W natłoku haseł o cyberbezpieczeństwie i compliance łatwo zgubić sens tego, po co właściwie wdrażamy bezpieczeństwo. O tym, dlaczego technologia musi wynikać z potrzeb biznesu, a nie odwrotnie, rozmawiamy z Marcinem Cylkowskim - Liderem Zespołu Rozwoju Produktów i Wiceprezesem Vemco.
Rozmawia Agnieszka Zalewska, Vemco
AZ: Firmy często traktują wdrażanie CER i NIS2 jak wyścig z czasem. Co jest największym błędem w takim podejściu?
MC: Największy problem zaczyna się wtedy, gdy organizacja próbuje zrobić wszystko naraz - bez planu, bez analizy, bez zrozumienia, co naprawdę jest ważne. Dyrektywy nie wymagają od nas budowania fortecy, tylko racjonalności. Zgodność nie polega na tym, by w każdym miejscu zamontować czytnik biometryczny czy atestowane zabezpieczenia mechaniczne, ale by wiedzieć, które aktywa są dla nas najważniejsze, jakie ryzyka rzeczywiście im zagrażają i jakimi konsekwencjami grozi ich materializacja w kontekście incydentów mogących skutkować zaburzenie ciągłości działania organizacji. Inaczej przepalamy budżet i energię zespołu, a bezpieczeństwo pozostaje tylko na papierze.
AZ: Często podkreślasz, że technologia ma wspierać, a nie dominować nad biznesem. Co to oznacza w praktyce?
MC: To proste: środki i rozwiązania gwarantujące bezpieczeństwo muszą być proporcjonalne do wartości chronionego zasobu, adekwatne do poziomu ryzyka i potencjalnych skutków wystąpienia incydentu. Jeżeli proces jest kluczowy -inwestujmy w jego ochronę. Jeżeli nie ma dużego znaczenia - zaakceptujmy ryzyko i nie komplikujmy życia. Takie podejście porządkuje priorytety, daje argumenty dla zarządu i sprawia, że działania mają sens. Bezpieczeństwo nie może być oderwane od rzeczywistości firmy - to jej integralna część, nie osobny projekt IT.
AZ: Zdarza się jednak, że dostawcy oferują gotowe „pakiety zgodności z CER czy NIS2”. Brzmi kusząco…
MC: Kusząco, ale złudnie. Zgodność to nie produkt, który można kupić. CER i NIS2 to ramy, które wskazują cele - a nie gotową receptę. Nie da się ich „zainstalować”. Dlatego kiedy słyszę, że dostawca oferuje produkt posiadający certyfikat zgodności z NIS2, zapala mi się czerwona lampka. Zgodność to nie cecha jednego czy drugiego produktu / rozwiązania, a cecha efektu jego implementacji w konkretnym środowisku Klienta. Na ten moment przykładem realnego certyfikatu do uzyskania jest np. certyfikat ISO 27001 - dowód, że organizacja ma działający system zarządzania bezpieczeństwem informacji, nie że kupiła konkretny sprzęt czy oprogramowanie. Dyrektywy wymagają myślenia, a nie odtwórczej implementacji gotowych rozwiązań, nawet takich, które w innych warunkach się sprawdziły i przyniosły zamierzony efekt.
AZ: Skoro nie checklisty i gotowe systemy, to od czego zacząć?
MC: Od uczciwej diagnozy - tzw. analizy AS-IS. Trzeba zobaczyć, jak naprawdę wygląda nasza organizacja: jakie procesy i aktywa są kluczowe, na jakie ryzyka są narażone, jak wyglądają aktualne środki zabezpieczeń je chroniące i które z nich faktycznie działają, a które nie. Dopiero potem planujemy stan docelowy, czyli TO-BE - z rozwiązaniami, które mają sens, będą używane i które będą wspierać a nie przeszkadzać. Nie chodzi o to, by mieć najwięcej funkcjonalności, tylko by systemy wspierały procesy, a nie je paraliżowały.
AZ: Czy w tym kontekście kontrola dostępu to wciąż tylko „czytniki i szlabany”?
MC: Cały czas niestety obserwujemy, że z perspektywy wielu organizacji ciągle jeszcze tak. Z perspektywy VEMCO, jako odpowiedzialnego dostawcy, zdecydowanie nie. Jednym z ważnych elementów misji jaką sobie definiujemy w VEMCO jest próba zmiany paradygmatu takiego myślenia w organizacjach. Zależy nam na tym, aby organizacje zrozumiały, że przysłowiowy „czytnik” czy „szlaban” sam z siebie nie będzie dobrze wspierał bezpieczeństwa, jeżeli jego typ, miejsce zainstalowania oraz sposób działania nie będą wynikały z kontekstu funkcjonowanie całej organizacji i procesów, które się w niej dzieją. Wydaje mi się, że kluczem do sukcesu jest po prostu zmiana myślenia o kontroli dostępu z modelu funkcjonalno-ilościowego na procesowo-kontekstowy. Takie podejście jest podkreślane przez unijnego ustawodawcę w dyrektywach i takie podejście będziemy starali się propagować jako szansę na wzrost bezpieczeństwa i odporności polskich firm i organizacji.
AZ: Czy o rozwiązaniach kontroli dostępu należy myśleć jedynie w kontekście bezpieczeństwa fizycznego?
MC: Absolutnie nie. Kontrola dostępu to narzędzie- strażnik, który sam wymaga ochrony. Z jednej strony broni organizację fizycznie, z drugiej strony stanowi cyber-aktywo, które musi być odporne na cyberzagrożenia - oczywiście również jak w poprzednich przypadkach zgodnie z zasadą adekwatności i proporcjonalności do zidentyfikowanych ryzyk. To przykład, jak przenikają się świat fizyczny i cyfrowy. I to właśnie takie myślenie - z dwóch perspektyw - odróżnia organizacje naprawdę bezpieczne od tych, które tylko wyglądają na bezpieczne.
AZ: I właśnie o tych naprawdę bezpiecznych firmach mówi się, że są „odporne”. Co właściwie oznacza „odporność organizacji”?
MC: Odporność to zdolność firmy do przetrwania incydentu i powrotu do działania w założonym czasie. To coś więcej niż same procedury - to sposób myślenia. Nie da się całkowicie wykluczyć incydentów - błędów ludzkich, aktów sabotażu czy prób cyberataków -chodzi o to, by potrafić szybko zareagować, minimalizować skutki i wyciągać wnioski na przyszłość. Dlatego odporność wymaga kultury bezpieczeństwa, świadomości i ciągłego doskonalenia, a nie jednorazowego wdrożenia. Bez tego nawet najlepsze technologie nie wystarczą.
AZ: Na koniec: jedno zdanie, które chciałbyś, żeby zapamiętali menedżerowie.
MC: Nie da się kupić bezpieczeństwa. Można je tylko budować i pielęgnować - krok po kroku, z głową i w zgodzie z tym, jak naprawdę działa Twoja firma. W Vemco właśnie tak wspieramy naszych klientów: pomagamy ułożyć plan, priorytetyzujemy działania i przeprowadzamy przez ten proces w tempie dostosowanym do budżetu, procesów i możliwości organizacji.
Sprawdź nasze artykuły
Lorem ipsum dolor sit amet, consectetur adipiscing elit.
Blog title heading will go here
Blog title heading will go here