CyberbezpieczeństwoCIOPolecane tematy
CXO HUB CyberSec Chapter: w stronę nowego cyberbezpieczeństwa (skrót relacji)
Transformacja podejścia do cyberbezpieczeństwa przyspiesza, potrzebuje jednak dużo pracy nad świadomością w organizacjach i ich otoczeniu – mówili uczestnicy spotkania CyberSec Chapter.
Pierwsze spotkanie CXO HUB CyberSec Chapter w ramach cyklu o transformacji cyberbezpieczeństwa, zorganizowanego we współpracy z firmami TRECOM i Cisco, zgromadziło ponad 70 osób. W sondzie CXO Insight, która dała pretekst do dysusji wypowiedziało się ponad 60 CXO. To dobry prognostyk przed kolejnymi spotkaniami.
Obszerną relację publikujemy na łamach serwisu cxohub.pl oraz w wydaniu 11-12/2021 magazynu ITwiz. Znajdą tam także Państwo wyniki badania CXO Insight „Potencjał zmiany CyberSec”. Skróconą relację z pierwszego spotkania CXO HUB CyberSec Chapter publikujemy zaś poniżej.
Informacje o kolejnych wydarzeniach w ramach cyklu CXO HUB CyberSec Chapter:
•Spotkanie online dn. 12 stycznia 2022 w godz. 16-18 CXO HUB CyberSec Chapter “Ewolucja CyberSec: konwergencja i standaryzacja”.
•Badanie CXO Insight „Ewolucja CyberSec: konwegrencja i standaryzacja” – zapraszamy.
Czy podejście do CyberSec się zmienia?
Rozmowa z Przemysławem Szuleckim, VP GSS, JP Morgan otworzyła nasze spotkanie. Oto kluczowe stwierdzenia Przemysława Szuleckiego:
- Jesteśmy na polskim rynku w przełomowym momencie budowania świadomości potrzeby zmian w CyberSec. Zależnie od firm i branży ten etap zmiany jest w różnym stopniu zaawansowany. Zmiana świadomości cyberzagrożeń i cyberbezpieczeństwa powinna dotyczyć również naszego otoczenia. To wymaga naszego zaangażowania także poza pracą, np. na uczelniach.
- Wchodzimy w okres turbulencji. Co dzień będziemy stawać w obliczu całkowicie nowych rodzajów ryzyka dla aplikacji, procesów. To najbardziej prawdopodobna wizja przyszłości CyberSec.
- Zmianie powinna przyświecać racjonalność – zarządzanie ryzykiem adekwatne do sytuacji organizacji. Bez rychtowania armat na wróble.
Skuteczne strategie CyberSec
Jeśli zmiana podejścia do cyberbezpieczeństwa jest potrzebna – to warto rozważyć, co z kapitału doświadczenia rozwoju cyberbezpieczeństwa da się przenieść do nowej rzeczywistości. W dyskusji na ten temat udział wzięli Beata Mycer, CIO w firmie Ultimo, wcześniej m.in. CISO w Credit Agricole, Piotr Skibiński, CISO w Polkomtel, Artur Czerwiński, dyrektor ds. technicznych w Cisco, Łukasz Nawrocki, inżynier bezpieczeństwa w Trecom i Przemysław Szulecki, VP GSS, JP Morgan.
Beata Mycer skomentowała m.in. zagadnienie możliwości osiągniecia jednego, uniwersalnego standardu cyberbezpieczeństwa.
- Mamy do czynienia z cyberbezpieczeństwem różnych prędkości – adekwatnie do potrzeb i możliwości firm – które utrzyma się także w nowym paradygmacie. Możliwym i pożądanym wspólnym mianownikiem powinno być pojęcie bezpieczeństwa informacji, które obejmuje wszystkie aspekty, od bezpieczeństwa danych, po bezpieczeństwo infrastruktury.
- Język i komunikacja są niezbędne dla rozwoju CyberSec, nie tylko świadomości, ale i wykonania przyjętych celów. Poprzeczkę warto – a nawet trzeba – postawić jak najwyżej. Prostym, jasnym językiem polskim muszą mówić wszyscy zaangażowani w sprawy bezpieczeństwa i biznesu. Poza swoją enklawą, gdzie język ekspercki jest potrzebny, trzeba porozumiewać się dobrym językiem polskim, prostym i logicznym.
