Szukaj
Close this search box.

Zwiększ efektywność procesu reagowania na incydenty bezpieczeństwa informacji w pięciu krokach

Picture of Krzysztof Tyl
Krzysztof Tyl
Prezes Zarządu

Reagowanie na incydenty to jest ciągły wyścig z czasem. W tej walce chodzi o to aby czas między skutecznym przełamaniem ochrony a wykryciem i neutralizacją był jak najkrótszy. Ten okres nazywany Detection Deficit. O ile czas potrzebny na skuteczny atak jest liczony w minutach o tyle wykrywanie to są często dni a nawet miesiące. Coraz więcej organizacji ma dedykowane zespoły reagowania na incydenty. Zespoły zdobywają kompetencje i doświadczenie, co skraca czas potrzebny na wykrycie incydentu bezpieczeństwa, jednak hakerzy również rozwijają się w swoim fachu przez co Detection Deficit pozostaje duży.

Detection Deficit
Detection Deficit

Przyglądnijmy się co można zrobić aby zwiększyć efektywność procesu reagowania na incydenty bezpieczeństwa informacji i walczyć i minimalizacje Detection Deficit.

Detection Deficit

1. Regulacje wewnętrzne (Polityki i Standardy)

Polityka Bezpieczeństwa Informacji jest dla każdego cyberbezpiecznika podstawowym dokumentem w organizacji. Obejmuje swoim zakresem nie tylko sieć komputerową przedsiębiorstwa czy instytucji, ale także całość zagadnień związanych z ochroną danych będących w dyspozycji firmy. Powinna definiować poprawne i niepoprawne – w sensie bezpieczeństwa – sposoby zachowania użytkowników i operacje na danych przechowywanych w systemie.
Zapisy polityki bezpieczeństwa powinny z jednej strony wyznaczać kierunek rozwoju infrastruktury cyberbezpieczeństwa w organizacji, a swego rodzaju specyfikacją istotnych warunków zamówienia z drugiej.

Zadania do wykonania:

  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.

  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach

  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach

    2. Sprawny model komunikacji

    Komunikacja to ważny element w każdej organizacji a komunikacja, gdy mamy do czynienia z incydentem bezpieczeństwa, staje się krytycznym czynnikiem, który będzie miał wpływ na prace zespołu reagowania podczas walki z zagorzeniem. W war room’ie, każdy z grupy pracującej nad incydentem musi otrzymywać właściwe i prawdziwe informacje pozwalające wykonywać zdefiniowane w procedurach obowiązki. Komunikacja wewnętrzna to także wymiana informacji z kierownictwem, decydentami, osobami mającymi umocowanie do podejmowania kluczowych decyzji. Ścieżka powinna być dostosowane do krytyczności incydentu z jakim mamy do czynienia.
    W wyniku incydentu bezpieczeństwa organizacji może grozić wyciek danych, utrata reputacji. W takim wypadku ważna jest dobrze zorganizowana i przygotowana na taką ewentualność komunikacja zewnętrzna, do partnerów, klientów lub mediów.

    Zadania do wykonania:

    • sprawdzenie procedur komunikacji wewnętrznej
    • opracowanie lub weryfikacja procedur komunikacji zewnętrznej
  • sprawdzenie procedur komunikacji wewnętrznej
  • sprawdzenie procedur komunikacji wewnętrznej

  • opracowanie lub weryfikacja procedur komunikacji zewnętrznej
  • opracowanie lub weryfikacja procedur komunikacji zewnętrznej

    3. Przeszkolony, doświadczony i kompetentny zespół

    Budowa dobrego zespołu cyberbezpieczeństwa to długi i trudny proces. Mimo, że ekspertów w zakresie bezpieczeństwa przybywa, to jednak dalej jest ich stanowczo za mało na naszym rynku. Z tego względu firmy często decydują się na outsourcing usługi, albo jej części np. 1, 2 lub 3 linii SOC. Jeżeli jednak budujemy własny zespół, warto zadbać o strategie budowy zespołu, koniecznych kompetencji i doświadczenia, a następnie regularnie, np. co pół roku weryfikować gdzie jesteśmy, jak ją realizujemy, jakie mamy mocne i słabe strony. A potem rekrutować najpotrzebniejsze kadry.

