Cyberbezpieczeństwo – normy, standardy, dobre praktyki
Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.
17 lutego 2021| Czas lektury: 2minuty | Udostępnij:
Cyberbezpieczeństwo – Normy i standardy
W zakresie cybersecurity wyróżnia się:
Standardy, na podstawie których można przeprowadzać certyfikację systemów IT, np. PN-ISO/IEC 27001, ISO/IEC15408 (Common Criteria), ITSEC, TCSEC. Ich cechą charakterystyczną są miary spełniania norm bezpieczeństwa, takie jak:
Standardy cyberbezpieczeństwa stanowiące tzw. najlepsze praktyki, jak np. zalecenia: Information Technology Infrastructure Library (ITIL), National Institute of Standars and Technology (NIST), “Generally Accepted Information Security Principles (GAISP)”, Network Reliability and Interoperability Council (NRIC), czy “OECD Guidelines for the Security of Information Systems of Government Commerce (OECD)”.
Stosowanie ich w codziennej działalności znajduje swoje bezpośrednie odzwierciedlenie w poziomie cyberbezpieczeństwa danej organizacji. Przestrzeganie standardów to jednak nie wszystko, warto stosować także dobre praktyki.
Dobre praktyki w cybersecurity
Do dobrych praktyk z zakresu cyberbezpieczeństwa zalicza się:
Identyfikowanie luk w zabezpieczeniach i reagowanie natychmiast po ich wykryciu.
Dbanie o świadomość użytkowników – uświadamianie ich o potencjalnych zagrożeniach w sieci i uczenie sposobów właściwego i bezpiecznego postępowania.
Dobieranie metod zabezpieczeń w taki sposób, aby nie były one zbyt uciążliwe dla użytkowników i aby nie unikali oni stosowania ich w codziennej pracy.
Dbanie o przemyślane i racjonalne zarządzanie przydzielanymi pracownikom dostępami.
Tworzenie kopii zapasowych danych – jest to szczególnie przydatne w przypadku cyberataku.
Przeprowadzanie audytów i monitorowanie zachowań użytkowników oraz sposobów w jaki przestrzegają oni narzuconych odgórnie procedur bezpieczeństwa.
Zabezpieczenie pracowników zdalnych – zrozumienie sposobu w jaki wykorzystują oni powierzony im sprzęt i aplikacje oraz dostosowanie do ich nawyków odpowiednich zabezpieczeń.
Wykorzystanie SOC (Security Operations Center) jako ujednoliconej platformy bezpieczeństwa i reagowania na incydenty, zbierającej i korelującej dane z wielu źródeł.
Klasyfikowanie i ochrona danych – uświadomienie sobie, że nie wszystkie dane są takie same i wymagają tego samego poziomu ochrony oraz dostosowanie zróżnicowanych, odpowiednich zabezpieczeń.
Bieżące zarządzanie ryzykiem – automatyzacja oceny cyberbezpieczeństwa, priorytetyzacja działań oraz stopniowe wprowadzenie usprawnień.
Testy cyberbezpieczeństwa
Aby w pełni zadbać o swoje IT, obok standardów i dobrych praktyk warto postawić także na testy bezpieczeństwa. Są one niezbędne do tego, aby uchronić firmę przed zaszyfrowaniem lub kradzieżą cennych danych.
Testy cyberbezpieczeństwa zwane też testami penetracyjnymi, polegają na przeprowadzaniu symulowanych cyberataków w specjalnym, kontrolowanym środowisku przez zewnętrznych specjalistów ds. bezpieczeństwa, stosujących te same techniki, co cyberprzestępcy.
Pozwalają one ujawnić, czy serwery lub aplikacje wykorzystywane przez firmę są odporne na ataki oraz czy ewentualne, zidentyfikowane błędy lub luki w zabezpieczeniach mogą skutkować włamaniami. Przeprowadzenie ich w firmie raz lub dwa razy do roku z jednej strony umożliwi bieżącą kontrolę poziomu bezpieczeństwa, a z drugiej będzie gwarantem ciągłości biznesowej.
Plany strategiczne dotyczące kwestii bezpieczeństwa powinny być na stałe wpisane w strategię biznesową każdego przedsiębiorstwa i uwzględniać zarówno obecny stan praktyk bezpieczeństwa jak i przyjęte cele krótko, średnio i długoterminowe. Wizja, cele i założenia takich planów powinny być opiniowane i dostosowywane do zmieniającej się sytuacji biznesowej co najmniej raz w roku.
Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.
Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.
Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.
Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.
Chcesz rozpocząć nowy projekt IT?
A może po prostu lepiej nas poznać?
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.