Wstęp
Przez długi czas poznawałeś głównie techniczne aspekty z działki bezpieczeństwa, ale nie tylko tym człowiek żyje. Od dziś będziemy poruszać tematy compliance. Uważam, że każdy, kto tylko chce, powinien móc poznać wszelkie dobre praktyki. Chciałbym, abyś poznał je i Ty. Między innymi takiej jak Polityka bezpieczeństwa definicja, Frameworki itd.
W sumie dlatego prowadzę tego bloga i dlatego dostajesz taką wiedzę, za jaką wszędzie indziej musiałbyś zapłacić krocie. Moim zdaniem teoria w każdej dziedzinie powinna być ogólnie dostępna, lecz za praktykę to już trzeba zapłacić. Ponieważ nie zawsze to, co istnieje w teorii, jest wykonalne w praktyce.
Do tego w grę wchodzi masa zmiennych i trzeba praktyki, by wiedzieć, czy i kiedy daną rzecz wykonać.
Jak w każdej dziedzinie, tak i w bezpieczeństwie jest wielu teoretyków, co wiedzą z książki, że można coś zrobić, ale sami tego nie przetestowali. Dlatego zachęcam Cię do praktykowania i jeśli chcesz, bym stworzył jakiś kurs, abyś mógł zobaczyć, jak wykorzystać tę wiedzę w praktyce, to tylko mi napisz przez formularz, a coś pomyślę.
Zarządzanie jest procesem
Zarządzanie jest procesem, nie da się czegoś raz ustalić i koniec, mamy z bani. Jest to proces ustalany przez kierownictwo w organizacji, które definiuje strategiczne kontrole nad funkcjonowaniem biznesu poprzez polityki, procedury, delegacje obowiązków czy monitoring. Governance przejmuje kontrolę nad wszystkimi innymi procesami w IT, by zapewnić zgodność z kierunkiem, w którym idzie organizacja.
Podstawowym zadaniem działu IT jest wspomaganie biznesu i jego celów. Zaś IT governance skupia się głównie na zarządzaniu ludźmi, zmianach czy też zarządzaniu finansami, jakością czy też zarządzaniem bezpieczeństwem oraz optymalizacją. Jak widzisz, jest tych dziedzin troszkę :).
Kolejnym ważnym aspektem jest struktura organizacji, której opisu często brakuje w małej organizacji. Ponieważ taka organizacja ma płaską strukturę, jej członkowie mogą uważać, że nie muszą tego robić. A opis struktury organizacji jest zawsze niezbędny.
Gdy już mamy strukturę organizacji, możemy przypisać role i odpowiedzialności do każdej jednostki w naszej organizacji. Bez tego nie będziemy mieć rozliczalności. A jak dobrze wiesz. Każdy chce otrzymywać nagrody za swoje zasługi, ale już mało kto chce wziąć odpowiedzialność za własne błędy.
Governance zaczyna się na samej górze. To zarząd decyduje, jak będzie działać organizacja. Następnie te wszystkie zmiany są populowane w dół organizacji.
Co to jest IT Governance
Tak jak już napisałem powyżej, IT governance ma spełniać jak najlepiej rolę pomocnika. Musi określić, jak będzie mógł pomóc biznesowi w przyszłości, by biznes nie tylko działał nieprzerwanie, a wręcz się rozwijał.
Dobrze funkcjonujący IT Governance powinien posiadać polityki i priorytety, które odnoszą się do założeń organizacji oraz odpowiednie standardy, które pomogą organizacji. Powinien mieć również określone zarządzanie zasobami, dostawcami, programami oraz projektami.
Frameworki
Każda z organizacji jest inna, ma inne podejście, zagrażają jej inne ryzyka. Jednak nie muszą one wymyślać IT Governance na nowo. Poniżej wymienię 3 większe standardy, na których można się oprzeć:
- ISO/ 27001 to międzynarodowy standard bezpieczeństwa informacji. Dotyczy on wielu obszarów mających wpływ na bezpieczeństwo informacji w organizacji. Jest w nim wiele typów kontroli, które należy wykonać. Działa on według zasady „Planuj – Wykonuj – Sprawdzaj – Działaj” dla całej struktury SZBI, czyli Systemu Zarządzania Bezpieczeństwem Informacji. Ale więcej na temat ISO dowiesz się innym razem.
