Raport Specjalny. Bezpieczeństwo Banków: Outsourcing bezpieczeństwa – czy warto?
Michał Borucki
prezes zarządu
Blue Energy
Są wśród nich procesy powtarzalne, takie jak audyty, testy penetracyjne, analizy ryzyka, analizy podatności, monitorowanie zagrożeń, budowanie świadomości pracowników. W nowocześnie zarządzanych firmach obserwuje się trend do skupiania sił i środków na świadczeniu głównych procesów – przynoszących przychody i jednoczesnym outsourcingu procesów wspomagających. Dzieje się tak od dawna w obszarach utrzymania budynków, floty samochodowej czy też w pewnych procesach IT. W ostatnich latach trend outsourcingu pojawił się również w obszarze bezpieczeństwa. Kilkuletnie doświadczenia na polskim rynku pokazują, iż oddanie pewnych specjalistycznych obszarów bezpieczeństwa pod opiekę zewnętrznej eksperckiej firmie przynosi wymierne korzyści – zarówno w postaci niższych kosztów, jak i otrzymaniu usługi o wyższej jakości. Co zatem warto outsourcować?
Audyty
Aby zapewnić zgodność z wymaganiami prawa (Rekomendacja D, ustawa o krajowym systemie cyberbezpieczeństwa) konieczne jest przeprowadzanie okresowych audytów. Skorzystanie z firm zewnętrznych zapewnia najważniejszy ich aspekt – czyli niezależność i obiektywizm. Realizacja audytu przez osoby zatrudnione w firmie może nie być obiektywna. Mają na to wpływ zarówno wzajemne sympatie, jak i animozje, ale przede wszystkim naturalna chęć spłycania istniejących wewnątrz organizacji problemów. Aby audyt był skuteczny, dodatkowo należy poświęcać czas i pieniądze na podnoszenie wiedzy audytorów. Do jego przeprowadzenia wyznacza się często osoby wykonujące na co dzień czynności operacyjne. Pracownicy ci na czas audytu muszą odłożyć swoje obowiązki, co przekłada się często na wydłużone czasy realizacji projektów i procesów. Biorąc pod uwagę powyższe koszty pośrednie i bezpośrednie, często okazuje się, iż zlecanie audytów wyspecjalizowanym podmiotom przynosi same pozytywy: ekspercką wiedzę, porównanie z praktykami rynkowymi, obiektywną i niezależną informację o stanie bezpieczeństwa i to wszystko niekoniecznie za wyższą cenę niż realizacja takiego badania przez własnych pracowników.
Testy penetracyjne i analizy podatności
Choć między testami penetracyjnymi a analizami podatności systemów informatycznych występują spore różnice w samym przebiegu postępowania, to mają one kilka wspólnych cech, które sprawiają, że warto te procesy outsourcować. Aby wykonać oba zadania, należy wykorzystywać specjalistyczne narzędzia, posiadać umiejętności ich obsługiwania oraz wiedzę o interpretacji wyników. Dodatkowo w przypadku testów absolutnie niezbędne jest doświadczenie i wiedza ekspercka z obszaru funkcjonowania IT oraz rozwiązań zwiększających bezpieczeństwo informacji. Chcemy w końcu zapewnić bezpieczeństwo infrastruktury IT, a nie tylko spełnić wymagania. Słowem kluczem, jak łatwo zauważyć w kilku poprzedzających zdaniach, jest określenie „wiedza ekspercka”. Osoby, które wykonują testy penetracyjne i analizy podatności muszą być „na czasie” z nowymi technologiami i słabościami, jakie te technologie zawierają. Utrzymywanie własnych specjalistów wiąże się z dwoma ryzykami: dużymi środkami finansowymi na szkolenia i doskonalenie oraz ryzykiem odejścia pracownika do innej firmy, która może zaoferować wyższe wynagrodzenie. To ostatnie ryzyko materializuje się dość powszechnie w erze powstawania dużych Security Operation Center (SOC).
Analizy ryzyka
Analiza ryzyka jest podstawowym narzędziem do podejmowania decyzji dotyczących inwestycji w obszar bezpieczeństwa. Aby była przeprowadzona w sposób rzetelny, niezbędne jest zaangażowanie właścicieli procesów biznesowych oraz osób odpowiedzialnych za utrzymanie systemów informatycznych. Nie ma więc możliwości, aby oddać ten proces w outsourcing w całości. Skorzystanie z zewnętrznego wsparcia bardzo często jednak jest niezwykle pomocne w przypadku, gdy prowadzimy analizy wieloobszarowe – szczególnie dotyczące zróżnicowanych środowisk, takich jak IT i biznes czy IT biurowe i operacyjne (służące do rozliczeń). Tam, gdzie widzimy zagrożenie związane z „silosami”, brakiem komunikacji między poszczególnymi departamentami, zewnętrzny doświadczony konsultant może okazać się prawdziwym zbawieniem, dzięki któremu zostaną opisane realne problemy w organizacji i co najważniejsze – zidentyfikowane przyczyny i działania zarządzające takimi ryzykami. Nieoceniona może okazać się również wiedza o stosowanych rozwiązaniach w innych podobnych organizacjach, co może zapobiec czasochłonnemu szukaniu otwartych drzwi.
