bezpieczeństwo polskich firm

Bezpieczeństwo polskich firm – wyniki badania

Ankieta audytowa

Od około roku na blogu OpenSecurity.pl dostępny jest audyt online w formie ankiety. Ma on na celu ułatwić osobom odpowiedzialnym za bezpieczeństwo w swoich organizacjach przegląd zadań, które składają się na system zarządzania bezpieczeństwem informacji. Ankieta ta zwłaszcza w gorącym okresie wejścia w życie nowych przepisów RODO cieszyła się sporym zainteresowaniem. Obecnie już nie tak lawinowo, ale w dalszym ciągu spływają do mnie wyniki od osób, które posłużyły się tym prostym narzędziem. Ponieważ danych zebrało się już całkiem sporo postanowiłem podzielić się statystyką dotyczącą odpowiedzi na poszczególne pytania. Pozwala to na pewne podsumowanie poziomu bezpieczeństwa w polskich firmach i urzędach (choć tych drugich w wynikach jest zdecydowanie mniej).

Poniżej prezentuję zatem listę zagadnień poruszanych w ankiecie wraz ze statystyką odpowiedzi oraz krótkim podsumowaniem każdego z obszarów zarządzania bezpieczeństwem.

Polityki bezpieczeństwa

Czy w Twojej organizacji obowiązuje Polityka Bezpieczeństwa Informacji (w rozumieniu szerszym niż tylko Polityka Ochrony Danych Osobowych)?

Komentarz: brak polityki bezpieczeństwa, która regulowałaby obszary inne niż tylko ochrona danych osobowych może skutkować naruszeniem bezpieczeństwa innych krytycznych aktywów, w tym informacji i mieć negatywny wpływ na ciągłość biznesową. W przedsiębiorstwach często przetwarzane są dane, które mimo iż nie są danymi osobowymi powinny podlegać ochronie. Należą do nich np. wartości składanych ofert, wyniki analiz biznesowych, plany rozwojowe czy też własnościowe receptury.

Czy wdrożona została Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemami Informatycznymi?

Komentarz: pomimo istniejących od 1997 roku wymogów starej Ustawy o Ochronie Danych Osobowych mniej niż połowa instytucji wciąż nie opracowała własnych polityk ochrony danych oraz zarządzania systemami informatycznymi. Wynik ten wydaje się zaskakujący, być może na jego poprawę wpłyną nowe przepisy RODO i wprowadzone wraz z nimi sankcje finansowe.

Czy posiadają Państwo lub planują wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji wg ISO 27001?

Komentarz: ten wynik nie wydaje się zaskakujący. Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 to proces długotrwały i kosztowny. Jego posiadanie nie jest wymagane prawem, chociaż mogą na niego wpływać przepisy Krajowych Ram Interoperacyjności, które wymuszają posiadanie systemu wzorowanego na ISO 27001. Może się to jednak zmienić w najbliższych miesiącach za sprawą t.zw. cyberustawy, która wymusza określone procedury bezpieczeństwa na operatorach usług krytycznych z punktu widzenia państwa.

BIA (analiza wpływu biznesowego)

Czy w Twojej organizacji przeprowadzono inwentaryzację aktywów krytycznych z punktu widzenia prowadzonego biznesu?

Komentarz: ten wynik nie napawa optymizmem i pokrywa się niestety z moimi zawodowymi doświadczeniami. Niestety ogromna większość organizacji nie wie tak na prawdę jakie zasoby w ich infrastrukturze powinny podlegać ochronie. Jeżeli nie wiemy co mamy chronić, to trudno mówić o bezpieczeństwie biznesu.

Czy znana jest wartość tych aktywów lub konsekwencje ich utraty i negatywne skutki wpływu na procesy biznesowe?

Komentarz: Podobnie jak w punkcie poprzednim brak szerszej świadomości na temat tego co tak naprawdę jest dla nas krytyczne z punktu widzenia ciągłości biznesowej. Ciekawe, czy właściciele firm zdają sobie sprawę z takiego stanu rzeczy?. Obawiam się, że nie.