    Zadania do wykonania:

    • Aktualizacja strategii budowy zespołu
    • Analiza SWOT zespoł
  • Aktualizacja strategii budowy zespołu
  • Aktualizacja strategii budowy zespołu

  • Analiza SWOT zespoł
  • Analiza SWOT zespoł

    4. Program szkoleń

    Bardzo ważnym elementem podnoszącym efektywność pracy zespołu jest program szkoleń.
    Dla zespołu do reagowania na incydenty bezpieczeństwa program szkoleń powinien obejmować szkolenia z technik i zasad cyberbezpieczeństwa jak i z konkretnych narzędzi wykorzystywanych w organizacji. Warto go uzupełnić szkoleniami miękkimi z pracy zespołowej, zarządzania zespołem, zarządzania projektem.
    Dla wszystkich pracowników przedsiębiorstwa powinien zostać zbudowany plan szkoleń security awareness. Ważne aby to nie było jedno szklenia a program, najlepiej uzupełniony o jakąś formę weryfikacji postępów i zaangażowania.

    security awareness

    Zadania do wykonania:

    good

    • aktualizacja planu szkoleń dla zespołu
    • budowa lub aktualizacja programu security awareness.
  • aktualizacja planu szkoleń dla zespołu
  • aktualizacja planu szkoleń dla zespołu

  • budowa lub aktualizacja programu security awareness.
  • budowa lub aktualizacja programu security awareness.
    security awareness

    5. Specjalistyczne narzędzia

    Narzędzia cyberbezpieczeństwa można podzielić na trzy grupy:

    1. systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
    2. systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
    3. narzędzia do analizy powłamaniowej
  • systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
  • systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)

  • systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
  • systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)

  • narzędzia do analizy powłamaniowej
  • narzędzia do analizy powłamaniowej

    Które z powyższych narządzi wdrożymy w pierwszej kolejności a które w kolejnej powinno wynikać z polityki bezpieczeństwa oraz analizy ryzyka obszaru IT.

    Zadania do wykonania:

    • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
  • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
  • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa

    Prawdziwa efektywność pojawi się, gdy ocena ryzyka zewnętrznego i wewnętrznego będzie połączona z dogłębną analizą kultury bezpieczeństwa i procesów w organizacji. Do jej wykonania potrzebne są narzędzia oraz kompetentni i zaangażowani ludzie, którzy pozwolą uzyskać kompleksowy obraz poziomu cyberbezpieczeństwa i ryzyka IT z nim związanego.

    Masz pytania?
    Skontaktuj się z autorem
    Picture of Krzysztof Tyl
    Krzysztof Tyl
    Prezes Zarządu

