Działy cybersecurity i IT muszą współpracować, odpowiednio alokując swoje zasoby, aby osiągnąć wyznaczone cele. Muszą być gotowe na kooperację, mimo różnic, aby zrealizować wspólne zadania. Zarówno cyberbezpieczeństwo biznesowe jak i techniczne są związane z zarządzaniem ryzykiem ICT i pełnią ważną rolę w zapewnieniu operacyjnej odporności cyfrowej. Podmiot finansowy nie dając możliwości na efektywne działanie obu obszarom cyberbezpieczeństwa, naraża się na wiele zagrożeń. Oba te aspekty są również ważnymi składowymi wymagań otoczenia prawnego. Jak je zespolić? Można je połączyć odpowiednimi narzędziami!
Czym różni się cyberbezpieczeństwo biznesowe od technicznego?
Cybersecurity można podzielić na dwie główne kategorie: techniczne i biznesowe. Cybersecurity techniczne koncentruje się na operacyjnych aspektach technicznych związanych z ochroną systemów informatycznych, sieci, danych oraz aplikacji. Obejmuje ono takie obszary jak zabezpieczenia sieciowe, testy penetracyjne, zarządzanie incydentami, oprogramowaniem antywirusowym, zabezpieczenia systemów operacyjnych etc.
Cybersecurity biznesowe skupia się natomiast na wysokopoziomowych aspektach zarządczych i strategicznych związanych z bezpieczeństwem informacji w kontekście biznesowym. Obejmuje ono takie obszary jak zarządzanie ryzykiem, zgodność z przepisami prawnymi, zarządzanie incydentami z perspektywy biznesowej, audyty bezpieczeństwa itp. Podział na te dwie kategorie pomaga zrozumieć różnorodne zadania i role związane z zagadnieniem cybersecurity.
Dlaczego rozporządzenie DORA i dyrektywa NIS2 zajmują się cyberbezpieczeństwem biznesowym?
Zarówno DORA, jak i dyrektywa NIS2 zajmują się kwestiami cyberbezpieczeństwa biznesowego, aby zapewnić stabilność, bezpieczeństwo i ciągłość działania kluczowych sektorów gospodarki w obliczu rosnących zagrożeń cyfrowych. Obejmuje to sektory takie jak finanse w przypadku DORA oraz szerzej energetyka, transport, opieka zdrowotna w przypadku NIS2, które są kluczowe dla działania gospodarki. Obie regulacje mają na celu ustanowienie ram prawnych dotyczących cyberbezpieczeństwa, co obejmuje zarządzanie ryzykiem w kontekście działalności biznesowej.
Dzięki temu organizacje działające w kluczowych sektorach gospodarki są zobowiązane do identyfikacji, oceny i zarządzania ryzykiem związanym z cyberzagrożeniami. Poprzez określenie wymagań dotyczących reakcji na incydenty cyfrowe, przedsiębiorstwa są zobowiązane do przygotowania się do potencjalnych ataków i skutecznego reagowania na nie. Regulacje te zachęcają do współpracy sektorowej w celu wymiany informacji dotyczących zagrożeń cyfrowych oraz współpracy z organami regulacyjnymi w zakresie raportowania incydentów.
Czy cyberbezpieczeństwo techniczne potrzebuje cyberbezpieczeństwa biznesowego?
Bezpieczeństwo techniczne musi być zintegrowane z celami biznesowymi, aby zapewnić, że środki techniczne służą osiągnięciu strategicznych celów organizacji. Bez współpracy z cyberbezpieczeństwem biznesowym, dział techniczny może wdrożyć środki bezpieczeństwa, które nie są zgodne z priorytetami biznesowymi.
Cyberbezpieczeństwo techniczne zajmuje się bezpośrednią ochroną przed atakami i zagrożeniami, podczas gdy cyberbezpieczeństwo biznesowe identyfikuje ryzyka wynikające z działań biznesowych, takich jak zarządzanie dostawcami, zgodność z przepisami i zarządzanie incydentami. Cyberbezpieczeństwo biznesowe obejmuje zarządzanie incydentami z perspektywy biznesowej, w tym komunikację z interesariuszami, zarządzanie reputacją i odzyskiwanie danych po incydentach, co wspiera działania cyberbezpieczeństwa technicznego w reagowaniu na incydenty.