- COBIT, czyli Control Objectives for Information and related Technology – zbiór dobrych praktyk i wskazówek z zakresu zarządzania procesami IT. Został stworzony przez ISACA. Obejmuje on pięć domen:
- Oszacuj, Skieruj, Monitoruj
- Wyrównaj, Zaplanuj, Zorganizuj
- Buduj, Nabywaj, Wdrażaj
- Dostawa, Serwis, Wsparcie
- Monitoruj, Oszacuj, Oceń
- ITIL, czyli Information Technology Infrastructure Library to kolejny zbiór najlepszych praktyk do zarządzania usługami informatycznymi. Już mamy czwartą wersję ITILa i nie wiadomo, na ilu się skończy :). ITILa też może opiszę w innym artykule, by się tu nad nim nie roztrząsać.
Mierzenie efektywności organizacji
Zarząd powinien mieć narzędzie, które określi, w jakim stopniu biznes spełnia wymagania, które wcześniej zostały nakreślone w misji firmy.
Zarząd musi określić na początku swoje wymagania co do finansów, jak je liczyć biorąc pod uwagę koszty różnych strategii, koszty wsparcia, koszty kluczowych aplikacji i tak dalej. Następnie trzeba określić poziom zadowolenia klientów w różnych aspektach.
Następnie zarząd musi określić, jak będzie rozliczał wewnętrzne procesy względem ich liczby czy też efektywności poszczególnych projektów. Ostatnim spośród tej listy jest określenie i wyliczenie chorób pracowników, rotacji w zatrudnieniu, awansów i szkoleń. I gdy już zarząd ma to wszystko określone, może mierzyć ogólną efektywność biznesu. Oraz progres — czy następuje i jeśli tak, to jaki.
Mierzenie efektywności IT w organizacji
Powyżej opisałem, co powinno być mierzone w organizacji, by określić jej efektywność. Teraz chciałbym Ci pokazać, jak powinno być to liczone w IT.
- Efektywność poza IT: trzeba zmierzyć, jaką wartość do biznesu przynosi IT. Na przykład, jaką wartość zarząd widzi we wsparciu, jakie przynosi ono korzyści itp.
- Satysfakcja użytkownika: bardzo ważny aspekt. Czy użytkownicy biznesowi są zadowoleni z działu pracy IT, czy mają jakieś uwagi itp. Jeśli prowadzone jest wsparcie zewnętrzne, dotyczy to również użytkowników zewnętrznych.
- Obliczanie jakości: trzeba policzyć, ile ticketów (zgłoszeń) zostało zrobionych, a ile nie i w jakim czasie, ile było niespodziewanych przestojów, ile raportów o jakichś błędach.
- Rozwój: trzeba obliczyć miarę, w jakiej IT wprowadza nowe technologie oraz edukuje swoje zespoły.
Role i obowiązki
Podstawą jest tu wyznaczenie ról i obowiązków, oznaczenie ich zagrożeń oraz ryzyk. Tu zajmiemy się tym pierwszym. Postaram się przybliżyć Ci główne role i obowiązki w zakresie bezpieczeństwa informacji.
Zależnie od biznesu będzie to wyglądać różnie. IT może być oddzielone od Security, a może też być razem. Chociaż także wtedy, gdy są osobno i tak powinny stanowić jedność i działać wspólnie, by poprawić bezpieczeństwo informacji w organizacji. Poniżej przedstawię Ci role i obowiązki dla poszczególnych grup:
Lista ról i obowiązków
- Dyrektorzy / Zarząd – odpowiadają za określenie, jakie ryzyko jest akceptowalne oraz jakie zarządzanie ryzykiem zostanie wprowadzone. Łączą oni biznes i bezpieczeństwo, wiec muszą wziąć pod uwagę oba – bezpieczeństwo i ryzyko w obranej przez siebie strategii.
