8 lipca 2019

Po co komu bezpiecznik?


Potrzeba posiadania w zespole osób odpowiedzialnych za bezpieczeństwo jest coraz bardziej powszechna. RODO, KSC, wymagania sektorowe oraz oczywiście największe incydenty przebijają się do głównych mediów i tym samym zaczynają (powoli) gościć w świadomości „biznesu”. Pojawiają się niekiedy jednak spore uproszczenia w zakresie tego czym powinny się takie osoby zajmować, po co w organizacji tak naprawdę jst bezpiecznik. Albo inaczej mówiąc – gdzie może wnieść największą wartość.

Wydaje się, że najłatwiej niekiedy jest posadzić bezpiecznika przed konsolą i pozwolić by, w niezrozumiały dla nikogo „normalnego” sposób, walczył z hakerami i ratował świat...lub przynajmniej organizację w której chwilowo pracuje.
Zatrudnienie inżynierów bezpieczeństwa by konfigurowali zaporę ogniową, weryfikowali kod źródłowy przed deploymentem na środowisko produkcyjne czy wykonywanie okresowych pentestów ma potężną wartość. Ba – wręcz jest niezbędne. Stanowi jednak tylko ułamek tego, czym, przynajmniej moim zdaniem (ok, i światowych norm typu ISO 27001) powinien się zajmować bezpiecznik. Poniżej zamieszczam garść przykładów zadań, które są IMHO niezbędne, ale nie każdy „inżynier bezpieczeństwa” w przyjemnością do nich zasiądzie. Dobry bezpiecznik w ramach swoich zadań:
  • przypilnuje skutecznego uwierzytelniania użytkowników
  • zweryfikuje pomysły na jak najłatwiejszą identyfikację użytkowników
  • potwierdzi poprawność procedur resetu danych uwierzytelniających
  • wymusi stosowanie 2FA
  • upewni się, że kopie zapasowe nie zostaną utracone razem danymi postawowymi i potwierdzi, że można z nich odzyskać dane
  • przygoruje lub przynajmniej skoordynuje przygotowanie niezbędnej dokumentacji wymaganej przepisami (co najmniej RODO)
  • na bieżąco będzie weryfikować czy proces zarządzania zmianą uwzględnia aspekty bezpieczeństwa
  • zadba o posiadanie co najmniej podstawowych logów
  • dopilnuje bezpieczeństwa środowisk testowych
  • zapewni bezpieczeństwo w ramach całego łańcucha biznesowego
  • pomoże właścicielom procesów zidnetyfikować miejsca w procesach wymagające dodatkowych zabezpieczeń
  • pomoże wyszukać w organizacji osoby posiadającą unikalną wiedzę (typu umiejętność konfiguracji krytycznego systemu) i skoordynuje proces dzielenia się wiedzą
  • zapewni stworzenie niezbędnej dokumentacji
  • okresowo wykona niezbędne przeglądy
  • zdefiniuje zdarzenia (też biznesowe), których wystąpienia powinno generować alarm
  • (co najmniej) skoordynuje proces zarządzania incydentami

i wreszcie – stanie się SPOC (single point of contact) dla kwestii bezpieczeństwa zdejmując z kadry zarządzającej konieczność gromadzenia szczegółowej wiedzy w zakresie bezpieczeństwa*.

Może się jeszcze pojawić pytanie dlaczego o tym piszę. Otóż spotykam się czasami z sytuacją, gdy bezpieczeństwem w mniejszych ale i średnich organizacjach zajmuje się jedna, bardzo techniczna osoba. Obszar w którym się specjalizuje faktycznie jest zarządzany należycie, ale inne tematy czasami leżą. A ja przy piwie słucham historii o tym jak to ktoś świetny w swojej dziedzinie zaczyna mieć dość bezpieczeństwa, bo jest zasypywany papierami, których nie lubi i nie czuje. Bezpiecznik się wypala, organizacja łudzi się, że wszystko jest super zorganizowane – wszyscy tracą… A kadrze zarządzającej polecam zapoznanie się z normami bezpieczeństwa i na ich bazie budowanie oczekiwać wobec oficerów bezpieczeństwa.



* Uwaga – nie oznacza to jednak, że uważam, że kadra nie powinna interesować się bezpieczeństwem. Jednak sądzę, że warto zapewnić, by kształcili się przede wszystkim podczas regularnych spotkań z bezpiecznikiem - dyskutując rzeczywiste wyzwania, przed którymi stoi organizacja.

Brak komentarzy:

Publikowanie komentarza

Dzień dobry. Komentarze na tym forum są moderowane