Filary rozporządzenia DORA i NIS2 łączą cyberbezpieczeństwo techniczne i biznesowe
Mimo ukierunkowanych polityk i inicjatyw legislacyjnych zarówno na poziomie unijnym, jak i krajowym, ryzyka związane z ICT stanowiły do teraz wyzwanie dla odporności operacyjnej, wydajności i stabilności systemu finansowego UE. Z pomocą przychodzi rozporządzenie DORA, które integruje europejski rynek finansowy pod względem regulacyjnym. Od tego momentu ponad 22 tysiące podmiotów finansowych we wspólnocie będzie musiało działać zgodnie z DORA. Z drugiej strony NIS2 wpływa na szeroki kontekst gospodarki UE, kształtując cyberbezpieczeństwo w podmiotach z wielu innych branż. Obie regulacje oparte są na filarach, wokół których skupione są konkretne zadania.
Filary DORA
Rozporządzenie opisuje pięć filarów, które wspólnie mają zwiększyć poziom operacyjnej odporności cyfrowej sektora finansowego.
- Zarządzanie ryzykiem ICT. DORA podkreśla konieczność identyfikacji, oceny i zarządzania ryzykiem związanym z ICT. Podmioty finansowe muszą mieć solidne ramy do ciągłego monitorowania oraz proaktywnego zarządzania i ograniczania ryzyka, aby zwiększyć odporność na zagrożenia cyfrowe.
- Raportowanie incydentów. Rozporządzenie standaryzuje proces raportowania incydentów w sektorze finansowym. Podmioty finansowe muszą wdrożyć systemy do monitorowania, opisywania i raportowania istotnych incydentów ICT do odpowiednich organów, co sprzyja kulturze przejrzystości i szybkiego reagowania.
- Testowanie operacyjnej odporności cyfrowej. Podmioty finansowe muszą okresowo testować swoje ramy zarządzania ryzykiem ICT. Obejmuje to testowanie scenariuszowe, oceny podatności oraz testy penetracyjne, aby zapewnić gotowość na kryzysy cyfrowe. W ramach tego szczególną uwagę muszą zwrócić na usługi ICT wspierające funkcje krytyczne lub istotne.
- Zarządzanie ryzykiem związanym z podmiotami trzecimi. Podmioty finansowe muszą dokładnie przeprowadzać due diligence na dostawcach usług ICT. Umowy powinny zapewniać szereg punktów w tym, że dostawcy przestrzegają wysokich standardów bezpieczeństwa i odporności. Ryzyka związane z podmiotami trzecimi powinny być dokumentowane i zarządzane strategicznie. Informacje o dostawcach i współpracy z nimi powinny być przechowywane w odpowiednich repozytoriach.
- Wymiana informacji. DORA promuje wymianę informacji i analiz zidentyfikowanych zagrożeń wśród przedstawicieli branży finansowej we wspólnocie UE. To podejście pomaga przewidywać zagrożenia cyfrowe i poprawia ogólną operacyjną odporność cyfrową sektora, przyczyniając się do stabilnej i bezpiecznej infrastruktury finansowej.
Filary NIS2
Ustęp 2 artykułu 21 NIS2 identyfikuje 10 kluczowych obszarów dyrektywy w zakresie cyberbezpieczeństwa technicznego i biznesowego.
- Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych. Każda organizacja musi opracować i wdrożyć polityki, które umożliwią identyfikację, ocenę i zarządzanie ryzykiem związanym z cyberzagrożeniami. Te polityki powinny być regularnie aktualizowane w celu dostosowania do zmieniających się warunków i zagrożeń.
- Obsługa incydentów. Organizacje muszą posiadać procedury i narzędzia do skutecznej obsługi incydentów cyberbezpieczeństwa. Proces ten obejmuje wykrywanie, analizę, ograniczanie skutków oraz usuwanie skutków incydentów, a także późniejsze wnioski i poprawę procedur.
- Ciągłość działania, zarządzanie kopiami zapasowymi i odzyskiwanie po awarii oraz zarządzanie kryzysowe. Organizacje są zobowiązane do zapewnienia ciągłości działania poprzez odpowiednie zarządzanie kopiami zapasowymi oraz planowanie i realizację odzyskiwania po awarii. Powinny również mieć plany zarządzania kryzysowego, które pozwolą na szybkie i skuteczne reagowanie w sytuacjach kryzysowych.
- Bezpieczeństwo łańcucha dostaw. Organizacje muszą zarządzać ryzykiem związanym z dostawcami i monitorować ich działania w zakresie cyberbezpieczeństwa, aby zapewnić integralność i bezpieczeństwo całego łańcucha dostaw.