- CISO (Chief Information Security Officer) – jest odpowiedzialny za wiele aspektów. Tworzy polityki bezpieczeństwa, obmyśla procesy do zarządzania ryzykiem, dopilnowuje oceny ryzyka. Na jego głowie jest też zarządzanie podatnościami, obsługa incydentów, security awareness dla wszystkich, określanie ryzyk dla zewnętrznych dostawców. Jak widzisz, jest tego masa, więc warto docenić swojego CISO – bo nawet jak część z tego oddelegował, to i tak zostało mu spowiadanie się przed zarządem, któremu musi przedstawić wszystko. Więc nawet jak nie wykonuje zadań sam, musi wiedzieć, co się działo i cała odpowiedzialność za powyższe spada na niego.\
- CIO (Chief Information Officer) – zajmuje się zarządzaniem IT w organizacji. Od strategii, rozwoju, poprzez wszelkie operacje, a kończąc na service desku (help desku). Zazwyczaj CISO raportuje do CIO. Ale często są to równe stanowiska i każdy odpowiada za swoją część i oddzielnie raportuje do zarządu. Zależy, jak jest to dogadane w danej organizacji.
- Manager / Team Leader / Kierownik — jak zwał, tak zwał, w każdym razie jest to osoba, która ma zespół pod sobą. Może nie tak :). Raczej osoba, która zarządza zespołem. Z definicji wynika, że powinna mieć przynajmniej częściową odpowiedzialność. Ja zaś uznaję, że ma całkowitą. Za swój zespół odpowiada, ponieważ sam ich wybierał. Jest od tego, by im doradzać i pomagać. Co nie znaczy, że nie popełnia błędów i nie wybierze nieodpowiednich osób, bądź nie będzie zarządzał nimi w danym okresie odpowiednio. Ale w takiej sytuacji bierze na klatę problem i dalej dąży do perfekcji 😉
- Pracownicy – tak jak napisałem w moim ebooku (link), każdy z pracowników powinien znać wszelkie niezbędne i wymagane przez daną organizację dokumenty. Minimum to polityka bezpieczeństwa informacji i wszystkie wymagania i procesy odnoszące się do bezpieczeństwa, ale tylko te, które ich bezpośrednio dotyczą.
Tak jak podkreśliłem powyżej, nie zawsze musi to wyglądać w ten sposób, ale to taka podstawowa struktura, od której można wyjść.
Planowanie strategii
Tak jak wspomniałem w odpowiedzi na pytanie zadane mi przez Wojciecha Ciemskiego z securitybeztabu.pl odnośnie Blue Team i defensywy. Jest to zarąbiste zajęcie dla graczy strategicznych. Musisz się tu nagłowić, jak zbudować jak największe mury, by bronić swojego skarbca ukrytego w zamku, czyli organizację. Budujesz armię, czyli swoich współpracowników.
Im lepsi, im lepiej wyszkoleni, tym obrona pewniejsza. Kupujesz bądź tworzysz lepszy osprzęt do działania, laptopy, środowiska wirtualne itp. Ogarniasz budowniczych — sieciowców, specjalistów od Azure’a, helpdesku, backupu — aby stawiali lepsze mury. Mógłbym tak w nieskończoność, więc nie będę się z tym zapędzał 😉
Planowanie na dwa, trzy lata do przodu
Planowanie na dwa, trzy lata do przodu jest bardzo ważne. I tak, wiem, że IT często jest understaffed i że ciężko to zorganizować, ale powinni przynajmniej 1/3 swojego czasu poświecić na planowanie do przodu. Powinien to być proces, a nie taki strzał i raz na jakiś czas. Jeśli nie jesteś w stanie pozwolić sobie na to, by Twój personel spędzał tyle czasu na planowaniu, zatrudnij osobę, która będzie się zajmowała tylko tym.
Problemem w planowaniu jest to, że trzeba wiedzieć, w którą stronę idzie biznes i jakie plany ma zarząd. Wiąże się to z tym, że osoba, która będzie planowała strategie dla IT na kolejne lata, musi mieć stały kontakt z zarządem. I ustalać wszelkie plany i strategię IT w taki sposób, by wspierały zarząd w tym, co sobie zaplanował.
Przykład: załóżmy, że firma ma wykonywać dużo przelewów. Osoba określająca strategie dla IT musi znaleźć systemy, które w jak najefektywniejszy kosztowo sposób będą wykonywały te operacje.
Polityki, procesy, procedury
Polityki, procesy i procedury, czyli to, co kochamy najbardziej 🙂 Nikt nie lubi ich robić, nikt nie lubi się do nich stosować. Ale są niezbędne.
