Zarządzanie bezpieczeństwem IT – teoria a praktyka
Inspiracją do napisania tego artykułu były nasze rozmowy z osobami, które na szczeblu zarządczym wielokrotnie zapewniały nas, że nie potrzebują żadnego wsparcia w obszarze bezpieczeństwa IT, gdyż jest ono zapewnione przez zespół IT albo dostawcę usług outsourcingu IT. Popularność takiego punktu widzenia w zasadzie nie jest przedmiotem niniejszych rozważań, jednakże obserwacje autorów wskazują na to, że we wszystkich analizowanych przypadkach informatyka i dostawcy usług outsourcingu IT koncentrują się na obszarze wsparcia użytkownika końcowego (tzw. Helpdesk), utrzymaniu i administracji systemów IT lub urządzeń sieciowych, co w dużej mierze polega na utrzymaniu w ruchu, usuwaniu awarii i aktualizacji oprogramowania.
Wszystkie te elementy składają się oczywiście na bezpieczeństwo IT – bez nich w zasadzie trudno mówić o jakimkolwiek bezpieczeństwie. Warto jednak zwrócić uwagę na to, że żadne z tych działań nie wyczerpuje tematu zarządzania bezpieczeństwem. Oczywiście, że Helpdesk wyda użytkownikowi komputer, pewnie nawet dobrze skonfigurowany (choć warto zadać sobie pytanie co znaczy dobrze), jednak czy możemy mieć pewność, że wszystkie wydane komputery mają zaszyfrowany dysk, oprogramowanie antywirusowe, prawidłową konfigurację uprawnień, wyłączoną obsługę skryptów i wiele innych rzeczy ważnych z punktu widzenia bezpieczeństwa i kompletnie nieistotnych z punktu widzenia zwykłego działania komputera? A nawet jeśli potrafimy odpowiedzieć na te pytania to czy to oznacza że już jest dobrze? Kto to ocenia i kto o tym decyduje? Z punktu widzenia informatyki komputer, jako narzędzie pracy działa poprawnie, ale czy aby na pewno możemy założyć że prawidłowo chronimy go przed zagrożeniami?
Te i inne pytania każdorazowo nasuwają się, gdy słyszymy „moje IT albo mój dostawca usług outsourcingu IT zapewnia mi bezpieczeństwo”. Nie, nie zapewnia i nie należy tego oczekiwać. Zatem tego należy oczekiwać od IT i dostawcy usług outsourcingu IT? Wdrażania i utrzymania zabezpieczeń, ale nie projektowania i monitorowania bezpieczeństwa bo to zupełnie inna historia.
Modelowy rozdział funkcji odpowiedzialnych za bezpieczeństwo informacji
Na wstępie posłużymy się przykładem niezaszyfrowanych dysków. Jest on dość skrajny, jednak pozwala zrozumieć, że rozwiązania w zakresie bezpieczeństwa są nadmiarowe (tak, nadmiarowe) wobec celu jakim jest utrzymanie systemów informatycznych w ruchu. Żeby to zobrazować, należy przybliżyć nieco model funkcjonowania zespołów IT oraz bezpieczeństwa IT niezależnie od tego, czy są to zespoły wewnętrzne, czy zewnętrzni dostawcy usług outsourcingowych IT.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Zacznijmy zatem od tego, że podstawową spośród „najlepszych praktyk” w obszarze zarządzania informatyką jest całkowite wydzielenie roli szefa bezpieczeństwa (CSO, CISO) od roli szefa IT (CIO). Poniżej wskazano najistotniejsze argumenty, które czynią ten podział obowiązków ważnym z punktu widzenia bezpieczeństwa informacji:
- Konflikt interesów
Tutaj stawiamy mocną tezę – interesy szefa bezpieczeństwa i szefa IT najczęściej są różne. W strategii IT rokrocznie widnieją projekty rozwojowe, zlecenia biznesowe które mają krótki oczekiwany termin wykonania (kto nie słyszał o ASAP?), jak również szereg innych zadań, których wykonanie niezbędne jest do zapewnienia operacyjnego wsparcia biznesu. Który szef IT gotowy jest opóźnić swoje zadanie i dać przestrzeń czasową na dodatkowe testy bezpieczeństwa, testy penetracyjne lub audyt bezpieczeństwa nowego systemu przed jego uruchomieniem produkcyjnym? Który szef IT zaryzykuje swoją reputację przed biznesem? Czy szef IT dostanie premię za bezpieczny system informatyczny czy za system informatyczny uruchomiony na czas i w ramach budżetu?
