Professional Documents
Culture Documents
Magazyn Is Numer 22
Magazyn Is Numer 22
www.magazyn.mediarecovery.pl
Jak skutecznie
walczyć z malware
Tomasz Pietrzyk
.............................................................................................................................................................
Kradzież informacji, backdoor, Dlaczego systemy bezpieczeństwa Nie bez znaczenia jest również wiara
haktywizm, APT, to wszystko wiele w organizacjach są zawodne? w szeroko pojęty antywirus. Nawet Brian
i zarazem nic nie znaczące slogany, Bezpieczeństwo informacji należy oce- Dye, wiceprezes Symantec – jednej z naj-
które w ostatnim czasie przewijają się niać przez pryzmat ryzyka - nie sposób bardziej znanych firm antywirusowych,
przez wszystkie tytuły gazet. Poczucie jest zabezpieczyć się przed każdym moż- powiedział niedawno, że czas posłać
zagrożenia, które odczuwamy w od- liwym zagrożeniem, bo to kosztowa- tego typu zabezpieczenia na emeryturę.
niesieniu do naszych cennych danych łoby po prostu zbyt dużo. Każdy z nas Z drugiej strony wiemy, że najsłabszym
powoduje, że co rusz zastanawiamy się, odpowiedzialnych za bezpieczeństwo ogniwem naszych systemów bezpieczeń-
czy aby na pewno jesteśmy dobrze za- informatyczne w organizacjach, wie jak stwa są ludzie. Jeśli spojrzymy na staty-
bezpieczeni. trudno jest zbudować uzasadnienie biz- styki lub przeczytamy key studies dużych
nesowe dla czysto hipotetycznego zagro- incydentów, dowiemy się, że w większo-
Z Przemysławem Krejzą, Dyrektorem żenia. Oczywiście w większości zarządów ści przypadków zawiódł człowiek. Można
d/s Badań i Rozwoju Mediarecovery, firm istnieje świadomość, że przysłowio- by powiedzieć, że „w każdym z nas jest
CISSP i EnCE, ekspertem w zakresie we „włamania” są możliwe, jednak na py- hacker” – poprzez swoje zaniedbania,
informatyki śledczej i bezpieczeństwa tanie: „ile mieliśmy takich problemów?” podatność na socjotechnikę, czy zwy-
IT rozmawia Damian Kowalczyk. zwykle pada odpowiedź: „no, jesz- kłą niewiedzę, niejako własnymi rękami
cze nie mieliśmy (prawdopodobnie)”. otwieramy drzwi, którymi wchodzi ata-
2 NR 21 | LIPIEC 2014
kujący. Oczywiście możemy zwiększyć spójnego zespołu. Zadaniem SOC jest systemu dane muszą być na tyle pre-
ilość systemów bezpieczeństwa dostarczenie dla każdej z ról peł- cyzyjne aby zespół reagowania czy też
i lepiej wyszkolić pracowni- nego ale, tylko niezbędne- informatyki śledczej mógł dotrzeć do
ków. Nie to jest jednak SOC go poziomu informacji. źródła problemu. Tu zwykły SIEM, ope-
zasadniczą przyczyną to koncepcja or- Najważniejszy jest tu rujący głównie na metadanych, z reguły
zawodności syste- ganizacji samouczącej manager SOC, który przestaje być wystarczający. Im więcej
mów bezpieczeń- się, w której poszczególne ma pełną świado- informacji jest dostępnych bezpośred-
stwa. Prawdziwy
problem tkwi głę-
komponenty systemu bez- mość problemów
na podstawie sta-
nio, tym reakcja będzie skuteczniejsza.
Zespół reagowania może potrzebować
biej – brak centra-
pieczeństwa – antywirus, tusów systemów, dostępu do wszystkich warstw ruchu sie-
lizacji zarządzania IDS/IPS, firewall, itd. – do- stanu zarządza- ciowego, pamięci stacji roboczych, itd.
bezpieczeństwem starczają informacji do nia incydentami Oczywiście wszystko zgodnie z zasadami
nie daje właściwego centralnego systemu i wiedzy o obcią- informatyki śledczej – a więc, z możliwo-
poglądu sytuacyjnego zarządzania. żeniach zespołów. ścią przedstawienia dowodów w sądzie.
na istniejące zagrożenia. Priorytet zarządzania
Za całość bezpieczeństwa zależny jest od wartości Brzmi to na skomplikowany
informacji zwykle odpowiada kil- biznesowej, zasobów objętych i kosztowny proces…
ka zespołów, które często nawet nie konkretnymi zdarzeniami, a uporząd- Decyzja o centralizacji bezpieczeństwa
wiedzą o swoich problemach. IT „widzi kowany mechanizm komunikacji w centrum operacyjnym nie jest łatwa.
swoje”, sieciowcy „swoje”, ryzyko „swo- z IT czy z osobami odpowiedzialnymi Model, o którym powiedziałem wcze-
je”, itd. Brak jest jednego spojrzenia na za sieć informatyczną, pozwala mene- śniej, wymaga pewnych zmian organi-
nasze aktywa. To właśnie jest najsłab- dżerowi na koordynowanie ich działań. zacyjnych, a przede wszystkim ewolucji
szy punkt systemów bezpieczeństwa. SOC jest więc nie tylko rozwiązaniem modelu myślenia. Jednak odpowiednie
technicznym, ale i organizacyjnym. zaplanowanie tego procesu pozwala na
Co możemy zrobić w takiej sytu- Punkt ciężkości SOC odnosi się do de- przeprowadzanie zmiany stopniowo,
acji? cyzji w zakresie reakcji. Dostarczane do z wykorzystaniem dostępnego zespołu
To co możemy zrobić to lepiej wykorzy-
stywać to, czym dysponujemy poprzez
zbudowanie świadomości sytuacyjnej
stanu bezpieczeństwa w naszej organiza-
cji. Koncepcja Security Operations Cen-
ter, w uproszczeniu, sprowadza się do
powiązania ze sobą różnych systemów
w celu „zbudowania wiedzy”. Agrego-
wanie dostępnych informacji w jednym
miejscu i ich korelacja pozwala odnaleźć
szereg problemów związanych z bezpie-
czeństwem, które do tej pory były niezau-
ważalne. Powiązanie ruchu sieciowego
z tym co dzieje się na stacji roboczej może
np. ujawnić szkodliwe oprogramowanie,
które ukrywa się w naszym systemie.
.............................................................................................................................................................
4 NR 21 | LIPIEC 2014
Czy możemy się ustrzec
przed zaawansowanym APT?
Grzegorz Mucha
W miarę rozwoju technik ataków i środ- utrudnień. Nie można też zapomnieć celem działań w zakresie bezpieczeństwa
ków na nie przeznaczanych, a niejedno- o współpracujących z nami firmach czy jest ochrona wartości biznesowych or-
krotnie również wsparcia służb wrogich konsultantach zewnętrznych, wobec któ- ganizacji, a nie zapobieganie włamaniu
państw, musimy się zacząć przyzwycza- rych, co do zasady, kontrola jest ograni- samemu w sobie. Najlepszym sposobem
jać do myśli, że nasza z trudem budo- czona. Często okazuje się, że choć obca zapobiegania stratom biznesowym jest
wana ochrona nie gwarantuje pełnego obecność zostaje w końcu wykryta, pro- szybka identyfikacja oraz reakcja na atak.
bezpieczeństwa. Co więcej, głównym blemem jest czas, jaki upłynął od ataku Aby to osiągnąć organizacje powinny
mottem współczesnych przestępców jest do wykrycia, zrozumienie w jaki sposób przenieść część środków na inwestycję
„powoli, cierpliwie, po cichu”. W więk- przestępca przeniknął systemy obrony w inteligentne systemy rozszerzające
szości przypadków możemy się spodzie- (i jak może to zrobić ponownie), określe- możliwości wykrywania i odpowiedzi
wać, że wroga obecność zostanie odkry- nie jakie szkody spowodował, i wreszcie na skomplikowane ataki. Systemy takie
ta po tygodniach czy nawet miesiącach brak jest możliwości szybkiej oraz skutecz- muszą umożliwić pełny wgląd w środo-
od wejścia do systemu IT. Dlaczego? nej reakcji. Celem takiej reakcji powinno wisko IT oraz wykorzystywać zewnętrz-
być nie tylko powstrzymanie wykrytej ne źródła informacji o zagrożeniach.
Środowiska informatyczne stają się co- obecności, ale minimalizacja strat biz-
raz bardziej złożone i coraz trudniejsze nesowych, reewaluacja ryzyka i wdroże- SOC i Intelligence-driven Security
do spójnego monitorowania, a zarzą- nie odpowiednich działań naprawczych. Grupa Security for Business Innovation
dzaniem nimi zajmuje się coraz większa Council, zrzeszająca osoby zarządzające
liczba osób. Występujące nierzadko we- W wielu organizacjach alokacja środ- bezpieczeństwem w największych fir-
wnętrzne animozje pomiędzy tymi gru- ków skupiona jest na obszarze prewen- mach, zaproponowała nowe podejście
pami (związane np. z konkurowaniem cji co wpływa na zmniejszenie budże- do ochrony krytycznych informacji i za-
o ten sam budżet) nie ułatwiają komu- tów operacyjnych przeznaczonych na sobów biznesowych, nazwane „intelli-
nikacji i tworzą precedensy utrudniania bezpieczeństwo. W efekcie rośnie ilość gence-driven security”. Główną tezą jest
czy opóźniania dostępu do informacji. systemów do zarządzania, zaś obsługą ograniczenie polegania na systemach
Kolejny powód to coraz większe wyma- zdarzeń bezpieczeństwa zajmują się ad- statycznej ochrony i rozwiązaniach ba-
gania samych użytkowników – mobil- ministratorzy, których podstawowym zujących na sygnaturach, potrafią iden-
ność, dostęp z każdego miejsca i każdego zadaniem jest utrzymanie tychże syste- tyfikować typy ataków, które wydarzyły
urządzenia, a równocześnie minimum mów. Najwyższy czas uznać, że głównym się już w przeszłości. Zamiast tego należy
............................................................................................................................................................
magazyn.mediarecovery.pl
6 NR 21 | LIPIEC 2014
nelowi CIRC jedno spójne repozytorium serwery i stacje koń- Żeby działania techniki praktycznie
informacji i centralny punkt zarządzania. cowe użytkowników. zespołu SOC były uniemożliwiają mal-
Integracja rozwiązań pozwala na zbudo-
wanie skutecznego przepływu danych
Systemy antywiru-
sowe oraz hostowe
skuteczne, za jego stwo- przez ECAT-em.
ware’owi ukrycie się
i sterowania pracą, a co za tym idzie wpły- IPS-y, które wciąż rzeniem musi iść wsparcie Zamiast polegać
wa na przyspieszenie obsługi incyden- bazują głównie na poziomie zarządu na pojedynczych
tów i zmniejszenie czasu ich zamknięcia. na sygnaturach, technologiach or-
coraz trudniej firmy, oraz dobrze ganizacje powinny
Codziennie do CIRC trafiają setki alar- wykrywają współ- zdefiniowane i opisane realokować część
mów. Zanim alarm zostanie przesłany czesny malware i są budżetu na stwo-
analitykowi do dalszego śledztwa, jest zupełnie nieskuteczne
procesy. rzenie SOC-a oparte-
automatycznie korelowany z zesta- wobec ataków celowanych go na takich rozwiąza-
wem danych związanych z incydentem. typu APT. Z tego powodu EMC niach, które umożliwią szybką
W celu integracji danych kontekstowych CIRC wdrożyło rozwiązanie ECAT (En- i pełną analizę zdarzeń, z wyko-
i zewnętrznych informacji w procesie wy- terprise Compromise Assessment Tool) rzystaniem co najmniej informacji
krywania oraz odpowiedzi na incydent jako dodatkowe narzędzie analizy, wyko- z logów, pełnego ruchu sieciowego
zostało specjalnie opracowanych kilka rzystywane do sprawdzania końcówek, oraz stacji użytkowników, a także in-
procesów i technologii. Jedną z nich jest co do których istnieje podejrzenie zara- formacji wewnętrznych i zewnętrz-
m.in. system wskazywania na zagrożenie żenia lub innego rodzaju wrogiej obecno- nych wzbogacających kontekst zdarzeń
w oparciu o informacje z wewnętrznych ści – na co może wskazywać np. analiza i dających odniesienie do wartości biz-
i zewnętrznych źródeł, informacji od ruchu sieciowego z takiego komputera. nesowej chronionych zasobów. Tech-
partnerów i własnego zespołu Fir- nologie nie mogą żyć w oderwaniu od
stWatch. Wskaźniki zagrożeń (IOC – Rozwiązanie wykorzystuje wiele technik ludzi – SOC powinien być obsługiwany
Indicators of Compromise) obejmują analizy komputera i wykrywa anomalie przez zespół stale podnoszących swoje
szeroki zakres informacji, od podejrza- typowe dla zarażeń złośliwym oprogra- kwalifikacje fachowców, którzy nie mają
nych adresów IP i wrogich domen, do mowaniem, takich jak hooking, mody- w swoich obowiązkach zajmowania się
charakterystyk komunikacji, takich jak fikacje jądra systemu, modyfikacje uru- codziennym utrzymaniem systemów.
specyficzne nagłówki maili. Wskaźniki są chomionych procesów w pamięci, zmiany
klasyfikowane względem poziomu waż- w rejestrach, ukrywanie komunikacji, Ponadto żeby działania zespołu SOC były
ności (severity) i automatycznie przeka- itp. ECAT pozwala również błyskawicz- skuteczne, za jego stworzeniem musi iść
zywane do Security Analytics jako tzw. nie porównać stan systemu z czystym wsparcie na poziomie zarządu firmy, oraz
feed, który pozwala na wygenerowanie systemem wzorcowym i wykryć wszelkie dobrze zdefiniowane i opisane procesy.
dodatkowych metadanych. Na przykład odstępstwa. Analizę może przyspieszyć Nie chodzi o wielkość organizacji, tylko
znana z ataków APT domena wygeneruje identyfikacja „dobrego” oprogramowa- o zasadę. Dokładnie te same potrzeby
metadaną o wartości „Severity 1” dla każ- nia dzięki wykorzystaniu list znanych mają nasze rodzime firmy, dokładnie te
dej aktywności, w której pojawi się ta do- programów np. od Bit9. Na koniec ana- same idee i te same technologie mają
mena. Alarmy oparte o nią są przesyłane lizy ECAT produkuje wynik (MSL – Ma- zastosowanie dla lokalnych SOC-ów.
do konsoli Archera, gdzie mogą utworzyć chine Suspect Level), który wskazuje na
lub uzupełnić incydent. Zanim jednak prawdopodobieństwo, że stacja została Nikt nie mówi, że nie należy monitorować
alarm dotrze do analityka, z centralnej skutecznie zaatakowana lub zarażona. Co mniejszej infrastruktury, ani że SOC nie
bazy CIRC dołączane są do opisu sesji do- więcej, dzięki zbieraniu wyników skanów może na początek zatrudniać kilka osób.
datkowe elementy, pomagające anality- do wspólnej bazy, analityk który zidenty- W końcu od ilości dużo ważniejsza jest sku-
kowi zobaczyć pełen kontekst zdarzenia. fikuje podejrzany proces na komputerze teczność tych osób, a to można osiągnąć
może natychmiast sprawdzić, na jakich dzięki zaleceniom opisanym powyżej.
Automatyczna analiza końcówek innych komputerach ten proces był uru-
Wspomnieliśmy o logach i analizie ru- chomiony. Analiza jest wykonywana na Autor jest Senior Systems Engineerem
chu sieciowego, ale nie sposób pominąć bardzo niskim poziomie, a zastosowane w RSA, the Security Division of EMC.
Nie ma
Biorąc pod uwagę ciągle rosnącą licz- W praktyce to wła- aktualnie żadnego fekowanych komputerów
bę zaawansowanych zagrożeń z jakimi śnie czynności pod- działu gospodarki lub i nie pozwalanie na
firmy muszą się mierzyć każdego dnia, jęte po stwierdzeniu dalsze rozprzestrze-
a szczególnie jeśli uwzględnimy ich za- włamania decydują firmy, które nie byłyby nianie się ataku i nie-
awansowany poziom techniczny i na- o tym jak dobrze or- zagrożone przez za- kontrolowanej działal-
stawienie na uzyskanie określonych – ganizacja jest przy- ności cyberprzestępcy
głównie finansowych – celów, konieczna gotowana na atak awansowane w naszej sieci.
jest zmiana podejścia firm do obsługi i jak dobrze potrafi zmi- ataki.
incydentów bezpieczeństwa. Obraz za- nimalizować jego wpływ. 3. Analiza ata-
grożeń wskazuje, że praktycznie nie ma ku (ang. forensic)
aktualnie żadnego działu gospodarki lub W przypadku obsługi incydentu – próba odpowiedzenia na pytania jak
firmy, które nie byłyby zagrożone przez bezpieczeństwa (ataku) możemy wska- przebiegał atak (jakie narzędzia i wekto-
zaawansowane ataki, przechodzące zać podstawowe fazy wymagane do wła- ry ataku były użyte), jakie były jego cele
w niezauważony sposób przez najczę- ściwego postępowania w takiej sytuacji: i skutki, skąd był prowadzony. Na tym
ściej stosowane klasyczne zabezpiecze- etapie są też zwykle gromadzone dowo-
nia (IPS, firewall, gateway’e). 1. Wykrycie ataku (ang. detec- dy, które mogą pomóc w przeprowadze-
Zaawansowane ataki mogą wiązać się tion) – bezpośrednie (np. alert niu formalnego postępowania przeciwko
ze zdalną kontrolą nad stacjami w sieci, z naszych systemów ochrony) lub cyberprzestępcy. Jest to zwykle najbar-
a trudno sobie wyobrazić większe ryzyko pośrednie w postaci powiadomie- dziej czasochłonny i kosztowny etap ob-
niż sytuacja, w której nieautoryzowa- nia ze źródeł zewnętrznych (np. sługi incydentu.
na osoba z zewnątrz może potencjalnie z CERT) o wykryciu połączenia z naszej
wykonywać w naszej sieci dowolne dzia- sieci do serwerów powiązanych z atakami. 4. Usprawnienie procedur i za-
łania, a my nie jesteśmy ich świadomi bezpieczeń (ang. improvement)
i nie możemy ich kontrolować. Zagroże- 2. Zminimalizowanie skutków ata- – wnioski z analizy ataku powinny być
nie posiadania zdalnej kontroli nad na- ku (ang. incident response) – w ide- zgromadzone i przeniesione na zmiany
szymi zasobami tym bardziej powinno alnym przypadku „minimalizacja” ozna- w obowiązujących procedurach, konfi-
utwierdzać nas w przekonaniu, że sam cza niedopuszczenie do skutecznego guracji i budowie systemów bezpieczeń-
fakt wykrycia ataku nie jest wystarcza- wykonania ataku (zablokowanie ataku). stwa celem lepszego przygotowania się
jący do zamknięcia obsługi „zdarzenia”. Co najmniej oznacza to izolowanie zain- do podobnych zdarzeń w przyszłości.
............................................................................................................................................................
8 NR 21 | LIPIEC 2014
Cały proces jest realizowany i nadzoro- firmy, która nie byłaby narażona na za- bezsygnaturowe systemy wykrywania
wany przez dział IT, a w coraz większej awansowane ataki. Przygotowanie do od- zaawansowanych ataków w sieci i kore-
ilości organizacji przez wyspecjalizowa- parcia ataku nie może ograniczać się tyl- lowania danych między różnymi wekto-
ną komórkę, czyli SOC (Security Ope- ko do wdrożenia najnowocześniejszych rami ataku, rozwiązania detekcji ataków
ration Center). Tutaj trafiają informacje systemów wykrywania. Równie ważne są na bazie logów z różnych systemów IT,
z systemów bezpieczeństwa i stąd są możliwości ograniczenia wpływu ataku, są uzupełnione rozwiązaniami działa-
inicjowane kolejne kroki obsługi incy- a także analiza przebiegu ataku dla zro- jącymi na komputerach oraz pomiędzy
dentu. Sam SOC jest to więc zbiór na- zumienia jego skali, celów, zastosowa- systemami do analizy przebiegu ataku.
rzędzi, specjalistów ds. bezpieczeństwa, nych technik i narzędzi. Właściwa ob- Uzupełnieniem oferty wielu dostaw-
procedur, ale i wiedzy o atakach, któ- sługa procesu reakcji na atak wiąże się ców, w tym również FireEye są usługi,
re opisują postępowanie w razie wy- z oddelegowaniem tej obsługi do wyspe- które Klienci wykorzystują w procesie
stąpienia incydentu bezpieczeństwa. cjalizowanych zespołów IT – w szczególno- budowy SOC, w obsłudze szczególnie
Wykrycie ataku to dopiero początek cyklu ści SOC. Integrowanie produktów między ważnych i skomplikowanych incyden-
jego obsługi. Zaawansowane technicznie sobą, ale także ułatwienia w łączeniu ich tów bezpieczeństwa (usługi incydent
zagrożenia, nastawione na ukryte działa- z produktami innych producentów ma response, forensic) jak również szko-
nie, z jakimi współcześnie mają do czy- szczególne znaczenie w budowie centrów leń dla specjalistów zajmujących się
nienia organizacje, wymagają stosowania SOC, które z założenia muszą bazować obsługą incydentów bezpieczeństwa.
odpowiednich metod przeciwdziałania. na rozwiązaniach różnych dostawców.
Organizacje muszą być przygotowane Jedną z firm, która konsekwentnie roz- Autor jest inżynierem systemowym
na obsługę incydentów bezpieczeństwa wija swoje rozwiązania pod kątem za- w firmie FireEye. Od ponad 10 lat rozwi-
o różnej skali, ryzyku i poziomie zagro- pewnienia wsparcia dla Klientów na ja swoje doświadczenie i pasje, które są
żenia wnoszonym do prowadzonej dzia- każdym etapie obsługi incydentów bez- związane z dziedzinami bezpieczeństwa
łalności. Praktycznie nie ma aktualnie pieczeństwa jest FireEye. Innowacyjne, IT.
Budując SOC czyli Security Operation przydatnych informacji, których analiza rządzania w sytuacjach kryzysowych,
Center, tworzymy miejsce, w którym bez specjalistycznych narzędzi jest prak- zgodnie z określonymi procedurami.
bezpieczeństwo IT, informatyka śledcza, tycznie niemożliwa. Bez wiedzy o stanie Możliwość korelacji czyli szukania za-
a także procedury i ludzie współgrają ze tych właśnie urządzeń nie ma mowy leżności pomiędzy nimi daje działom
sobą. Wymieniają się danymi pozyskiwa- o żadnym poziomie bezpieczeństwa. bezpieczeństwa a także pracownikom
nymi z wielu źródeł. Budują przejrzystość SIEM czyli Security Information and SOC niespotykany dotąd poziom wiedzy.
organizacji pozwalając zidentyfikować Event Management będzie jednym z klu- Korelacja danych jest podstawowym
najbardziej podatne miejsca i zabezpie- czowych rozwiązań pod kątem pozyskiwa- składnikiem monitoringu i analizy ze-
czyć je. SOC to miejsce, w którym dzięki nia informacji i monitorowania urządzeń. branych danych prowadzonych przez
synergii wielu rozwiązań oraz wymia- Przyjrzyjmy się bliżej temu roz- analityków pracujących w Security Ope-
nie informacji pomiędzy nimi można wiązaniu i możliwością jakie daje. rations Center (SOC). Działalność ta
osiągnąć to o czym mówimy od dawna nie jest ograniczona jedynie do działań
czyli wyższy poziom bezpieczeństwa. Warstwa technologiczna rozwiązań kla- związanych z wcześniejszymi powiado-
Jednym z elementów SOC jest koniecz- sy SIEM pozwala na centralne zarzą- mieniami alarmowymi, odpowiedziami
ność monitorowania i dostarczania infor- dzanie logami generowanymi z wielu w czasie rzeczywistym czy przygotowy-
macji z wielu urządzeń. Infrastruktura IT urządzeń w jednym czasie oraz ich ar- waniem raportów. Obejmuje również
w dzisiejszych organizacjach jest mocno chiwizację. W tym celu wszystkie infor- wdrażanie zasad, procedur i rozwiązań,
skomplikowana. Stosujemy wiele urzą- macje generowane przez urządzenia są identyfikację, ocenę oraz sugestię środ-
dzeń sieciowych nierzadko pochodzą- przesyłane, gromadzone i scentralizo- ków uznanych za konieczne i pilne. To
cych od różnych producentów, serwery, wane. Ponadto silnik SIEM przechowu- jest wartość dodana działalności, gdy jest
macierze, komputery PC oraz laptopy, ta- je informacje i udostępnia je Zespołowi prowadzone przez wysoko wykwalifiko-
blety czy też urządzenia mobilne takie jak Bezpieczeństwa w celu analizy, mapo- wanych analityków, którzy są odpowie-
smartfony. Każde z nich generuje tysiące wania oraz generowania raportów i za- dzialni za przygotowania i zarządzania
10 NR 21 | LIPIEC 2014
Bezpieczna jakość
Michał Gluska, Przemysław Szczurek
We współczesnym otoczeniu gospodar- a w konsekwencji na niezrozumienie kurencyjny? Itd. Dlatego też to infor-
czym firmy i organizacje dążą do sta- i niepełne wykorzystanie tego narzędzia, macja ma kluczowe znaczenie w nowo-
bilizacji, której wymiernym celem jest przez organizacje je stosujące. Niezrozu- czesnych przedsiębiorstwach. Naturalną
osiąganie trwałych sukcesów operacyj- mienie istoty normy ISO 9001 przez wie- rzeczą jest więc jej ochrona. Na pyta-
no – biznesowych. Jego osiągnięcie jest lu ją stosujących zagnało standard w kąt nie czy chronimy informacje większość
możliwe poprzez skuteczne zarządzanie i zepchnęło do roli narzędzia marketingo- z nas odpowiada że tak. Potrafimy powie-
organizacją – zarówno w ujęciu relacji wego, umniejszając tym samym jej pod- dzieć jak ją chronimy i dlaczego. Mimo
z klientem, jak i ochrony własnych inte- stawowy cel – prewencję w zarządzaniu. to ciągle słyszymy o nowych incydentach
resów, które stanowią podstawę dla bu- Pomimo popełnienia takiego błędu przez bezpieczeństwa informacji. Dzieje się tak
dowania efektywnego zoriento- liczne jednostki stosujące standard ISO z kilku powodów. Po pierwsze nie ma za-
wania na rynek i odbiorcę. 9001, ten nadal się broni. Dał bezpieczeń które w 100% uchronią nasze
Słuszną wydaje się więc Systemy bowiem w swoim zarysie po- informacje. Wdrażając zabezpieczenia
kompilacja dwóch czątek normie ISO 27001. minimalizujemy ryzyko wystąpienia in-
popularnych, ale
zarządzane są Jej twórcy, wykorzystu- cydentu. Po drugie większość informacji
przede wszystkim przez ludzi, a to wła- jąc umiejętnie podej- występuje w wersji elektronicznej. Roz-
wiarygodnych na- ście procesowe oparte wój technologii z jednej strony ułatwia
rzędzi zarządzania, śnie czynnik ludzki jest o cykl PDCA, rozpro- nam wdrażanie nowych zabezpieczeń,
którymi są mecha- najsłabszym ogniwem pagowane w ramach z drugiej stwarza nowe możliwo-
nizmy norm ISO zarządzania jakością ści wycieku informacji. Po trzecie
9001 i ISO 27001. w bezpieczeństwie zrozumieli, iż nacisk na i najważniejsze – systemy zarządza-
Przed prawie 30 laty informacji. orientację względem klien- ne są przez ludzi, a to właśnie czyn-
na rynkach ogólno- ta zewnętrznego nie jest je- nik ludzki jest najsłabszym ogniwem
światowych pojawiło się dynym gwarantem stabilności w bezpieczeństwie informacji.
narzędzie, jakim jest norma i jakości. Równie ważne jest zacho- Wróćmy jednak do tematu integra-
ISO 9001. Wydawało się, że oto znale- wanie bezpieczeństwa informacji, da- cji systemów. Podstawową korzyścią
ziono sposób na uporządkowanie zagad- nych, wiedzy i organizacyjnego know- takiej hybrydy jest wytwarzanie pro-
nienia, jakim jest zapewnienie jakości. -how, szczególnie w czasach, gdy duktów odpowiedniej jakości przy
Norma ta bowiem zdefiniowała jej ramy, konkurowanie jakością wyrobu czy jednoczesnym zabezpieczeniu wszel-
a w latach kolejnych dokonała ich upo- usługi, nie stanowi jedynego oczekiwa- kich istotnych z punktu widzenia or-
rządkowania, osadzenia w ramach przy- nego modelu operacyjnego. Naturalnym ganizacji informacji przetwarzanych
czynowo – skutkowych, wreszcie odnie- w epoce, w której konkurencja opiera się w firmie. Integracja systemów pozwala
sienia do priorytetowej kwestii, którą na kapitale ludzkim, wydaje się zatem stworzyć wspólną dokumentację sys-
jest spełnianie niezbędnych wymagań. być wzmocnienie jakości poprzez zarzą- temową oraz zmniejszyć czas i koszty
dzanie bezpieczeństwem informacji. związane z certyfikacją. Bezpieczeństwo
Cały czas ten zbiór wymagań cha- informacji oparte jest na analizie ryzyka.
rakteryzuje się uniwersalizmem, po- Obecnie na rynku można zauważyć Prawidłowe jej przeprowadzenie pozwala
wszechną akceptacją, jak również duże zainteresowanie normą ISO 27001 zdiagnozować słabe ogniwa i prawidłowo
elastycznością. Między innymi z tego po- i bezpieczeństwem informacji. Co wię- je zabezpieczyć. Oczywiście nie wszystkie
wodu użytkownicy normy ISO 9001 urośli cej organizacje posiadające dotychczas zabezpieczenia wymienione w załączniku
w siłę, która przekłada się na liczbę cer- ISO 9001 decydują się na kolejny system A normy trzeba wdrożyć. Dzięki analizie
tyfikowanych na całym świecie systemów i integrują obie normy ze sobą. Postawie- ryzyka możemy przyjąć pewne ryzyka
zarządzania jakością (ponad 1,3 miliona nie na jakość wytwarzanych produktów jako akceptowalne. Dotyczy to sytuacji
wydanych certyfikatów). Jednakże wy- jest słusznym kierunkiem. Najważniej- kiedy koszt wdrożenia zabezpieczenia
pracowanie wspólnego języka wartości sza w procesie wytwarzania jest wiedza. jest większy niż zakładana przez nas stra-
i jakości okazało się sprawą o tyle trud- Jak to zrobić? Gdzie kupić materiały? ta związana z utratą poufności integral-
ną, że skala stosowania wymagań normy Jak korzystać z narzędzi? Jak sprze- ności lub dostępności informacji. Co jest
jakościowej naraziła jej treści na nadin- dać wytworzone produkty i komu? Jak najbardziej istotne nie dotyczy to kwestii
terpretacje lub niedointerpretowanie, ulepszyć produkt, aby był bardziej kon- prawnych. Są one chyba najsilniejszym
Redakcja i Wydawca nie zwracają tekstów nie zamówionych. Redakcja zastrzega sobie prawo redagowania
i skracania tekstów. Redakcja nie odpowiada za treść zamieszczanych ogłoszeń.
12 NR 21 | LIPIEC 2014