Warto posłuchać Bartka Popiela, który mówi, że bez nich biznes nie istnieje. To samo tyczy się bezpieczeństwa czy IT. Bez procedur i polityk, czy odpowiednio spisanych procesów, nie będziemy w stanie poprawiać ani bezpieczeństwa, ani sposobu wykonywania danej czynności.
Może ten filmik nie jest stricte związany z IT, ale moim zdaniem każdy powinien go obejrzeć. By wiedzieć, że warto tworzyć te wszystkie świstki, by nam się lepiej i coraz sprawniej żyło 😉 (Jest dość długi, ale jeśli masz chwilę, to warto, polecam)
Procedury i polityki
Polityki i procedury inaczej zwiemy SOP-ami, czyli Standard operating procedures. Opisują one krok po kroku z wszystkimi detalami procedury IT.
Formalna procedura to taka, która jest wykonywana wielokrotnie i poprawnie przez kogoś innego z zespołu. Poniżej parę aspektów, które powinna zawierać procedura.
- Własność dokumentu — Dokument powinien zawierać informacje o jego własności z imienia i nazwiska oraz z działu. Jest to potrzebne, by przeglądać dokument edytować go.
- Informacja o przejrzeniu dokumentu — Dokument powinien zawierać informacje o tym, kto go stworzył oraz kto dokonał ostatnich zmian w dokumencie. Powinien też posiadać link, gdzie znajduje się oryginalny dokument.
- Przegląd dokumentu i akceptacja — W dokumencie powinna też się znajdować informacja odnośnie przeglądu procedury oraz jej akceptacji. Moim zdaniem powinien to być to minimum zarząd, ale w wyjątkowych sytuacjach może to być manager.
- Załączniki — Dokument powinien jeszcze zawierać informacje odnośnie powiązanych procedur. Często jest tak, że jedna procedura odnosi się do drugiej, która odnosi się jeszcze dalej.
Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji to pierwszy punkt, od którego trzeba zacząć (oczywiście z punktu widzenia bezpieczeństwa). Określa ona, jak firma zabezpiecza swoje zasób, jak odpowiada na zagrożenia i incydenty, które się zdarzają i będą zdarzać. Polityka bezpieczeństwa powinna zawierać poniższe kluczowe aspekty:
- Role i obowiązki — należy określić role i obowiązki zarówno dla tych specyficznych stanowisk w organizacji, jak i dla tych zwykłych.
- Zarządzanie ryzykiem — powinno być opisane, jak organizacja znajduje ryzyka, jak zarządza ryzykiem oraz jak je traktuje. Organizacja musi co jakiś czas robić ocenę i analizę ryzyk, które ma i na ich podstawie podejmować decyzję, z jakiej strategii unikania ryzyka będzie korzystać.
- Procesy — należy określić ważne z punktu widzenia bezpieczeństwa procesy takie, jak zarządzanie podatnościami czy incydentami. Poza tym trzeba wpleść bezpieczeństwo do innych procesów biznesowych takich, jak development oprogramowania, wybór dostawców i zarządzanie nimi czy zatrudnianie i zwalnianie pracowników.
- Akceptowalne użycie zasobów — w polityce bezpieczeństwa należy określić również, jakie typy aktywności czy zachowań są dozwolone i akceptowalne, a jakie nie.
Polityka prywatności
Jedną z ważniejszych polityk zaraz po polityce bezpieczeństwa jest polityka prywatności. Polityka ta określa, jak organizacja traktuje informację, która uznana została za prywatną.
Organizacja, która wymaga przetrzymywania lub przesyłania informacji prywatnych, jest zobowiązana odpowiednio je zabezpieczyć. W tej części polityki prywatności jest opisane, jak dane te są kolekcjonowane oraz jakie zostały powzięte kroki, by chronić te informacje.
Poza tym prywatne informacje w organizacji są przesyłane często między działami, jak również z różnych powodów wysyłane do zewnętrznych firm. Polityka prywatności opisuje, jak są one przesyłane oraz jak informacja jest wykorzystana przez organizacje czy firmy trzecie, do których trafiają te dane.