Badania socjotechniczne i budowanie świadomości pracowników
Kolejny truizm – najsłabszym ogniwem bezpieczeństwa jest człowiek – jest powtarzany co roku w każdej publikacji dotyczącej źródeł ataków na bezpieczeństwa danych w systemach informatycznych. Firmy dbające o wysoki poziom bezpieczeństwa realizują zatem co najmniej raz do roku badania socjotechniczne – czyli przeprowadzają kontrolowane próby nakłonienia swoich pracowników do różnych czynności zabronionych polityką bezpieczeństwa informacji. Badania socjotechniczne są bardzo skutecznym narzędziem pokazującym realny poziom bezpieczeństwa w organizacji. Sprawdzają, jak zachowają się ludzie i procedury w różnych często stresujących sytuacjach. Aby je dobrze przeprowadzić, potrzebne jest duże doświadczenie, dobre narzędzia, znajomość otoczenia organizacji i przede wszystkim nutka fantazji. W organizacjach dbających o bezpieczeństwo wcale nie tak łatwo nakłonić pracowników do kliknięcia w link czy przesłania pożądanych materiałów. Potrzebna jest kreatywność (a proszę wierzyć, iż źli hakerzy taką dysponują), znajomość najnowszych technik stosowanych przez hakerów, aby przygotować pracowników na potencjalne ataki. Jak widać z powyższego opisu, aby przygotować dobre badanie socjotechniczne, konieczne jest włożenie nie lada wysiłku. Warto dokonać analizy czasu i kosztów realizacji takiego zadania własnymi środkami. Następnie porównać je z ofertą firm, które poprzez fakt, iż realizują takich badań dziesiątki, a czasami i setki rocznie, mogą okazać się dużo bardziej konkurencyjne i profesjonalne.
Niemniej ważne od samego badania jest zaplanowanie działań podnoszących świadomość pracowników. W dzisiejszych czasach coraz częściej odchodzi się od modelu szkoleń stacjonarnych na rzecz telekonferencji, szkoleń e-learningowych czy też gier/symulacji multimedialnych. Jedno jest pewne – aby osiągnąć zamierzony efekt, szkolenie czy też inna aktywność podnosząca świadomość pracowników muszą być przystosowane do realiów i problemów organizacji, a także przedstawione w interesującej formie. O ile szkolenia wstępne są jeszcze często prowadzone przez pracowników organizacji, to już szkolenia dla pracowników bardzo często są prowadzone w formie e-learningowej, gdzie materiał lub też cała usługa przeprowadzenia szkolenia są kupowane na rynku. Trudno dziwić się takiemu trendowi. Szkolenie przygotowane przez firmę specjalizującą się w takich usługach będzie prawie zawsze ładniej wyglądało i będzie ciekawsze niż przygotowane przez pracowników, dla których jest to dodatkowe zajęcie.
Monitorowanie zagrożeń
Skróty SIEM i SOC są doskonale znane działom bezpieczeństwa informacji w branży finansowej. Niestety równie znanym terminem jest fluktuacja. Na polskim rynku funkcjonuje kilkanaście dużych SOC o zasięgu międzynarodowym. Organizacje te są bardzo atrakcyjnym pracodawcą dla osób pracujących w mniejszych działach bezpieczeństwa teleinformatycznego, które świadczą usługi tylko dla jednej organizacji. Utrzymanie specjalistów graniczy więc z cudem i wymaga wydatków na wysokie wynagrodzenia oraz specjalistyczne szkolenia. Polityka zatrudnienia nowych, mniej doświadczonych pracowników i intensywnego szkolenia, niestety często kończy się na tym, iż po szkoleniach ci pracownicy odchodzą na lepiej płatne posady. Podejmując zatem decyzję, czy usługi SOC chcemy kupować na zewnątrz, czy też realizować własnymi siłami, należy wszystkie powyższe argumenty dobrze przeanalizować.
Podsumowując – należy mieć świadomość, iż obszar bezpieczeństwa informacji jest obszarem usług bardzo specjalistycznych. Jak w każdej specjalistycznej usłudze utrzymywanie kompetencji we własnych strukturach nie zawsze jest opłacalne i uzasadnione. Utrzymując wysokiej klasy specjalistów w obszarach, które nie są naszą główną działalnością, narażamy się na ryzyko, iż takie osoby odejdą do innych organizacji, dla których bezpieczeństwo informacji jest głównym procesem. Nie zawsze i nie wszędzie outsourcing będzie najlepszym rozwiązaniem, ale na pewno warto wziąć takie rozwiązanie pod rozwagę.