O systemie informacyjnym
Skuteczny proces zarządzania incydentami cyberbezpieczeństwa to dobrze opisany i wdrożony w organizacji system informacyjny. Cześć z Was z pewnością zada sobie pytanie, czym w ogóle jest system informacyjny? Czy może po prostu popełniłem błąd i zamiast informatyczny napisałem przez przypadek informacyjny? Otóż nie. Tak jeszcze dla wyjaśnienia. Nie będę w artykule opisywał szczegółowych różnić pomiędzy tymi pojęciami, bo jakby nie było istnieją. Bardziej dociekliwych odsyłam do literatury fachowej. Celem tego wpisu jest raczej praktyczne podejście do zrozumienia różnic i dlaczego sam system informatyczny np. w postaci systemu ticketowego nie jest wystarczający by sprawnie, efektywnie zarządzać incydentami cyberbezpieczeństwa.
Proces decyzyjny a zagrożenia
Ważną rzeczą, o której należy pamiętać, jest fakt, że systemem informacyjnym określa się mianem systememu komunikacji w organizacji. Jest on niezbędnym elementem w procesie zarządzania organizacją, w szczególności w ramach wsparcia procesu decyzyjnego. Zatem kiepski system informacyjny sprawi, że w trakcie wystąpienia incydentu cyberbezpieczeństwa może, z dużym prawdopodobieństem, nastąpić mniejszy, bądź większy paraliż decyzyjny, na przykład: z uwagi na brak prawidłowego przepływu informacji czy zniekształcenia informacji. Stąd też ważne jest by po pierwsze: posługiwać się w organizacji wspólnym słownikiem pojęć, a po drugie mieć dobrze przemyślany i wdrożony plan komunikacji. Znów ktoś mógłby się zapytać, po co o tym wszystkim piszę? Odpowiedź jest bardzo prosta. Pomimo tego, że są to rzeczy proste i wydawałoby się podstawowe, to zapominamy o nich, przez co w naszym systemie informacyjnym wprowadzamy zniekształcenia, zakłócenia, co bezpośrednio przedkłada się na skuteczność w zarządzaniu incydentami cyberbezpieczeństwa.
systemem informacyjnym określa się mianem systememu komunikacji w organizacji. Jest on niezbędnym elementem w procesie zarządzania organizacją
Składowe układanki
Przywołane do tej pory: system ticketowy, plan komunikacji, słowniki pojęć to tylko składowe czegoś większego czegoś co nazywamy systemem informacyjnym. Systemy ticketowe wykorzystywane są przede wszystkim przez zespoły, które monitorują bezpieczeństwo organizacji. Nie będę teraz rozróżniał czy dotyczy to cyberbezpieczeństwa czy innych obszarów organizacji, gdzie monitorowanie jest wdrożone. Podstawową ich funkcją jest umożliwienie zapisu, no właściwie czego: zdarzeń, alertów, incydentów cyberbezpieczeństwa, czy wszystkiego naraz. Tu musimy się jednak na chwilę zatrzymać i zaproponować czym właściwie jest zdarzenie, czym różni się od alertu, a czym od incydnetu cyberbezpieczeństwa. A miało nie być defincji.
Podstawowe definicje
Jedna z definicji, z którą spotkałem się, jest bardzo prosta i intuicyjna. Zdarzenie jest wszystkim co można zaobserwować w systemie. Incydentem zatem możemy nazwać każde zdarzenie, którego skutkiem wystąpienia jest zagrożenie dla poufności, integralności czy dostępności informacji przetwarzanych przez organizację. W wyniku zastosowania reguł detekcji, czyli swego rodzaju filtra, uzyskujemy z kolei Alert, na którym powinniśmy skupić naszą uwagę, gdyż może on wskazywać na potencjalne wystąpienie incydentu cyberbezpieczeństwa.
W kolejnym wpisie opiszę w większych szczegółach relacje pomiędzy przywołanymi pojęciami, tj. zdarzeniem, alertem oraz incydentem.