Łukasz Nawrocki mówił o zmianie z perspektywy integratora, jakim jest Trecom: “Na etapie rozmowy o narzędziach służących zmianie, staramy się przekonywać, że zmiana nie ma charakteru punktowego, tylko ekosystemowy, gdzie wsparcie integratora jest wartością. Nadal często jest okazja i konieczność posłużenia się pewnym prostym uzasadnieniem. Przytaczam przykład zmiany poziomu szyfrowania ruchu w sieci. W 2015 r. według Google poziom zaszyfrowanego ruchu w sieci Web stanowił 30-50%, a obecnie, w 2021 – 85-95%. Pojawia się problem umożliwienia jego deszyfracji do potrzeb analizy zaawansowanych systemów cyberbezpieczeństwa. Jeśli klient nie ma tego świadomości i nie umożliwi tego, to inwestycja w drogie rozwiązanie będzie chybiona – 95% ruchu nie będzie analizowana”.
Efektywność CyberSec
Zagadnienie efektywności CyberSec także powinno być czynnikiem stymulującym zmianę. Rozmawialiśmy o tym w dalszej części spotkania. Artur Czerwiński mówił o ewolucji efektywności rozwiązań bezpieczeństwa. Ich żywiołowy rozwój ma dobrą, ale i złą stronę. “Zdecydowanie przybywa narzędzi cyberbezpieczeństwa. Wiąże się z tym problem ich obsługi. O ile w miarę płynnie można rozwinąć kompetencje od obsługi rozwiązań antywirusowych do EDR, to pojawiają się też całkiem nowe klasy narzędzi. Jeszcze kilka lat temu nikt nie mówił o CASB (Cloud Security Acccess Broker) czy zabezpieczaniu kontenerów. Dziś są dostępne, ale niedostępni są specjaliści, którzy mogliby wykorzystać ich potencjał. Obsłużyć, skalibrować, skorelować, zinterpretować i dostarczyć organizacji obraz niebezpieczeństwa kompromitacji. Jedynym wyjściem, jeśli chcemy efektywnego wykorzystania nowych narzędzi jest automatyzacja” – mówił Artur Czerwiński.
Łukasz Nawrocki zwrócił uwagę, że pod hasłem poprawy efektywności dokonuje się obecnie selekcja, konsolidacja rozwiązań bezpieczeństwa: “Chęć optymalizacji efektywności jest uwarunkowana świadomością. Często w branżach zaawansowanych jako integrator towarzyszymy w rozwiazywaniu problemów wysokiego poziomu – automatyzacji, optymalizacji, przyspieszenia procesów. Natomiast z klientami z branż niestymulowanych regulacjami ani potrzebą biznesową, rozmowy mają inny charakter. Działy bezpieczeństwa są niedofinansowane, borykają się z brakami kadrowymi i kompetencyjnymi a problemy przed którymi stoją są bardzo konkretne Wówczas często wychodzimy naprzeciw jako operator SOC-a”.
Przemysław Szulecki powrócił do kwestii wieloaspektowego oddziaływania na zmianę podejścia do CyberSec.
- Efektywność rozbija się o zasoby. Utrzymanie niezbędnej wiedzy wewnątrz organizacji jest drogie, to wiedza ekspercka. Należy więc poddać pod zastanowienie – czy korzystanie z zewnętrznych centrów kompetencji nie będzie po prostu lepsze i efektywniejsze, także dla całego wspólnego ekosystemu cyfrowej gospodarki.
- Z drugiej strony zewnętrzne ośrodki kompetencji cyberbezpieczeństwa mogą się nadmiernie konsolidować. Wówczas, kiedy rynek skurczyłby się do 2-3 depozytariuszy wiedzy – to staliby się oni zasobami krytycznymi. Nie ma już wówczas mowy o powierzenie własnego ryzyka na zewnątrz.
Decyzyjność i sprawczość cybersec
Czy nowe cyberbezpieczeństwo potrzebuje więcej autonomii i decyzyjności? Piotr Skibiński zwrócił uwagę, że zagadnienie wyposażenia w decyzyjność może być pochodną kultury organizacyjnej i sytuacji firmy.
- Im wyższa pozycja cyberbezpieczeństwa, tym łatwiej pewnie rzeczy przeprowadzić, ale też większa odpowiedzialność. Nawet, jeśli pojawi się świadoma współodpowiedzialność w firmie. Decyzyjność i pozycja w firmie są ważne, ale firma ma przynosić zyski i kluczowym gwarantem zysku są liderzy biznesowi, którzy te zyski przynoszą. To przestroga – aby nie popaść w klasyczną pułapkę, kiedy to bezpieczeństwo staje się hamulcowym inicjatywy, innowacji. To ostatecznie biznes musi zdecydować jakie ryzyko jest w stanie podjąć, ale powinien to robić świadomie.
- Obok decyzyjności musi być i ścieżka eskalacyjna – aby porozumiewać się kolejnymi poziomami, aż do decyzji zarządu wobec prezentowanego ryzyka danych przedsięwzięć.