Dodatkowo są tam zawarte informacje, jak możesz się skontaktować z firmą, by się dowiedzieć, jakie dane o Tobie posiadają i mieć możliwość poproszenia o ich usunięcie w razie takiej potrzeby bądź chęci. Nie zawsze jest to możliwe, na przykład przy pożyczkach.
Firma pożyczkowa musi przechowywać dane przez pewien okres po transakcji. Nawet jeśli zgłosisz chęć ich całkowitego usunięcia, taka firma będzie mogła to zrobić dopiero po upływie wyznaczonego przez prawo czasu.
Polityka dostępu
Przed polityką dostępu zamierzałem opisać jeszcze politykę klasyfikacji informacji, ale ten temat już poruszyłem wcześniej, więc wróć do tego artykułu i poczytaj 😉
W polityce dostępu musisz określić specyficzne procesy i procedury, które związane są z nadawaniem dostępu, przeglądem istniejących dostępów i zabraniem czy zmianą dostępu do systemów i biur.
W tej polityce będzie opisane, co musisz zrobić, by dostać dostęp (wypełnienie requestu), później – do kogo w danym przypadku trafia to zgłoszenie i kto ma je zaakceptować. Dodatkowo będzie zawierać informacje o rodzaju zbieranych logów i na jak długo muszą one pozostać do wglądu.
Bardzo często polityka klasyfikacji informacji jest ściśle złączona z polityką dostępu, ponieważ zależnie od klasyfikacji danej informacji trzeba do niej dostosować odpowiednią kontrolę i ochronę.
Standardy IT
Standardy w IT zatwierdzone przez zarząd to oświadczenie definiujące technologie, protokoły, dostawców i metody stosowane przez IT. Pomagają one utrzymać koszty IT w organizacji w ryzach. Poniżej dam Ci przykład paru standardów, jakie mogą być w organizacji, choć może być ich znacznie więcej.
- Standard Technologiczny — ten standard określa, jakie oprogramowanie i jaki sprzęt powinien być wykorzystywany w organizacji. Na przykład, jaki system operacyjny jest wykorzystywany, jakie backupy są wykorzystywane i tak dalej.
- Standard Protokołów — ten standard określa, jakie protokoły powinny być w użyciu. Na przykład, że nie ma możliwości wykorzystania telnetu, bo w standardzie jest SSH.
- Standard Metodologii — Ten standard określa, jakie metodologie powinny być używane w wypadku tworzenia oprogramowania, administracji systemów etc.
- Dotyczący dostawców Standard Ten standard określa, z jakich usług, firm i dostawców korzystamy przy zakupie danych usług czy też sprzętu.
- Standard Konfiguracji — Ten standard określa, jakie są dokładne konfiguracje serwerów np. bazodanowych, a jakie AD, jakie są konfiguracje stacji roboczych urządzeń sieciowych i tak dalej — sam rozumiesz.
- Standard Architektury — Ten standard określa architekturę baz danych, systemów i sieci.
Zero Trust to ważne pojęcie w bezpieczeństwie
Zero Trust to model architektury, w którym przyjmujemy, że jednej lub więcej części z niej nie można zaufać. Pierwszym i najważniejszym z takich modeli jest Internet sam w sobie.
Nie możemy ufać systemom poza organizacją, ponieważ nie są one pod kontrolą organizacji i domyślnie mogą zaszkodzić. To nie muszą być tylko technologie, ale i ludzie i ich intencje co do użycia technologii, np. w przypadku crackerów. Coraz więcej organizacji wprowadza ten model u siebie.
Ten model wymaga innego sposobu myślenia na temat kontroli bezpieczeństwa. Dla przykładu można myśleć, ze końcówki są niczym Internet. I potrzebują szczególnej uwagi i odpowiednio zaimplementowanych rozwiązań bezpieczeństwa, by ograniczyć ryzyko dostępu do serwera przez taką końcówkę.
Takie podejście jest jak najbardziej w porządku i użytkownicy nie powinni mieć możliwości na przykład konfigurowania takiego serwera. Zero Trust po prostu polega na braku zaufania do danego zasobu czy do ludzi i konfigurowanie wszystkiego tak, jakby było niezaufane, przez co potrzeba większej ilości weryfikacji danego zasobu, zanim otrzyma on dostęp.
