Zawartość

Misja dla cyberzaufania

2019-07-16
Misja dla cyberzaufania

Ponieważ technologia staje się coraz bardziej zaawansowana i oferuje zarówno większe możliwości, jak i ujawnia nowe zagrożenia, istnieje niebezpieczeństwo, że różnego typu organizacje pozostaną podatne na złośliwy atak lub naruszenie danych na masową skalę. Zarządzanie ryzykiem jest zatem tak samo ważne w cyberprzestrzeni, jak w świecie fizycznym. Ale jakie są te zagrożenia cybernetyczne? W jaki sposób Normy Międzynarodowe mogą je złagodzić? I czy tak naprawdę jedyną odpowiedzią jest jeszcze bardziej zaawansowana technologia?

Cyfrowe zagrożenie

Szczególnie odnosi się to do obszaru cyberryzyka. W cyberprzestrzeni wysoki poziom niepewności rutynowo wynika z rozwiązywania problemów bezpieczeństwa narodowego i korporacyjnego. Zagrożenie nie pochodzi z kontekstu i okoliczności rynku, ale ze strony „podstępnych podmiotów” dokonujących poważnych przestępstw. W związku z tym są one niedostrzegalne, co jedynie zwiększa poczucie zagrożenia. Te złośliwe podmioty mają zamiar i możliwość by wyrządzić szkodę, ponadto są zręczne i szybko się dostosowują do sytuacji.

Dla każdego typu organizacji nieodzowna jest jakaś forma cyberzabezpieczeń. Jednak potrzebują one jeszcze systemu na tyle solidnego, by był zdolny alarmować je o każdym ataku – realnym lub domniemanym – tak szybko jak to tylko możliwe. Zagrożenia w cyberprzestrzeni dzielimy na dwie obszerne kategorie: wewnętrzne i zewnętrzne. Aby zaprojektować i skutecznie wdrożyć system ochronny przed zagrożeniami zewnętrznymi, należy położyć nacisk na intencje i możliwości zewnętrznych podmiotów szkodliwych – czym są, po co powstały i jakie technologie są dla nich dostępne. Jednak firmy muszą także przygotować się na zagrożenie zarówno ze strony złośliwych insiderów, jak i osób, które omyłkowo pozostawiły system podatny na ewentualne szkody. Nieostrożne korzystanie zdanych osobowych może narazić jednostkę na szantaż i rekrutację przez firmę o złych celach. Firmy mogą mieć najlepsze zapory sieciowe na świecie, jednak nic one nie znaczą w starciu z osobą mającą otwarty dostęp do ważnych danych, których wykradzenie może zostać niezauważone.

Cena odporności

Normy Międzynarodowe stanowią podstawę tego strategicznego podejścia do cyberryzyka. Jak zauważa Jason Brown, w kwestii zagrożeń cybernetycznych, serię norm ISO 31000 należy oceniać razem z serią ISO/IEC 27000 dotyczącą systemów zarządzania bezpieczeństwem informacji (SZBI). Takie podejście równoważy koncentrację na technologii z czynnikami ludzkimi. ISO/IEC 27000 pomoże firmie ocenić jej czysto technologiczne potrzeby, podczas gdy ISO 31000 pozwoli jej zrozumieć wartość informacji lub produktów, które ma w cyberprzestrzeni, a zatem stopień ochrony technologicznej, której będzie potrzebować, aby zapobiec wszelkim atakom. Innymi słowy, dokładna ocena ryzyka z ISO 31000 może zaoszczędzić każdej firmie znacznych nakładów finansowych na zakup systemu bezpieczeństwa technologicznego. Nieznajomość ryzyka może prowadzić zarówno do zbyt dużego, jak i zbyt małego płacenia za system ochronny. Cyberbezpieczeństwo należy również analizować pod kątem ciągłości biznesowej, a seria ISO 22301 z zakresu zarządzania ciągłością działania obejmuje właśnie te zagadnienia.

W miarę coraz szybszego tempa rozwoju technologii Normy Międzynarodowe muszą dotrzymywać jej kroku.

Norma ISO 31000 jest wdrożona do zbioru PN jako PN-ISO 31000:2018 Zarządzanie ryzykiem – Wytyczne.

Norma ISO/IEC 27000 jest wdrożona do zbioru PN jako PN-EN ISO/IEC 27000:2017 Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Przegląd i terminologia.

Całość artykułu w „Wiadomościach PKN 6/2019”.