych danych klientów przedsiębiorstwa. Nie wykluczałbym w tym przypadku powrotu do komputerów firmowych wyposażonych w bardziej zaawansowane zabezpieczenia – w tym także monitorujące i wykrywające potencjalne ataki lub wycieki danych. Bez wątpienia byłby to koszt, ale konsekwencje finansowe utraty danych klientów mogą być ogromne – włącznie z bankructwem firmy, dla której zaufanie klientów jest fundamentem działalności.
Zaproponowane podejście jest kompromisem pozwalającym z jednej strony zwiększyć bezpieczeństwo, a z drugiej – obronić wizerunkowy sukces firmy, która wdrożyła nowatorskie rozwiązania. Compass może wykorzystać zaistniałą sytuację, by wzmocnić swoją wiarygodności u klientów: „jesteśmy innowacyjni, ale bezpieczeństwo danych klientów jest priorytetem – wyciągnęliśmy wnioski i udoskonaliliśmy model BYOD”.
Drugą kwestią, która ma strategiczne znaczenie dla bezpieczeństwa danych firmy, jest uwzględnienie analizy ryzyka przy rozważaniu i implementowaniu zmian w organizacji. W opisanym przypadku decyzję o wdrożeniu nowej polityki podjął zarząd, nawet nie zadając
pytania o wpływ takiej zmiany na bezpieczeństwo. Skupiono się na oszczędnościach na sprzęcie i jego serwisowaniu oraz zysku wizerunkowym. Trzeba pamiętać, że ten, kto wprowadza zmianę, musi upewnić się, czy nowy model funkcjonowania lub technologia nie wprowadzają nowego ryzyka – a jeśli tak, to w jaki sposób zostanie ono zminimalizowane.
Kolejną kwestią jest brak procedury reakcji w przypadku stwierdzenia incydentu bezpieczeństwa – podejrzenia wycieku danych. Sposób reakcji nie powinien być definiowany ad hoc podczas spotkania zarządu, tylko być konsekwencją realizacji ustalonego planu działania kryzysowego. Taki plan na pewno obejmuje wykonanie analizy śledczej pozwalającej ustalić, w jaki sposób hakerzy złamali zabezpieczenia oraz – co również bardzo ważne – czy faktycznie doszło tylko do otwarcia drzwi do systemu, czy też hakerzy kłamią, zapewniając, że niczego nie ukradli.
Poza tym zarząd Compassu powinien bardzo szybko rozpocząć działania komunikacyjne, w szczególności do klientów firmy, ale także do otoczenia rynkowego. Uprzedzenie plotek i profesjonalna reakcja są kluczowe dla wizerunku organizacji. Wiele firm, które próbowały zataić lub zlekceważyć podobne zdarzenia, dziś już nie istnieje. W komunikacji skierowanej do klientów należy szczerze, ale bez wzbudzania nadmiernych emocji, przyznać, że doszło do ataku. Trzeba też jednocześnie podkreślić, że analiza, jak dotąd, nie wykazała wycieku jakichkolwiek danych.
Aby odpowiedzieć na pytanie, czy pozostać przy BYOD, trzeba zacząć od zrozumienia specyfiki pracy: kto, w jaki sposób i jakie dane przetwarza.
Do analizy tego przypadku, ale też bardziej długoterminowo, rozważyłbym zatrudnienie renomowanej firmy zajmującej się cyberbezpieczeństwem. Może to zaowocować uodpornieniem się organizacji na podobne przypadki w przyszłości. Ruch ten ma także znaczenie wizerunkowe – wysyłamy jasny sygnał, że traktujemy sytuację priorytetowo i zatrudniliśmy do tego najlepszych.
Ze względu na specyfikę branży, w której działa firma Accenture, oraz dostęp do wrażliwych danych klientów bardzo dbamy, aby odpowiednio zabezpieczyć dostęp do firmowych zasobów. Korzystamy ze służbowych komputerów, a telefony komórkowe, nawet prywatne, wymagają instalacji oprogramowania bezpieczeństwa, by miały dostęp do danych firmowych. Prawie wszystkie portale wewnętrzne dostępne z Internetu wymagają silnego uwierzytelnienia. Bardzo ważnym elementem kultury bezpieczeństwa Accenture jest to, że równolegle do ograniczeń wprowadza się nowe, bezpieczniejsze możliwości wykonywania operacji. Przykładowo, zanim korzystanie z nieszyfrowanych pendrive’ów zostało zabronione (i technicznie zablokowane), firma wprowadziła kilka innych metod wymiany dużych wolumenów danych – niektóre z nich umożliwiające także wymianę danych z klientami. Równie ważnym elementem naszej kultury bezpieczeństwa jest ciągłe podnoszenie świadomości pracowników dotyczącej zarówno zagrożeń, jak i metod ochrony. Dlatego co jakiś czas analizujemy ich reakcję, wysyłając testowe wiadomości usiłujące wyłudzić od nich wiadomości. Pracownicy, którzy nie rozpoznają zagrożenia i dadzą się „złapać”, zostają skierowani na dodatkowe szkolenie na temat zabezpieczeń.
Przeczytaj pozostałe komentarze: »
Grzegorz Idzikowski: ubezpieczajmy się od cyberprzestępczości
|
,
Grzegorz Idzikowski PL
Janusz Nawrat: analiza ryzyka to absolutna podstawa
|
Janusz Nawrat PL