Rola szefa bezpieczeństwa nie jest typową rolą „hamulcową” dla organizacji, jednakże zadaniem takiej osoby jest wskazać te momenty, w których konieczny jest do wykonania jeszcze jeden krok, który zapewni bezpieczeństwo. I ten dodatkowy krok jest często konfliktem interesów pomiędzy szefem IT a szefem bezpieczeństwa. A warto podkreślić że akceptacja ryzyka nie należy do szefa IT ale do biznesu.
- Bezpieczeństwo – wspólna sprawa
Bezpieczeństwo teleinformatyczne organizacji nie leży wyłącznie w interesie szefa IT, a w interesie całej organizacji. Stąd też założenie, że przy odpowiednim rozdziale kompetencji osoby zajmujące się bezpieczeństwem mogą w sposób autonomiczny tworzyć strategię oraz ustalać priorytety zadań sukcesywnie podnosząc bezpieczeństwo firmy. Różni się to od standardowego prowadzenia projektów w obszarze IT tym, że IT z reguły w sposób projektowy zajmuje się poszczególnymi zadaniami o nadanym priorytecie – a bezpieczeństwo może akurat nie znajdować się przez pewien okres w sferze zainteresowania. Z kolei zespół odpowiedzialny za bezpieczeństwo codziennie kierował będzie swoją uwagę w tę stronę a zakres, tempo i intensywność działania dyktowane będzie nie przez harmonogramy ale przez poziom ryzyka, dynamikę zagrożeń i wpływ na biznes. Co więcej dla ochrony biznesu bezpieczeństwo może i powinno w pewnych warunkach zatrzymać IT. Trudno oczekiwać, że IT zatrzyma IT.
- Współpraca na linii CISO – CIO
Bezpieczeństwo oraz IT powinno być rozdzielone, jednakże każdy z tych zespołów ma swoją rolę do wykonania i nie należy deprecjonować żadnej z nich. Niemniej, to z obszaru bezpieczeństwa powinny płynąć jasne wymagania, jakie do spełnienia ma zespół IT celem ustawicznego podnoszenia poziomu bezpieczeństwa adekwatnego do apetytu na ryzyko danej organizacji. To bezpieczeństwo powinno na bieżąco analizować ryzyko i wskazywać dobór odpowiednich narzędzi lub strategii, która będzie w stanie skutecznie i efektywnie odpowiedzieć na zagrożenia zarówno zewnętrzne jak i wewnętrzne.
CISO i CIO – podział funkcji i odpowiedzialności
Wracając na chwilę do przykładu z początku tekstu o niezaszyfrowanych dyskach, modelowa współpraca powinna wyglądać w sposób następujący:
Tabela nr 1: Modelowy podział funkcji CISO i CIO na przykładzie wymagania szyfrowania dysków
| CISO (bezpieczeństwo) | CIO (informatyka) |
|---|---|
| Wybiera technologie szyfrowania (np. Bitlocker) | Wdraża wybraną technologię |
| Ustala zakres (np. tylko laptopy) | Wdraża proces, mający na celu szyfrowanie laptopów |
| Zakłada procent pokrycia (np. 100%) | Wdraża proces, który ma na celu szyfrowanie 100% laptopów |
| Monitoruje wykonanie zadania (np. raz w miesiącu) | Podlega cyklicznej weryfikacji |
Oczywiście, to tylko prosty przykład obrazujący możliwości, które daje rozdział funkcji, jednakże trudno sobie wyobrazić, że w takim przypadku jedna osoba jest w stanie zapewnić kierownictwo wyższego szczebla o tym, że proces działa i nie istnieją żadne odstępstwa. Bo skoro nie ma funkcji która określa wymagania i normy to stan faktyczny staje się normą. Tak jak normą staje się każda nieprawidłowość i brak. Bo kto miałby stwierdzić że nieprawidłowość lub brak normą nie jest?