Indetyfikacja Zasobów
W poprzednim artykule rozmawialiśmy o analizie ryzyka. Ale zanim ją zrobisz, musisz zlokalizować zasoby, jakie posiadasz w firmie. Zasoby mogą być fizyczne, logiczne czy też wirtualne. Poniżej wypiszę Ci kilka przykładów.
- Budynki i własności – tu chyba jasne 🙂
- Sprzęt – tu mogą wchodzić w grę na przykład samochody firmowe czy jakieś maszyny. I inne tego typu – ciężko tu wymienić dokładną listę. Będzie ona zależała zawsze od branży i tego, co firma może sobie wrzucić. To prędzej pytanie do doradcy podatkowego i księgowej 😉
- Sprzęt IT – tu mamy komputery, drukarki i tak dalej.
- Materiały – w wypadku fabryk produkujących będą tu materiały niezbędne do produkcji.
- Rekordy– tu będą wchodzić w grę wszelkie umowy, logi, nagrania z kamer etc.
- Informacje – wszelkie dokumenty, pliki czy też maile.
- Wartość intelektualna – wszystko, co firma wymyśliła i należy do niej. Sekrety firmy, dokumenty firmy etc.
- Ludzie – najważniejsze ogniwo, bez niego nic by się nie zadziało. Jest to jeden z najważniejszych zasobów.
- Reputacja – mówi sama za siebie
Grupowanie zasobów — Często nie ma potrzeby listowania każdego zasobu z osobna. Można złączyć je w grupy, na przykład laptopy wszystkie będą podlegały pod to samo ryzyko. Ba, można pogrupować je według działu i przypisać im ryzyka według działu, nie muszą być one oddzielnie rozpatrywane jako pojedyncze sztuki.
Budowanie listy zasobów
Jeśli od początku istnienia firmy nie było to robione, będzie to ciężką sprawą, ponieważ trzeba będzie znaleźć te zasoby. Nikt nie ma ich w pamięci od ręki. Trzeba będzie odnieść się do istniejących źródeł takich, jak:
- Dane finansowe zasobów — bardzo dobrym sposobem jest zwrócenie się do księgowej o listę zasobów. Księgowość posiada taką listę zasobów wraz z danymi finansowymi. Będzie to bardzo dobry punkt wyjścia, dodatkowo dane tam zawarte powiedzą nam, czy dany zasób jest w użytku oraz da nam jego wartość, co w dalszej kolejności pomoże nam wykonać analizę Quantitative.
- Przeprowadzanie wywiadu z pracownikami — rozmowa z kluczowymi pracownikami będzie bardzo pomocna, pamiętaj, tylko by zrobić ją z kilkoma osobami — po to, by mieć pogląd na całość, nie tylko opinię jednej osoby.
- Systemy IT organizacji — IT też powinno prowadzić swoją listę zasobów, możesz się do nich po nią zwrócić.
- Dane online — Możesz tu skorzystać na przykład z nmapa i sprawdzić w sieci, jakie zasoby tam widnieją.
- System do zarządzania zasobami — To jest najrzadsza opcja, ale czasem w dużych korporacjach ze względu na ich wielkość są stworzone bądź zakupione odpowiednie systemy, które przechowują dane na temat zasobów. Używają ich duże organizacje, ponieważ to kolejny koszt, na który małe firmy często nie mogą sobie pozwolić.
Podsumowanie
Dziś dowiedziałeś się masę rzeczy o zarządzaniu w IT i bezpieczeństwie. Nie jest to prosty temat i na pewno nie skończy się on na tym jednym artykule. Poruszyłem tu parę ważnych kwestii. Mam nadzieję, że otworzyłem przed Tobą bramy trochę bardziej zaawansowanej wiedzy na temat bezpieczeństwa.
Tak, wiem, nie jest to techniczna wiedza, ale bardzo się przydaje i jeśli tak jak ja rozwijasz się w infosec, kolejne artykuły jeszcze bardziej Cię zainteresują. Mała prośba: to pierwszy taki długi artykuł na moim blogu, napisz w komentarzu, co myślisz, czy Ci się podoba, czy może wolisz krótsze.
Pozdrawiam – Pusz
The form you have selected does not exist.