- Jeżeli przyjrzeć się uważnie, o czym się ostatnio pisze na całym świecie, to w czasie pandemii na czoło wysuwają się (oprócz samej pandemii rzecz jasna) zagadnienia związane z cyberbezpieczeństwem. Tematykę tę podejmują nie tylko wyspecjalizowane instytucje ale nawet te organizacje, które głównie zajmują się polityką – również międzynarodową. Ale skoro piszą przyzwoicie, to trzeba się temu przyjrzeć …
Sprawa nie jest nowa. Datuje się na grudzień 2020 roku ale ze względu na pochodzenie publikacji mogła się ona nie przebić do świadomości polskich Czytelników. A jest warta uwagi.
W Waszyngtonie ma siedzibę organizacja o nazwie Carnegie Endowment For International Peace. Jest to podmiot zajmujący się głównie analizami stricte politycznymi dotyczącymi całego świata. Ze względu na to, że na portalu periculum.pl unikamy polityki jak diabeł święconej wody, nie zamierzamy opisywać działalności tej organizacji na tym polu. Ponieważ obecnie mało kto nie zajmuje się pandemią i – co się z tym wiąże – problematyką cyberbezpieczeństwa ze względu na rozpowszechnioną pracę zdalną – to i ta organizacja postanowiła podjęć temat. Nie byle jak, bo pod patronatem m.in. Banku Światowego. Reasumując, zapewne dostali grant więc się zajęli tematem. A że zrobili to przyzwoicie, postanowiliśmy poinformować o tym naszych Czytelników i Gości.
W grudniu 2020 roku, a więc stosunkowo niedawno, na świat przyszła ich publikacja zatytułowana „Capacity-Building Tool Box for Cybersecurity and Financial Organizations”. Czytelników, którzy zechcą zapoznać się z treścią prosimy uważać, albowiem istnieje też wersja z roku 2017 – warto zwrócić uwagę na datę publikacji. Uprzedzamy też, że publikacja jest stosunkowo obszerna – liczy bowiem 136 stron ale, co uważamy za jej zaletę, nie dotyka zagadnień politycznych – tylko czyste cyberbezpieczeństwo. Jeszcze jedno, tytuł może zmylić, to nie jest publikacja wyłącznie dla podmiotów rynków finansowych. Gdyby tak miało być, to publikację należałoby ocenić jako niepełną, pozbawioną bezpośrednich odniesień do wszystkich kluczowych elementów systemów zarządzania podmiotami rynku finansowego: na przykład audytu wewnętrznego, który ma swoją szczególną rolę w całym systemie kontroli wewnętrznej a więc i sterowania ryzykiem. Publikacja nie jest też wyłącznie dla dużych podmiotów – w treści znajdziemy również wskazówki dla małych. Oczywiście „mały” na rynku amerykańskim to nie ten sam „mały” na rynku polskim.
Jak zawsze, ocenę publikacji i jej przydatności pozostawiamy Czytelnikom, niemniej warto ogólnie wspomnieć, jak rzeczona publikacja podchodzi do zagadnienia cyberbezpieczeństwa.
Publikacja składa się z jednostronicowych, ogólnych wytycznych (guide) dotyczących obowiązków, list kontrolnych (checklist) oraz szczegółowych wytycznych (raportów) – a wszystko to w podziale na kilka poziomów zarządzania podmiotami:
– poziom Rady / Zarządu (Board level Guide), w aspekcie nadzoru nad ryzykiem funkcjonowania w cyberprzestrzeni,
– poziom CEO (Chief Executive Officer), w aspekcie zapewniania “przywództwa” w dziedzinie cyberbezpieczeństwa,
– poziom CISO (Chief Information Security Officer) i jego zespołu, w aspekcie ochrony organizacji, klientów oraz podmiotów uczestniczących w łańcuchu dostaw.
Publikacja zawiera również odniesienia (wytyczne, listy kontrolne) do 3 dziedzin zarządzania cyberbezpieczeństwem:
– reagowania na incydenty,
– ochrony przed i zapobiegania atakom typu „ransomware”, oraz
– praktyk dotyczących rozwoju kompetencji pracowników.
W naszej ocenie, publikacja ma też jedną niezaprzeczalną zaletę. Autorzy nie udają, że zawarte koncepcje wymyślili sami, patrząc w sufit. Publikacja zawiera liczne przypisy (196 pozycji) oraz obszerną bibliografię zawierającą łącza (linki).
Wady?
Widzimy pewne braki, na przykład pominięcie funkcji i roli audytu wewnętrznego – ale jak to się powiada: nie można mieć wszystkiego na raz. Trudno też wybrzydzać z jednego powodu: publikacja jest dostępna bezpłatnie.
Na stronach internetowych Carnegie Endowment …