- Nabywanie, rozwój utrzymanie sieci i systemów informacyjnych. Aspekt bezpieczeństwa powinien być uwzględniany na wszystkich etapach cyklu życia sieci i systemów informacyjnych, od nabywania, przez rozwój, aż po utrzymanie. Organizacje muszą zarządzać podatnościami i regularnie aktualizować systemy w celu zapobiegania zagrożeniom.
- Polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyfrowym. Organizacje muszą wprowadzić polityki i procedury umożliwiające ocenę skuteczności wdrożonych środków zarządzania ryzykiem cyfrowym. Regularne audyty i oceny pomagają w identyfikacji słabych punktów i wprowadzeniu odpowiednich korekt.
- Podstawowe praktyki higieny cyfrowej i szkolenia z zakresu cyberbezpieczeństwa. Są to m.in aktualizacje oprogramowania, silne hasła czy regularne skanowanie w poszukiwaniu zagrożeń, powinny być standardem. Dodatkowo, pracownicy muszą być regularnie szkoleni z zakresu cyberbezpieczeństwa, aby byli świadomi zagrożeń i wiedzieli, jak na nie reagować.
- Polityki i procedury dotyczące użycia kryptografii i szyfrowania. Organizacje muszą mieć jasno określone polityki i procedury dotyczące użycia kryptografii, w tym szyfrowania danych. Użycie tych technik powinno być odpowiednie do poziomu ryzyka i charakteru przetwarzanych informacji, aby zapewnić ich poufność i integralność.
- Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami. Pracownicy powinni mieć dostęp tylko do tych danych i systemów, które są niezbędne do wykonywania ich obowiązków, a wszelkie zmiany w dostępie powinny być ściśle kontrolowane.
- Użycie dwuskładnikowego uwierzytelniania i zabezpieczonych systemów komunikacji. Zapewnia to wyższy poziom bezpieczeństwa i minimalizuje ryzyko nieautoryzowanego dostępu do systemów i danych.
Jak pojednać cyberbezpieczeństwo techniczne i biznesowe?
Za zagadnienie cyberbezpieczeństwa technicznego w organizacjach odpowiada dział CyberSec, który jest częścią działu IT. Z drugiej strony, zagadnienie cyberbezpieczeństwa biznesowego przypisywane jest działowi IT wraz ze wspierającymi nietechnicznymi zespołami jak prawny oraz compliance. Są to przedstawiciele kompletnie różnych światów, którzy mogą mieć problem w komunikacji. Warto wykorzystać narzędzia, które mają pomóc im w zapewnieniu cyberbezpieczeństwa, w obu płaszczyznach. Istnieje wiele narzędzi i platform stosowanych do zapewnienia bezpieczeństwa cyfrowego jak: ESP, SIEM, XDR, VS&M, FW, DLP i wiele innych. Dla skutecznego działania zgodnego z DORA, organizacja musi mieć również zmapowane procesy i dane, swoje produkty i usługi, przeprowadzić analitykę biznesową oraz zidentyfikować i ocenić ryzyko, co wpisuje się w cyberbezpieczeństwo biznesowe.
Nie jest możliwe zrealizowanie tych dwóch perspektyw cyberbezpieczeństwa w jednym narzędziu, ale połączenie kontekstu technicznego i biznesowego jest możliwe w formie dwóch specjalistycznych narzędzi. Jedno skupiające się na zarządzaniu ryzykiem ICT z perspektywy technicznej, drugie skoncentrowane na wsparciu audytora i procesu zarządzania ryzykiem. Z tego powodu gotowy konektor z Tenable SC+ przygotowany przez jego dystrybutora – OpenBiz maksymalizuje możliwości obu narzędzi na rzecz zapewnienia zgodności oraz wysokiego poziomu cyberbezpieczeństwa.
Wymieniane są informacje pomiędzy RIG DORA i Tenable SC+ o:
- aktywach wspierających (na poziomie biznesowym). Informacja przechodzi w obie strony;
- ilości komponentów technicznych, które wchodzą w skład aktywa rozumianego biznesowo, informacja przechodzi od Tenable do RIG;
- wpływie biznesowym aktywa wspierającego, w 3 wymiarach (RODO, Bezpieczeństwo Informacji i Ciągłość Działania). Informacja przechodzi z RIG do Tenable;
- ryzyku cyfrowym, informacja przechodzi z Tenable do RIG.
