Po co komu bezpiecznik?

Potrzeba posiadania w zespole osób odpowiedzialnych za bezpieczeństwo jest coraz bardziej powszechna. RODO, KSC, wymagania sektorowe oraz oczywiście największe incydenty przebijają się do głównych mediów i tym samym zaczynają (powoli) gościć w świadomości „biznesu”. Pojawiają się niekiedy jednak spore uproszczenia w zakresie tego czym powinny się takie osoby zajmować, po co w organizacji tak naprawdę jst bezpiecznik. Albo inaczej mówiąc – gdzie może wnieść największą wartość.

Wydaje się, że najłatwiej niekiedy jest posadzić bezpiecznika przed konsolą i pozwolić by, w niezrozumiały dla nikogo „normalnego” sposób, walczył z hakerami i ratował świat...lub przynajmniej organizację w której chwilowo pracuje.

Zatrudnienie inżynierów bezpieczeństwa by konfigurowali zaporę ogniową, weryfikowali kod źródłowy przed deploymentem na środowisko produkcyjne czy wykonywanie okresowych pentestów ma potężną wartość. Ba – wręcz jest niezbędne. Stanowi jednak tylko ułamek tego, czym, przynajmniej moim zdaniem (ok, i światowych norm typu ISO 27001) powinien się zajmować bezpiecznik. Poniżej zamieszczam garść przykładów zadań, które są IMHO niezbędne, ale nie każdy „inżynier bezpieczeństwa” w przyjemnością do nich zasiądzie. Dobry bezpiecznik w ramach swoich zadań:

• przypilnuje skutecznego uwierzytelniania użytkowników
• zweryfikuje pomysły na jak najłatwiejszą identyfikację użytkowników
• potwierdzi poprawność procedur resetu danych uwierzytelniających
• wymusi stosowanie 2FA
• upewni się, że kopie zapasowe nie zostaną utracone razem danymi postawowymi i potwierdzi, że można z nich odzyskać dane
• przygoruje lub przynajmniej skoordynuje przygotowanie niezbędnej dokumentacji wymaganej przepisami (co najmniej RODO)
• na bieżąco będzie weryfikować czy proces zarządzania zmianą uwzględnia aspekty bezpieczeństwa
• zadba o posiadanie co najmniej podstawowych logów
• dopilnuje bezpieczeństwa środowisk testowych
• zapewni bezpieczeństwo w ramach całego łańcucha biznesowego
• pomoże właścicielom procesów zidnetyfikować miejsca w procesach wymagające dodatkowych zabezpieczeń
• pomoże wyszukać w organizacji osoby posiadającą unikalną wiedzę (typu umiejętność konfiguracji krytycznego systemu) i skoordynuje proces dzielenia się wiedzą
• zapewni stworzenie niezbędnej dokumentacji
• okresowo wykona niezbędne przeglądy
• zdefiniuje zdarzenia (też biznesowe), których wystąpienia powinno generować alarm
• (co najmniej) skoordynuje proces zarządzania incydentami

i wreszcie – stanie się SPOC (single point of contact) dla kwestii bezpieczeństwa zdejmując z kadry zarządzającej konieczność gromadzenia szczegółowej wiedzy w zakresie bezpieczeństwa*.

Może się jeszcze pojawić pytanie dlaczego o tym piszę. Otóż spotykam się czasami z sytuacją, gdy bezpieczeństwem w mniejszych ale i średnich organizacjach zajmuje się jedna, bardzo techniczna osoba. Obszar w którym się specjalizuje faktycznie jest zarządzany należycie, ale inne tematy czasami leżą. A ja przy piwie słucham historii o tym jak to ktoś świetny w swojej dziedzinie zaczyna mieć dość bezpieczeństwa, bo jest zasypywany papierami, których nie lubi i nie czuje. Bezpiecznik się wypala, organizacja łudzi się, że wszystko jest super zorganizowane – wszyscy tracą… A kadrze zarządzającej polecam zapoznanie się z normami bezpieczeństwa i na ich bazie budowanie oczekiwać wobec oficerów bezpieczeństwa.

* Uwaga – nie oznacza to jednak, że uważam, że kadra nie powinna interesować się bezpieczeństwem. Jednak sądzę, że warto zapewnić, by kształcili się przede wszystkim podczas regularnych spotkań z bezpiecznikiem - dyskutując rzeczywiste wyzwania, przed którymi stoi organizacja.