Czy aktywa krytyczne objęte są ochroną na poziomie wyższym, niż pozostałe aktywa sklasyfikowane jako niekrytyczne?

Komentarz: Brak zaskoczenia, tutaj wynik wynika bezpośrednio z poprzednich dwóch punktów. Nie wiemy co powinniśmy chronić ponieważ nie wiemy jaki wpływ na procesy biznesowe maja nasze poszczególne aktywa. Nie jesteśmy zatem w stanie zapewnić im odpowiednio wysokiego poziomu bezpieczeństwa.

Analiza ryzyka

Czy prowadzona jest cykliczna identyfikacja podatności zagrażających krytycznym aktywom i procesom biznesowym?

Czy prowadzona jest cykliczna analiza ryzyka związanego z zagrożeniami, które mogą wystąpić jako skutki określonych podatności i czy istnieją wytyczne co do sposobu szacowania tego ryzyka?

Czy zdefiniowano poziomy ryzyka pozwalające na jego kategoryzację (np. jako pomijalne, akceptowalne, warunkowo akceptowalne, niedopuszczalne)?

Czy zdefiniowano sposoby postępowania z ryzykiem wyższym niż akceptowalne? (np. minimalizacja, przeniesienie)?

Czy prowadzona jest weryfikacja dostawców i podwykonawców pod kątem mogących się pojawić z ich strony zagrożeń bezpieczeństwa?

Komentarz: Z powyższych 5 punktów wynika niestety, że proces szacowania i analizy ryzyka wciąż należy do rzadkości. Nie identyfikujemy podatności w naszych systemach i procesach, nie szacujemy ryzyk związanych z tymi podatnościami, a co za tym idzie nie podejmujemy odpowiednich kroków w celu minimalizacji ryzyka. Pozytywny wpływ na wynik tej części badania może mieć w przyszłości wejście w życie przepisów RODO oraz tzw. cyberustawy.

Audyty bezpieczeństwa

Czy przeprowadzają Państwo okresowe audyty bezpieczeństwa lub testy penetracyjne całej infrastruktury IT?

Czy przeprowadzają Państwo testy bezpieczeństwa oceniające podatność pracowników na ataki socjotechniczne?

Komentarz: ten wynik jest niestety również mało pocieszający. Zwłaszcza brak testów socjotechnicznych, które nie muszą być aż tak kosztowne jak testy penetracyjne (można je wykonać na malej próbie pracowników) a niosą ze sobą dużą wartość edukacyjną i pozwalają efektywnie podnieść świadomość pracowników na temat potencjalnych zagrożeń.

Obsługa incydentów bezpieczeństwa

Czy przeprowadzają Państwo szkolenia dla pracowników, których celem jest podnoszenie świadomości o zagrożeniach i ich konsekwencjach?

Czy posiadają Państwo procedury definiujące zasady zgłaszania przez pracowników incydentów bezpieczeństwa?

Czy posiadają Państwo osoby odpowiedzialne za przegląd i obsługę zgłaszanych incydentów bezpieczeństwa?

Czy prowadzona jest analiza zgłaszanych incydentów bezpieczeństwa a na jej podstawie podejmowane działania zaradcze?

Komentarz: W tym obszarze również nie jest najlepiej. Jest to trochę zaskakujące ponieważ procedury obsługi incydentów bezpieczeństwa były wymagane zarówno przez stare przepisy o ochronie danych osobowych, jak i przez Krajowe Ramy Interoperacyjności. Również RODO kładzie na nie wyraźny nacisk.

Podsumowanie

Z powyższego badania jawi się niestety dosyć ponury obraz stanu bezpieczeństwa w polskich organizacjach. W żadnym z najistotniejszych obszarów wymaganych działań nie prowadzi więcej niż połowa ankietowanych. Przed nami jeszcze sporo pracy i uczenia się, miejmy nadzieję nie na własnych błędach.

 

Podobał Ci się tekst? Pomóż nam w jego promocji.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.