    Podobne artykuły

    BLOG
    Krzysztof Tyl

    Październik – miesiącem bezpieczeństwa

    Postanowienia noworoczne w październiku?!?  Więcej sportu. Rodzina jest najważniejsza. Zdrowe odżywianie. Dbanie o zdrowie. Praktykowanie wdzięczności. Lista książek do przeczytania. Nowe hobby lub przebranżowienie. Więcej czasu dla siebie.  Postanowienia noworoczne, to deklaracje zmiany zachowań lub osiągnięcia celów, które często formułujemy podczas rozpoczęcia nowego roku. Choć stanowią tradycyjny element kalendarza noworocznego, rzadko udaje się je zrealizować.   Podobnie jest z kończącym się dzisiaj Cybersecurity Awareness Month, który już po raz dwudziesty jest obchodzony w październiku. Inicjatywa powstała w 2004 r. w ramach wspólnego wysiłku amerykańskiego rządu i przemysłu, którego celem jest zapewnienie każdemu Amerykaninowi zasobów potrzebnych do zapewnienia większego bezpieczeństwa w Internecie. Od lat jest trwale wpisany w kalendarz nie tylko amerykański, ale europejski i wreszcie polski. W ramach działań różnych firm i organizacji powstaje wiele cennych inicjatyw budujących wiedzę na temat cyberbezpieczeństwa i podnoszących świadomość na temat cyberzagrożeń. Odbyły się konferencje, wykłady, w Internecie powstało wiele wartościowych artykułów, postów, filmików, audiobooków. I pewnie każdy z nas z zaciekawieniem wsłuchiwał się w treści płynące z aktywności, które miały miejsce w tym tygodniu. I być może każdy z nas mówił sobie: Faktycznie, to ma sens! I z przekonaniem myślał, że trzeba by coś zmienić w swoim cyberzachowaniu. Tylko czy z tymi postanowieniami nie będzie tak, jak z naszymi postanowieniami noworocznymi?  Statystycznie większość z nas trzyma się swoich postanowień noworocznych około trzy miesiące. Zastanówmy się co zrobić, aby nasze postanowienia październikowe, mające na celu podnieść nasze osobiste bezpieczeństwo  ale i naszych rodzin i firm, w których pracujemy było trwałe.   Postanawiaj konkretnie  Najłatwiej zarzucić postanowienia, które są zbyt ogólne. Łatwo obejść obietnicę, że np. muszę mieć lepsze hasła. Bo co to znaczy lepsze hasła? O jakich hasłach mówię? Wszystkich? Do banku? Przy ogólnie opisanym wyzwaniu, dużo trudniej na zacząć od zaraz. A w postanowieniach dotyczących bezpieczeństwa czas jest bardzo ważny.   To może spróbuj tak: „Już dziś zmienię wszystkie hasła w aplikacjach, z których korzystam na dwunastoznakowe!” W październiku na pewno się spotkałaś/łeś z informacją jak ważna jest długość hasła oraz jakie są „przyjazne” metody tworzenia i zapamiętywania dłuższych haseł. Jak tych haseł będzie sporo to zainstaluj manager haseł. Nie jutro, ale konkretnie dziś!.  Zapisz swoje postanowienia  Samo myślenie raczej nie wystarczy, warto spisać swoje postanowienia, a najlepiej  napisać konkretny plan z datami –  harmonogram. To pomoże Ci uczynić swoje plany bardziej realnymi i trudniej będzie przymykać oko na opóźnienia w realizacji planu/harmonogramu.  To może spróbuj tak: „Wypisz obszary, które po Cybersecurity Awareness Month wymagają poprawy, np., hasła – musze mieć w każdej aplikacji inne hasło – i wpisuje deadline, wiedza – muszę znaleźć szkolenie z zakresu przeciwdziałania atakom socjotechnicznym jak phishing – i wpisuje deadline, bezpieczeństwo urządzeń mobilnych  – muszękupić oprogramowanie do ochrony urządzeń mobilnych – i deadline.   Wprowadź swój własny system motywacyjny  Niestety najczęściej w zakresie cybezbezpieczeństwa najbardziej motywują udane cyberataki. I choć wtedy znajduje się czas, pieniądze, ponadstandardowa motywacja to jednak nie jest to delikatnie mówiąc miła sytuacja. Dlatego warto spróbować opracować sobie system nagród za sukcesy w realizacji postanowień i ewentualnie kar za odpuszczenie postanowienia. To dodatkowa motywacja, a także sposób na uświadomienie sobie, w jakim punkcie jesteśmy oraz jak ważne  są te postanowienia dla nas. Każdy z nas jest w stanie zrobić szybką analizę ryzyka i skutków zaniechań w zakresie cyberbezpieczeństwa. Myślę, że wszyscy mamy świadomość, że lepiej jest motywować się analizą ryzyka niż realną stratą np. finansową.  Poniżej przestawiam Wam  10 popularnych działań poprawiających cyberbezpieczeństwo, które warto wziąć pod uwagę robiąc październikowe postanowienie Secuirty Awareness Month:  W artykule tym skupiam się na kilku podstawowych zmianach w cyberzachowaniach. Wybrałem działania, które można wykonać od razu i które nie wymagają kosztownych inwestycji. Według mnie są to działania, które każdy nie tylko może zrobić, ale powinien zrobić w dobie rosnących ataków. Pamiętajcie człowiek jest głównym wektorem ataków, a według raportów ponad 80% ataków zaczyna się od człowieka i wykorzystaniu jego podatności, lenistwa, roztargnienia, wygody, zmęczenia i wielu innych stanów i sytuacji, w których bywamy każdego dnia.  W Internecie znajdziecie wiele artykułów analizujących przyczyny niskiej skuteczności obietnic noworocznych, wydobywając na światło dzienne psychologiczne i behawioralne mechanizmy, które wpływają na ich niepowodzenie. Mam nadzieje, że postanowienia październikowe poprzedzone miesiącem „indoktrynacji” przez świat cyberbezpieczników okażą się trwałe a Securty Awareness Month 2024 będzie tylko okazją do utrwalenia dobrych praktyk i podjęcia kolejnych postanowień październikowych, czego Wam i sobie życzę! 😊 

    Wideo
    Konrad Pogódź

    Święta Wielkanocne

    Trzeci odcinek świąteczny – Weosłych Świąt Wielkanocnych

    Aktualności
    Anna Maciocha

    Mistrzostwa Polski Full Contact 2024 

    IT Challenge wspiera Beskid Dragon Bielsko Biała, drużynę Kick Boxingu 👏 Szymon Salachna, nasz pracownik, trener, zajął 🥈 2 miejsce na Mistrzostwach Polski Full Contact 2024 🥈🎖 Piąty tytuł Wicemistrza Polski Full Contact w karierze. Na ręce Szymona składamy gratulacje. Życzymy powodzenia w kolejnych zawodach. Trzymamy kciuki za złoto 🏅 👍 🏅

    Zgłoszenie serwisowe

    Dane firmy

    Masz pytanie? Napisz do nas