Być może przywiązywanie tak dużej wagi do podziału obowiązków ma źródło w doświadczeniach zawodowych autorów. Wielokrotnie obserwowaliśmy sytuacje, w których dział IT zapewniał kierownictwo o wysokim poziomie bezpieczeństwa, jednocześnie sam nie posiadał wystarczających kompetencji do obiektywnej oceny sytuacji, co nikogo nie powinno dziwić bo nie można się znać na wszystkim. Nawet jeśli oczekuje tego zarząd, rada nadzorcza i właściciel razem wzięci. Można jednak przyjąć założenie, że dział IT (niezależnie od wielkości) jest w stanie wchłonąć odpowiedzialność za bezpieczeństwo i odnaleźć tak mocne argumenty, że organizacji bardziej opłaca się pójść tą drogą i nie wydzielać odrębnej funkcji zarządzania bezpieczeństwem. Te argumenty chcielibyśmy omówić poniżej:
- Synergia budżetu
Wiele organizacji w połączeniu funkcji IT i bezpieczeństwa poszukuje przede wszystkim synergii wydatków budżetowych. Jest to stosunkowo popularne rozwiązanie i potrafimy zrozumieć podejście, w którym optymalizacja kosztowa wygrywa. Należy jednak pamiętać, że taniej rzadko oznacza bezpieczniej. W zależności od sytuacji firmy, fazy rozwoju i dojrzałości zarządzania, punkt ciężkości wydatków może zostać przesunięty daleko od bezpieczeństwa. Z drugiej strony mamy tu niejako wskazanie na pewne podrzędne traktowanie zespołu bezpieczeństwa względem IT, a obie funkcje powinny być podrzędne ale wobec biznesu. Wysokość wydatków na bezpieczeństwo może nie być podyktowana poziomem akceptowalnego ryzyka, ale również może nie być podparta analizą ryzyka lub też faktycznymi potrzebami i najczęściej być wypadkową tego co „zostało” do skonsumowania przez IT po uwzględnieniu istotnej części rozwojowej. A to już jest gotowy przepis na problemy. Podobnie jak samochód wyposażony w silnik dużej mocy i nieprzystosowane do tej mocy hamulce, które przecież nie służą do zatrzymania samochodu tylko do zapewnienia bezpiecznej jazdy.
- Brak konieczności współpracy z innym zespołem
Aby prawidłowo zobrazować tę sytuację z perspektywy organizacji, należy tabelę nr 1 przekształcić w kompetencje jednoosobowe, gdzie CIO jednocześnie dobiera standardy a następnie je wdraża i monitoruje. Abstrahując od ludzkich cech uniemożliwiających realizację takiej misji, taka sytuacja prowadzi do całkowitego braku rozliczalności działań w obszarze bezpieczeństwa. Wystarczy czysto hipotetycznie założyć, że obrana strategia lub wybrana klasa rozwiązania technicznego jest niewłaściwa lub niewystarczająca wobec potrzeb biznesowych i jednocześnie potrzeb bezpieczeństwa. W firmie, która skupia w jednym ręku obie funkcje nie jesteśmy w stanie stwierdzić, że do takich sytuacji nie dochodzi bo nie ma nikogo kto mógłby to stwierdzić (bezpieczeństwo IT odpowiadające bezpośrednio przed szefem IT NIE JEST niezależnym zapewnieniem).
- Lepsze kompetencje i rozwój
Jako ostatni wart przytoczenia argument dotyczy wprost rozwoju kompetencji pracowników, którzy przechodząc przez różne ścieżki w dziale IT są w stanie wesprzeć zespół ds. bezpieczeństwa. Ilość zadań idąca wraz z rozwojem technologii organizacji może znacząco przyczyniać się do wzrostu kompetencji i pozwolić w przyszłości pracownikowi awansować do struktur zespołu bezpieczeństwa. Tworzy to atrakcyjną szansę rozwoju pracowników, zmniejsza rotację, pozwala na specjalizację i podnosi efektywność pracy, a ostatecznie obniża koszt bezpiecznej informatyki.
Co do zasady argument ten jest racjonalny i daje wszystkim pracownikom z obu zespołów perspektywy rozwoju i zmiany obszaru zainteresowań. Niemniej, w dobrze zgranej firmie, szanse te pozostaną takie same w przypadku rozdzielenia obu zespołów.
Zbadaj samemu stan swojego bezpieczeństwa informacji!
Treść tego artykułu podważa momentami pewien model oparcia się na zaufaniu którejkolwiek ze stron, zarówno IT jak i zespołu cyberbezpieczeństwa. Nie jesteśmy zwolennikami polaryzowania, potrafimy zrozumieć argumenty broniące zarówno modelu cyberbezpieczeństwa wewnątrz zespołu IT, jak i osobnego bytu. Dlatego wychodzimy z pewną propozycją: jednym z załączników do artykułu jest ankieta, pozwalająca niejako samodzielnie zbadać stan swojego cyberbezpieczeństwa. Zachęcamy do jej wypełnienia. Być może efekty będą dla Państwa w pewien sposób odkrywcze lub zachęcą do pewnych zmian, mających na celu usprawnienie procesów, ponowny przegląd podziału obowiązków czego w efekcie powinien być wzrost poziomu bezpieczeństwa IT. Każdy interesariusz organizacji powinien mieć na uwadze dobro wspólne, jakim jest bezpieczeństwo informacji niezależnie od miejsca w hierarchii.
