Firmy i organizacje stają się coraz bardziej zależne od technologii cyfrowych, a internet rzeczy (IoT) sprawia, że zabezpieczanie cyberprzestrzeni jest jeszcze bardziej złożone. W tej sytuacji specjaliści ds. bezpieczeństwa i zarządzania ryzykiem są zmuszeni opracowywać nowe programy bezpieczeństwa oparte na zaufaniu cyfrowym, które będą odporne na nowego rodzaju zagrożenia. Cyfrowe rozwiązania zapewniają wiele korzyści, ale także niosą nowe zagrożenia wynikające z tego, że organizacje stają się bardziej otwarte i elastyczne.
Tom Scholtz, wiceprezes Gartnera i przewodniczący konferencji „Gartner Security & Risk Management Summit 2017”, podpowiada szefom odpowiadającym za bezpieczeństwo i zarządzanie ryzykiem, jak opracowywać programy bezpieczeństwa dedykowane cyfrowemu biznesowi, oraz przybliża wyzwania, na które powinni być oni przygotowani.
Ewolucja bezpieczeństwa w celu wsparcia cyfrowego biznesu
Cyfrowy biznes to przede wszystkim dostęp i współpraca przedsiębiorstwa z zewnętrznymi partnerami i klientami. Użytkownik końcowy zwykle jest uznawany za najsłabsze ogniwo w łańcuchu zabezpieczeń. W cyfrowym świecie użytkownicy końcowi w pewnym sensie są częścią funkcji zabezpieczających. Dlatego specjaliści odpowiedzialni za bezpieczeństwo i zarządzanie ryzykiem opracowują programy oparte na zaufaniu. Domyślne odmowne (default-deny) podejście w zakresie bezpieczeństwa, obecnie jest zastępowane domyślnym podejściem zezwalającym (default-allow). Jest to zasadnicza zmiana w sposobie opracowywania programów bezpieczeństwa – zaznacza Tom Scholtz.
Technologie, które powinny znaleźć się na radarach CSO
Ważne są rozwiązania UEBA (User and Entity Behavior Analytics) służące do analizy zachowań użytkowników i jednostek, podobnie jak zrozumienie i zinstytucjonalizowanie adaptacyjnej architektury bezpieczeństwa. Zastosowanie sztucznej inteligencji (AI – artificial intelligence), a w szczególności rozwiązań opartych na kontekstowej inteligencji sytuacyjnej, pozwala usprawniać procesy podejmowania decyzji dotyczące bezpieczeństwa. Technologia blockchain przekształca cyfrowy handel, a jednocześnie wnosi potencjalną wartość w zakresie bezpieczeństwa jako czynnik wspierający bardziej rozproszone zaufanie.
Z drugiej strony, jak wiadomo nowe technologie stwarzają też nowe zagrożenia. Sztuczna inteligencja wiąże się z własnością intelektualną, która musi być chroniona, podobnie jak algorytmy i zinstytucjonalizowana wiedza, które określają reguły „normalnego” funkcjonowania systemów w organizacji czy w firmie. Faktyczne włamanie hakera może mieć katastrofalne skutki dla systemu produkcyjnego firmy. Zastosowanie AI w niektórych przypadkach może prowadzić do bardziej subtelnych zakłóceń. Na przykład, gdy haker zdoła wprowadzić w systemie z AI takie modyfikacje, które nie unieruchamiają całego systemu, lecz sprawiają, że drobne awarie pozostają niezauważone.
Specjaliści ds. bezpieczeństwa IT muszą na bieżąco pozyskiwać najnowszą wiedzę oraz być proaktywni. Powinni znać najnowsze technologie i rozwiązania dostępne na rynku, aby spośród nich móc wybrać i uwzględnić te optymalne dla swoich programów bezpieczeństwa IT.
Największe wyzwania, przed którymi stają CISO
Główne zadanie CISO (Chief Information Security Officers) to obecnie strategiczne planowanie w cyfrowym otoczeniu biznesowym, gdzie dla osiągnięcia sukcesu kluczowa jest elastyczność (podejście „agile”) i koncepcja IT dwóch prędkości (bimodal). Szefowie ochrony IT muszą także zdobywać nowe umiejętności – zarządzania środowiskiem IoT i integrowania technologii operacyjnych.
