Dzisiaj jest: 22.11.2024, imieniny: Cecylii, Jonatana, Marka

Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach

Dodano: 30.06.2022 Czytane: 17

Warto zauważyć, że wyróżniam dwa poziomy cyberbezpieczeństwa. Pierwszy to poziom techniczny – rozwiązania technologiczne (antywirusy, firewall'e, aktualne i legalne programowanie, Centra Operacji Bezpieczeństwa (Security Operation Center) itp.).
Drugi to poziom organizacyjny – procedury bezpieczeństwa (w tym procedury na wypadek incydentu lub naruszenia) i eksperci (ludzie są najważniejsi).

Zarządzanie cyberbezpieczeństwem

Oczywiście każda organizacja powinna zarządzać cyberbezpieczeństwem na tych poziomach adekwatnie do swych ryzyk i możliwości. Zarządzanie cyberbezpieczeństwem można definiować w różny sposób, np. jako:

  • praktyczną zdolność organizacji do wykrywania i „zaopiekowania się” poszczególnymi ryzykami,
  • minimalizację prawdopodobieństwa cyberzagrożeń lub minimalizację strat z nimi spowodowanymi.

Niezależnie jednak od definicji, kluczowym narzędziem w zarządzaniu cyberbezpieczeństwem jest analiza ryzyk, o której pisaliśmy pokrótce w poprzednim artykule. Chcemy jednak zwrócić uwagę, że analiza ryzyka jest multidyscyplinarnym wyzwaniem dla organizacji, czyli wymagana jest współpraca ekspertów z różnych dziedzin.

Cele cyberbezpieczeństwa

Pierwszym celem zarządzania cyberbezpieczeństwem jest zapewnienie efektywnej ochrony, tzn. zapewnienia takiej alokacji zasobów (rzeczowych i ludzkich), aby były one wykorzystane w sposób zapewniający najlepszą relację skuteczności do kosztów. Efektywna ochrona jest możliwa, tylko jeżeli poprzedzimy ją analizą ryzyk. Pozwoli nam to lepiej zarządzać posiadanymi zasobami.

Bardzo często przedsiębiorcy mają masę dobrych narzędzi (lub mogą łatwo i tanio je nabyć), ale zapominają ich użyć lub zsynchronizować ich działanie.

Drugim celem zarządzania cyberbezpieczeństwem jest minimalizacja ryzyka materializacji zagrożeń, zwłaszcza dotyczących kluczowych elementów systemu, danych lub informacji. Warto realizując ten cel określić jakie obszary najbardziej wymagają ochrony i na nich skupić się w pierwszym rzędzie. Jednocześnie trzeba pamiętać, że ryzyka da się tylko minimalizować, ale nie da się ich zlikwidować.

Trzecim celem zarządzania cyberbezpieczeństwem jest zapewnienie ciągłości działania, tzn. zapewnienie, że niezależnie od materializacji zagrożenia, ograniczymy wystąpienie konsekwencji poprzez jak najszybsze przywrócenie ciągłości świadczonej usługi kluczowej lub cyfrowej
(w perspektywie usług niezbędnych i istotnych). Tu często bardzo istotną rolę odgrywają, chociażby kopie bezpieczeństwa.

Legislacja

Czwartym celem zarządzania cyberbezpieczeństwem jest spełnienie obowiązków prawnych i uniknięcie kar i odszkodowań. Chcielibyśmy zwrócić uwagę, że ilość nowych legislacji dotyczącej cyfrowej rzeczywistości rośnie w sposób wykładniczy. Tylko w celi sygnalizacji wspomnimy o m.in.:

  • RODO (Rozporządzeniu o Ochronie Danych Osobowych – zwanym też GDPR) – co prawda ten akt prawny nie reguluje cyberbezpieczeństwa, ale niewątpliwie go wymaga,
  • Cybersecurity Act – Akt o Cyberbezpieczeństwie,
  • Dyrektywa NIS (Network and Information Systems
  • Directive) – czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa,
  • Ustawa o krajowym systemie cyberbezpieczeństwa – KSC,
  • Projekt NIS2,
  • Nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa,
  • DORA – (Digital Operational Resilience Act), czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego.

Analizując legislację, zauważyliśmy, że:

  • każdy z tych aktów nakłada na określone (lub wszystkie) przedsiębiorstwa obowiązek stworzenia i utrzymania skutecznych systemów bezpieczeństwa opartych na zarządzaniu ryzykiem, czyli też na analizie ryzyk,
  • słowo RYZYKO pojawia się niezmiennie we wszystkich tych aktach prawnych. Ponadto analiza tych aktów prawnych wykazała, że fraza „zarządzanie ryzyk” i „ryzyk” pojawiała się tym częściej im nowszy akt prawny. Dla przykładu w RODO sprzed 6 lat słowa te były wymieniane 26 razy, a w najnowszym projekcie DORA już 255 razy. Wskazuje to, że zarządzanie ryzykiem stoi w centrum cyberbezpieczeństwa i ochrony danych osobowych. Wskazane przez nas hasła znalazły się w sumie w 3.084 miejscach wskazanych aktów normatywnych, 
  • analiza aktów prawnych wykazała również, że coraz częściej w nich (lub w projektach) występują frazy pokrewne, tj. „podatność” i „luka”. W RODO te frazy nie występują w ogóle. W najnowszych projektach występują już po kilkadziesiąt razy. Pokazuje to wyraźną tendencję prawodawcy do uwzględniania kwestii zarządzania podatnościami w ramach zarządzania ryzykiem.

Reasumując. ¦miało możemy przyjąć, że analiza ryzyka jest elementem wymaganym i podstawowym dla zarządzania cyberbezpieczeństwem.

Zarządzanie bezpieczeństwem danych osobowych a zarządzanie cyberbezpieczeństwem

Wierzymy w to, że nie da się zarządzać systemem bezpieczeństwa danych osobowych bez zarządzania cyberbezpieczeństwem, a także zarządzać systemem ich bezpieczeństwa i zarządzać cyberbezpieczeństwem bez analizy ryzyka.

Dlatego należy pamiętać, że analiza ryzyk jest fundamentem zarządzania bezpieczeństwem w przedsiębiorstwach. Warto zatem zsynchronizować analizę ryzyk dotyczących systemu bezpieczeństwa danych osobowych i analizę ryzyk dotyczących cyberbezpieczeństwa.

Zsynchronizowanie analizy ryzyk w tych dwóch obszarach ma m.in. następujące zalety:

  • organizacja ma pełną informację w jednym miejscu. Kiedy w sieci pojawia się ostrzeżenie o podatności, jest jedno miejsce, w którym łatwo można sprawdzić, czy nas ostrzeżenie to dotyczy i w których miejscach ono u nas występuje, 
  • lepsze pomysły na zabezpieczenia ze względu na wymianę wiedzy pomiędzy pracownikami, 
  • ograniczenie shadow IT (instalacji i używania przez pracowników na własną rękę, bez wiedzy przełożonych i IT, programów i aplikacji, często bez wymaganej licencji, aktualizacji itp.),
  • lepsza identyfikacja i kontrola dostawców i usługodawców,
  • informacja o bezpieczeństwie zostaje w firmie, nie odchodzi z pracownikami,
  • tworzone są precyzyjne i konkretne procedury i szkolenia,
  • wypełniane są obowiązki prawne nakładane na nas przez prawodawcę.

W następnych artykułach będziemy kontynuować temat cybezpieczeństwa w małych i średnich przedsiębiorstwach.

r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o.
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij