Business Continuity - co to jest?
Czym jest Business Continuity (BC - ciągłość biznesowa)? Co trzeba zrobić, żeby trybiki naszej maszyny w razie awarii mogły szybko znowu ruszyć do pracy?
I w tym pytaniu jest już pewna odpowiedź. BC to pewien plan działań, które mówią nam co robić, kiedy awaria się przydarzy. Mamy tu więc opracowane pewne scenariusze działań dla określonych sytuacji, zdarzeń które podpowiadają nam jak reagować na niespodzianki (awarie, przestoje, niespodziewane zdarzenia, itp.).
Co w tych planach jest istotne? Można wymienić kilka punktów, które przybliżą nam charakter BC:
- plan zachowania ciągłości nie dotyczy całości firmy; trudno przecież opracować działania awaryjne dla każdej jednostki, dla każdej aktywności naszej firmy; podstawową rzeczą (i zarazem zaletą przygotowania BC w firmie) jest wskazanie naszych produktów/usług/procesów kluczowych, i opracować takie procesy działania awaryjnego tylko dla nich
- działania awaryjne opracowujemy na podstawie dotychczasowej naszej działalności (czyli bierzemy pod uwagę co się działo w firmie do tej pory) oraz z uwzględnieniem warunków zewnętrznych; jednym słowem - analizujemy i bierzemy pod uwagę kontekst zewnętrzny i wewnętrzny naszej firmy
- nasze plany aktualizujemy; nie powinno być tak, że plan opracujemy, zatwierdzimy i odłożymy na półkę; 'półkowniki' nie działają, one leżą...
. Plan powinien być na bieżąco analizowany i aktualizowany. Z planem powinna być też zaznajomiona cała firma, a nie tylko osoba go przygotowująca.
To takie moje główne wskazania, co oznacza BC, i jak się zabrać za przygotowanie planu ciągłości biznesowej. Polecam moje krótkie rozwinięcie o BCM w krótkiej prezentacji.
Wiosna 2021 - raporty dot. cyberbezpieczeństwa
Na wiosnę obrodziły nam raporty o bezpieczeństwie, nie tylko krokusy na łąkach . Wybrałem trzy ciekawe zestawienia - xopero, CERT Orange, NIK. Informacje dotyczą podsumowań roku 2020, a więc będą w nich zawarte informacje o tym, jak wyglądało nasze cyberbezpieczeństwo w czasie realnego zagrożenia (COVID-19).
Pierwsze z nich to raport o bezpieczeństwie od firmy xopero. Firma jest znanym dostawcą rozwiązań do backupu i odzyskiwania danych, ich produktu są znane i cenione na rynku. Raport wzorem poprzednich lat jest podzielony na działy (cyber threats, internet of things, cloud computing, machine learning, backup i DR, security gaps). Solidna, doroczna porcja wiedzy specjalisty od bezpieczeństwa danych.
Druga propozycja to również doroczny raport CERT Orange. Organizacja jest aktywnym centrum monitorowania bezpieczeństwa w sieci, ich raporty to również solidna porcja wiedzy o naszym cyberbezpieczeństwie.
Trzecia propozycja to dokument przygotowany przez Najwyższą Izbę Kontroli (NIK). Dokument powstał w ramach prac Europejskiego Trybunału Obrachunkowego we współpracy z organami kontrolnymi 12 państw członkowski EU. Przedstawiono tu wyniki wybranych kontroli za lata 2014-2020 dotyczących istotnych aspektów cyberbezpieczeństwa (ochrona danych, integralność krajowych ośrodków przetwarzania danych, wdrażania krajowych stretegii w zakresie cyberbezpieczeństwa). Zapraszam na stronę NIK, jest tam nie tylko szersza informacja o tym raporcie, ale również dokumenty do pobrania (rzeczony raport NIK, pełne kompendium trybunału oraz materiały z poprzednich lat).
Konsultacje dyrektywy NIS
Oj, gorąca jesień przed nami. Na mojej zakładce COMPLIANCE/RODO pisałem o konsultacjach związanych z RODO prowadzonych przez EDPB. Natomiast jeszcze w czasie wakacji (w lipcu) komisja europejska uruchomiła podobny proces dla dyrektywy NIS.
Komisja uznała, że w związku ze zmieniającym się otoczeniem aktualizacja dla tej regulacji jest jak najbardziej wymagana -). Dokument powinien obejmować aktualne zagrożenia i trendy obejmujące cyberryzyko i odpowiadać na aktualne działania, jakie są prowadzone w cyberprzestrzeni. Komisja dostrzega również obszary, gdzie dotychczasowa dyrektywa jest niewystarczająca lub stoi w konflikcie z innymi regulacjami. Zaproszenie obowiązuje do dn. 2 października, a przyjęcie ostatecznego kształtu regulacji przewidywane jest na IV kwartał tego roku.
Więcej o zmianie dokumentu pisze NASK.
Praca zdalna - poradniki
Kto może pracuje dziś zdalnie. Stworzenie własnego home office wcale nie jest prostą sprawą. Trzeba jednak (o ile nie ma się własnego gabinetu przeznaczonego tylko do pracy) przeorganizować swoje domowe rytuały, miejsca, zapewnić wszystkim domownikom czas i miejsce zarówno na pracę, jak i na odpoczynek.
No i do tego dochodzi nam technologia. O ile nie jest się osobą obeznaną z pewnymi procedurami, podstawowymi zasadami zachowania bezpieczeństwa w pracy zdalnej, nie dostało się sprzętu i jasnych wytycznych od swojego pracodawcy, to nagłe przestawienie się na taki tryb pracy może być trudne.
Z pomocą przychodzą nam różne poradniki wskazujące jak stworzyć bezpieczne środowisko pracy. Oto mój subiektywny wybór kilku z takich dokumentów:
1) najbardziej obszerny z polecanych tu dokumentów, ale jednocześnie najpełniej opisujący zasady stworzenia i utrzymania bezpiecznego środowiska pracy; są to wskazówki amerykańskiej agencji NIST (National Institute of Standards and Technology) zajmującej się standardami bezpieczeństwa IT - NIST Recommendations For IoT Device Manufacturers
2) znacznie krótszy, na pewno przystępniejszy dokument SANS Institute, organizacji zajmującej się propagowaniem wiedzy o bezpieczeństwie IT - SANS Institute - Security Working at Home
3) dokument brytyjskiego organu standaryzacyjnego 'bsi' - jedna strona podstawowych zasad pracy zdalnej, jakie bsi proponuje swoim konsultantom (oczywiście do zastosowania przez każdego) - tutaj
Proponuję zajrzeć też na stronę kaspersky daily, gdzie znajdziemy prosto opisane porady dotyczące pracy zdalnej.
I coś z naszego krajowego podwórka:
1) przystępny, dobrze opisany poradnik firmy Engave, zajmującej się usłagami IT (w tym zapewnieniem bezpieczeństwa) - tutaj
2) porady UODO skierowane do osób związanych ze zdalnym nauczaniem, ale dotyczy również pracy zdalnej; tutaj dokument, na który się UODO powołuje - Guide for Individuals Working Remotely
I coś szerszego, czyli nie tylko praca zdalna. To dokument proponowany przez Instytut Kościuszki zajmujący się promowaniem cyberbezpieczeństwa. Jest to poradnik skierowany do sektora MSP wskazujący jak można wdrożyć (lub jak zastosować elementy) standardu bezpieczeństwa informacj ISO 27001. Nie jest to oczywiście podręcznik wdrożenia standardu, bardziej wskazanie kilku zasad, jakie standard wskazuje jako wymagania do zachowania bezpieczeństwa informacyjnego w firmie - tutaj.
Nowe standardy bezpieczeństwa
W sieci pojawiło się ostatnio wiele informacji o nowym standardzie bezpieczeństwa informacji. Wygląda na to, że coraz szerzej do świadomości specjalistów dochodzi wiedza o pracach ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa). Chodzi oczywiście o ‘Akt o cyberbezpieczeństwie’ będący drugą (po dyrektywie NIS) europejską regulacją dot. bezpieczeństwa urządzeń i technologii ICT (Information and Communication Technologies). Dokument wszedł w życie 7 czerwca 2019 roku, pierwsze efekty prac w formie publikacji ENISA pojawiają się właśnie teraz w sieci. Więcej informacji o tym akcie i dyrektywie NIS podanych jest na stronie NASK.
Na wielu forach rozgorzała dyskusja, czy nowy standard jest nam potrzebny. Przyśpieszenie technologiczne przybiera na sile, wykorzystanie nowych technologii (big data, cloud computing, itp.) jest coraz częstsze. Szacuje się, że za chwilę przeciętne gospodarstwo domowe będzie miało 500 urządzeń zdolnych do komunikacji w sieci. Moim zdaniem standaryzacja jest procesem, który pozwoli nam (i producentom, i konsumentom) ocenić stan bezpieczeństwa nowych urządzeń i rozwiązań, i jak najbardziej może być przydatny. Jak zwykle powstaje pytanie – a jak to wdrożymy? To się dopiero okaże.
A w kontekście analizy ryzyka – czy taka (nowa) standaryzacja jest szansą czy zagrożeniem? Polecam przykład standardu TISAX. Standard oparty o ISO 27001, wykorzystywany w branży automotiv. W roku 2016 grupa (przede wszystkim niemieckich) producentów ustaliła swój branżowy standard bezpieczeństwa i zapowiedziała, że od 2018 roku nikt z kooperantów nie mających wdrożonego tego systemu nie będzie mógł być dostawcą dla tejże grupy producentów. Czy wszyscy zdążyli się przygotować?
Więcej o publikacjach ENISA – tutaj
Audyt dla KSC
Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.
Dokument niniejszy potwierdza, iż certyfikat audytora wiodącego ISO 22301/27001 jest jednym z dokumentów uprawniających do przeprowadzania audytu w jednostkach objętych krajowym systemem cyberbezpieczeństwa.