Poza byciem na bieżąco z nowymi technologiami i dostępnymi na rynku rozwiązaniami, CISO muszą też znać, umieć rozpoznawać i rozumieć najnowsze zagrożenia, które wciąż szybko się zmieniają i stają się coraz bardziej złożone.
Uwaga, GDPR! …pozostał tylko rok
Absolutny priorytet dla CISO to unijne rozporządzenie GDPR (General Data Protection Regulation), które wejdzie w życie 25 maja 2018 roku. Nowa regulacja UE zaostrza konieczność zabezpieczenia informacji zbieranych w internecie. Wszystkie organizacje mają jeszcze rok na wdrożenie rozwiązań gwarantujących ochronę prywatności danych użytkowników. Najważniejsze zmiany, jakie wprowadza unijne rozporządzenie to przede wszystkim konieczność uzyskania zgody na przetwarzanie danych personalnych od użytkowników internetu (umożliwiających identyfikację – np. IP, lokalizacja, ciasteczka), ale również obowiązek udzielenia dostępu do treści internetowych, nawet w przypadku braku zgody użytkownika na zbieranie danych. Dodatkowo, internauta będzie mógł zwrócić się z wnioskiem do firmy o udzielenie informacji, jakimi danymi na jego temat dysponuje, jak również będzie mógł wnioskować o ich usunięcie. Ponadto, nowym wyzwaniem dla administratorów danych będzie także konieczność identyfikacji i oznaczenia użytkowników internetu, którzy skorzystają z nowego prawa i nie wyrażą zgody na zbieranie danych na ich temat.
Wyniki ankiety przeprowadzonej wśród dyrektorów i menedżerów IT na zlecenie firmy NetApp wskazują, że zapewnianie zgodności z rozporządzeniem GDPR przebiega powoli i nie bez komplikacji. Jak wynika z danych NetApp, ponad 70 proc. dyrektorów i menedżerów ds. IT w Europie wyraża w pewnym zakresie obawy, że ich firmy mogą nie dotrzymać terminu zapewnienia zgodności swoich procesów z wymaganiami ogólnego rozporządzenia o ochronie danych (GDPR).
Badanie NetApp wykazało znaczne rozbieżności w zrozumieniu wymagań, odpowiedzialności za dane i poczuciu presji czasowej w trakcie przygotowań do zapewnienia zgodności z rozporządzeniem GDPR do maja 2018 r. Zaledwie 37 proc. respondentów zainwestowało dodatkowe środki, które pozwolą na zapewnienie zgodności z rozporządzeniem o ochronie danych.
– Dyrektorzy i menedżerowie IT trwają w niepewności co do wymagań w zakresie ochrony danych, co zaskakuje i niepokoi, ponieważ są to zasadnicze aspekty GDPR. Zrozumienie przez nich, na czym polega zgodność z tym rozporządzeniem, oraz ich zdolność do wzięcia odpowiedzialności za przetwarzane dane będzie wiązać się bezpośrednio z możliwością uniknięcia kar. Jeżeli zaledwie połowa respondentów ankiety NetApp ma przynajmniej podstawowe pojęcie o tym, czym jest GDPR, to przed nami jeszcze długa droga, a na jej pokonanie mamy zaledwie rok – komentuje Dr Dierk Schindler, szef działu usług prawnych w regionie EMEA firmy NetApp
Najważniejsze wnioski z badania NetApp dot. GDPR
- największe problemy firmom sprawia ustalenie, na kim spoczywają obowiązki związane z zapewnieniem zgodności z wymaganiami;
- firmy są coraz bardziej świadome GDPR, ale potrzeba więcej edukacji (47 proc. respondentów twierdzi, że rozumie GDPR „częściowo”, a 9 proc. nadal nie wie, co to jest GDPR);
- przygotowania do zapewnienia zgodności z GDPR postępują powoli (jedynie 1/3 respondentów z Europy inwestuje dodatkowe środki w przygotowania przed wejściem GDPR w życie).
Pozostaw komentarz