RIG DORA jako wsparcie dla cyberbezpieczeństwa biznesowego
RIG DORA jest narzędziem typu GRC dedykowanym podmiotom finansowym, wspierającym spełnienie wymogów rozporządzenia DORA. Integruje zarządzanie ryzykiem, zgodnością i bezpieczeństwem ICT w jednym miejscu. Dzięki niemu można skonsolidować analizę ryzyka z różnych działów na jednym dashboardzie, co eliminuje niespójności danych i zapewnia pełny obraz ryzyka.
Kluczowe cechy RIG DORA obejmują zgodność z normami UE i ISO, metodykę oceny ryzyka zgodną z podejściem opartym na aktywach (Asset Based Approach) zgodną z DORA oraz wsparcie dla zadań związanych z RODO i NIS2. Narzędzie to umożliwia efektywne zarządzanie ryzykiem poprzez szacowanie, planowanie i analizowanie poziomu bezpieczeństwa ICT, co jest kluczowe m.in przed kontrolą KNF. Implementacja RIG DORA prowadzi do optymalizacji procesów tworzenia dokumentacji, zarządzania ryzykiem i spełniania obowiązków prawnych. To z kolei zwiększa przejrzystość operacyjną, współpracę między działami oraz skuteczność zarządzania różnymi rodzajami ryzyk.
Tenable jako wsparcie w cyberbezpieczeństwie technicznym
Tenable to wiodący dostawca rozwiązań do zarządzania ryzykiem cyfrowym poprzez platformę Tenable One. Platforma wspiera cyberbezpieczeństwo techniczne organizacji poprzez możliwość zarządzania podatnościami opartymi na ryzyku, bezpieczeństwo aplikacji internetowych, chmury oraz tożsamości. Umożliwia to organizacjom uzyskanie jednolitego obrazu ich stanu bezpieczeństwa. Tenable One wykorzystuje zaawansowane technologie, takie jak sztuczna inteligencja w ramach ExposureAI oraz Tenable Exposure Graph do unifikacji i normalizacji danych, co wspiera efektywne zarządzanie ekspozycją i priorytetyzację działań bezpieczeństwa.
Platforma Tenable umożliwia również analizę ścieżek ataku zgodnie z ramami MITRE ATT&CK oraz zapewnia centralizowaną widoczność wszystkich zasobów IT, OT, IoT, chmurowych, tożsamości i aplikacji internetowych. Dzięki temu organizacje mogą skutecznie zarządzać ryzykiem cyfrowym, komunikować ryzyko w sposób zrozumiały dla kierownictwa oraz realizować strategie bezpieczeństwa w dynamicznym środowisku cyfrowym.
Jeden cel, dwie perspektywy
Jak zostało wskazane w rozdziale dotyczącym filarów rozporządzeń DORA oraz NIS2, zagadnienie cyberbezpieczeństwa jest ich ważnym składowym. W obu dokumentach wskazywane są takie zadania jak między innymi identyfikacja i zarządzanie ryzykiem, dostawcy i łańcuch dostaw, incydenty oraz testowane odporności cyfrowej. Cyberbezpieczeństwo techniczne i biznesowe są jednymi z podstawowych technik, dzięki którym zostanie osiągnięta zgodność regulacyjna w Twojej organizacji. RIG DORA poprzez integrację z Tenable oferuje środowisko, prezycyjnie adresujące poszczególne zagrożenia cyfrowe. W tych narzędziach linkowane są aktywa wspierające ICT, dzięki czemu zidentyfikowanie zagrożenia w Tenable automatycznie wpływa na poziom ryzyka w RIG DORA.
W ramach stale zmieniającego się otoczenia regulacyjnego, wdrożenie najwyższych standardów w zakresie cybersecurity może przyczynić się do zminimalizowania potrzeby dostosowania organizacji do nowego prawa. Jest to kluczowe z punktu widzenia utrzymania zgodności i minimalizowania ryzyka w nowych i stale zmieniających się warunkach prawnych.
Łącząc obie perspektywy w ramach zintegrowanych ze sobą narzędzi możesz mieć znaczne efekty na drodze do zabezpieczenia bezpieczeństwa cyfrowego w Twojej organizacji, a przez to zgodności regulacyjnej. Postaw pierwszy krok na tej drodze i porozmawiaj z nami o tym, jak wykorzystać te narzędzia w firmie, w której pracujesz.