Cyberbezpieczeństwo – normy, standardy, dobre praktyki

Bezpieczeństwo IT stanowi decyzję biznesową i to taką, która realnie wpływa na funkcjonowanie organizacji. Osoby odpowiedzialne za zarządzanie kwestiami IT w przedsiębiorstwach powinny więc z jednej strony skupić się na podkreślaniu powiązań między ryzykiem cyfrowym a ryzykiem biznesowym, a z drugiej aktywnie dbać o lepsze zarządzanie bezpieczeństwem, zapewniać odpowiedni poziom ochrony, a także zatrudniać najlepszych specjalistów w tym obszarze.

Normy i standardy

W zakresie cybersecurity wyróżnia się:

  1. Standardy, na podstawie których można przeprowadzać certyfikację systemów IT, np. PN-ISO/IEC 27001, ISO/IEC15408 (Common Criteria), ITSEC, TCSEC. Ich cechą charakterystyczną są miary spełniania norm bezpieczeństwa, takie jak:
    • klasy (TCSEC),
    • poziomy E0-E6 (ITSEC, TCSEC),
    • poziomy uzasadnionego zaufania EAL (ISO/IEC-15408).
  2. Standardy stanowiące tzw. najlepsze praktyki, jak np. zalecenia: Information Technology Infrastructure Library (ITIL), National Institute of Standars and Technology (NIST), “Generally Accepted Information Security Principles (GAISP)”, Network Reliability and Interoperability Council (NRIC), czy “OECD Guidelines for the Security of Information Systems of Government Commerce (OECD)”.

Stosowanie ich w codziennej działalności znajduje swoje bezpośrednie odzwierciedlenie w poziomie cyberbezpieczeństwa danej organizacji. Przestrzeganie standardów to jednak nie wszystko, warto stosować także dobre praktyki.

Dobre praktyki

Do tych z kolei zalicza się:

  • Identyfikowanie luk w zabezpieczeniach i reagowanie natychmiast po ich wykryciu.
  • Dbanie o świadomość użytkowników – uświadamianie ich o potencjalnych zagrożeniach i uczenie sposobów właściwego i bezpiecznego postępowania.
  • Dobieranie metod zabezpieczeń w taki sposób, aby nie były one zbyt uciążliwe dla użytkowników i aby nie unikali oni stosowania ich w codziennej pracy.
  • Dbanie o przemyślane i racjonalne zarządzanie przydzielanymi pracownikom dostępami.
  • Tworzenie kopii zapasowych danych.
  • Przeprowadzanie audytów i monitorowanie zachowań użytkowników oraz sposobów w jaki przestrzegają oni narzuconych odgórnie procedur bezpieczeństwa.
  • Zabezpieczenie pracowników zdalnych – zrozumienie sposobu w jaki wykorzystują oni powierzony im sprzęt i aplikacje oraz dostosowanie do ich nawyków odpowiednich zabezpieczeń.
  • Wykorzystanie SOC (Security Operations Center) jako ujednoliconej platformy bezpieczeństwa i reagowania na incydenty, zbierającej i korelującej dane z wielu źródeł.
  • Klasyfikowanie i ochrona danych – uświadomienie sobie, że nie wszystkie dane są takie same i wymagają tego samego poziomu ochrony oraz dostosowanie zróżnicowanych, odpowiednich zabezpieczeń.
  • Bieżące zarządzanie ryzykiem – automatyzacja oceny bezpieczeństwa, priorytetyzacja działań oraz stopniowe wprowadzenie usprawnień.

Testy bezpieczeństwa

Aby w pełni zadbać o swoje IT, obok standardów i dobrych praktyk warto postawić także na testy bezpieczeństwa. Są one niezbędne do tego, aby uchronić firmę przed zaszyfrowaniem lub kradzieżą cennych danych.

Testy bezpieczeństwa zwane też testami penetracyjnymi, polegają na przeprowadzaniu symulowanych cyberataków w specjalnym, kontrolowanym środowisku przez zewnętrznych specjalistów ds. bezpieczeństwa, stosujących te same techniki, co cyberprzestępcy.

Pozwalają one ujawnić, czy serwery lub aplikacje wykorzystywane przez firmę są odporne na ataki oraz czy ewentualne, zidentyfikowane błędy lub luki w zabezpieczeniach mogą skutkować włamaniami. Przeprowadzenie ich w firmie raz lub dwa razy do roku z jednej strony umożliwi bieżącą kontrolę poziomu bezpieczeństwa, a z drugiej będzie gwarantem ciągłości biznesowej.


Plany strategiczne dotyczące kwestii bezpieczeństwa powinny być na stałe wpisane w strategię biznesową każdego przedsiębiorstwa i uwzględniać zarówno obecny stan praktyk bezpieczeństwa jak i przyjęte cele krótko, średnio i długoterminowe. Wizja, cele i założenia takich planów powinny być opiniowane i dostosowywane do zmieniającej się sytuacji biznesowej co najmniej raz w roku.

To także może Cię zainteresować:

Cyberbezpieczeństwo – trend, standard, wyzwanie

Światowe media coraz częściej donoszą o kolejnych, mniej lub bardziej udanych próbach ataków cyberprzestępców. Właśnie dlatego cybersecurity staje się jednym z topowych trendów w branży IT na rok 2021. Obszar ten, choć sam w sobie, nie jest nowinką technologiczną, biorąc pod uwagę mnogość zagrożeń, ewoluuje niesamowicie szybko, wyróżniając się tym samym na tle reszty rynku IT.

0 comments
powrót