Zmieniła się definicja bezpieczeństwa IT. Nie jest to już ochrona przed atakami hakerów czy przestępców. Bezpieczeństwo IT to dzisiaj ochrona organizacji i jej modelu biznesowego, w tym zapewnienie ciągłości działania.
Każda organizacja uzależniona jest od elektronicznej formy przetwarzania danych, technologie informatyczne dostarczają narzędzi do realizacji celów organizacji, bezpieczeństwo informacji nie jest już wyłącznie problem działów IT. Organizacje powinny traktować zapewnienie bezpieczeństwa informacji jako część korporacyjnej strategii zarządzania ryzykiem, ponieważ incydenty cyberbezpieczeństwa mogą mieć krytyczny wpływ na bieżącą działalność operacyjną organizacji.
Definiując model bezpieczeństwa nowoczesnej organizacji warto pamiętać o 10 zasadach:
1. Bezpieczeństwo nie jest pojęciem abstrakcyjnym. Z roku na rok wzrasta ilość czynników wpływających na ciągłość działania systemów informatycznych odpowiedzialnych za wspieranie biznesu. Nie są to tylko ryzyka informatyczne. Wg raportu Kaspersky Lab 21% firm produkcyjnych utraciło w roku 2014 własność intelektualną na skutek incydentów naruszenia bezpieczeństw (dane dla 27 krajów).
2. Należy opracować strategię bezpieczeństwa. Strategia bezpieczeństwa powinna być integralną częścią strategii biznesowej, tak by osoby odpowiedzialne za biznes i technologię mogły świadomie podejmować decyzje o adekwatności zabezpieczeń w stosunku do potencjalnych zagrożeń.
3. IT nie jest odizolowane od biznesu. Technologie informatyczne dostarczają narzędzi do realizacji celów organizacji. Organizacja powinna określić zasady współpracy oraz zakresy odpowiedzialności biznesu oraz IT pozwalające na efektywne i bezpieczne wykorzystywanie potencjału środowiska IT w organizacji.
4. Adekwatne do wartości chronionego zasobu zabezpieczenia. Aby efektywnie zarządzać bezpieczeństwem trzeba zrozumieć jakie informacje są naprawdę istotne dla działania organizacji i na nich skoncentrować wysiłek związany z ochroną. Organizacja powinna sklasyfikować systemy informatyczne i przetwarzane w nich informacje pod względem wymaganego dla nich poziomu bezpieczeństwa.
5. Należy inwestować w bezpieczeństwo IT. Wg niezależnych badań 75% ataków wynika wyłącznie z samego faktu istnienia luki w zabezpieczeniach, a nie atrakcyjności celu. Słabość przestarzałych wersji aplikacji i elementów infrastruktury, źle zaprojektowane kody aplikacji, nieusunięte znane luki w oprogramowaniu, porzucona własność cyfrowa, błędy popełniane przez użytkowników umożliwiają cyberprzestępcom dokonywanie ataków na dużą skale (Raport Cisco Midyear Security Report). Do tej pory wg niektórych raportów 56% przypadków działania na szkodę firmy to była wina jej pracowników. Dzisiaj jednak pracownik przestaje już być największym zagrożeniem dla bezpieczeństwa informacji w organizacji stają się nim technologie mobilne, wirtualizacja i cloud.
6. Incydenty bezpieczeństwa są kosztowne. Wg firmy Checkpoint straty polskich firm w 2013 r. mogły sięgnąć 100 milionów złotych. Wyniki badania globalnego wskazują, że liczba incydentów w 2013 wzrosła o ponad 25% w porównaniu z rokiem poprzednim. Jest to tendencja rosnąca.
7. Zdefiniowane usług IT. Budowa spójnego systemu usług IT, zgodnego z wymaganiami modeli biznesowych, strategii oraz struktur organizacyjnych umożliwiającego organizacji osiąganie pożądanych przez nią wyników biznesowych. Wartość biznesowa dostarczana organizacji przez IT składa się z kombinacji technologii, ludzi i procesów. Należy odejść od myślenia „systemami” i „serwerami” a zacząć mówić o usługach. Łatwiej będzie określić ich istotność oraz zapewnić im adekwatne do potrzeb budżetowanie.
8. Urządzenia mobilne wprowadzają nową klasę zagrożeń. Technologie cyfrowe stały się powszechne i zmieniły środowisko biznesowe. Na smartfonach i tabletach pracownicy często przechowują ogromną ilość prywatnych i służbowych danych, a urządzenia te łączą się z firmową siecią. Urządzenia te stają się łatwym łupem. W roku 2013 19% firm z powodu kradzieży sprzętu mobilnego utraciło istotne dane biznesowe. Co więcej kradzieże się nasilają – w roku 2014 ich ofiarą padło 30% firm (Kaspersky Lab).
9. Należy korzystać ze sprawdzonych standardów. TOGAF, ITIL, COBIT są to inicjatywy, których celem jest zintegrowanie IT z celami biznesu, określenie usług, których biznes oczekuje od informatyki oraz nadanie jej takiego kształtu, który zmniejszy koszty transakcji i zwiększy elastyczność . Norma ISO/IEC 27001:2013 określa wymogi dotyczące systemów zarządzania bezpieczeństwem informacji w celu zapewnienia wyboru adekwatnych i proporcjonalnych środków bezpieczeństwa.
10. Nie wolno zapominać o szkoleniach pracowników. W kradzieży informacji mogą brać udział lub pomagać najbardziej lojalni pracownicy – tylko dlatego, że nie wiedzą, że robią coś złego (ponad 75% ataków pochodzi z wnętrza firmy).