Bezpieczeństwo danych w outsourcingu IT: nowoczesne strategie i narzędzia ochronne

Olena Witowska-Pietrzyk – od ponad 5 lat związana z branżą IT, aktualnie Recruitment Team Lead w ITDS. Absolwentka Psychologii na Uniwersytecie Warszawskim. Do jej głównych zadań należy pozyskiwanie kandydatów w oparciu o wymagania klientów oraz kompleksowy proces rekrutacji. Olena koncentruje się na budowaniu zespołu jako Team Leader i szkoleniu nowych pracowników w zakresie pozyskiwania i rekrutacji najlepszych kandydatów. Aktywnie rekrutuje specjalistów IT, zwłaszcza w dziedzinie Big Data, cyberbezpieczeństwa i projektowania rozwiązań.

Na utrzymanie bezpieczeństwa w firmach składa się wiele czynników, takich jak czynnik ludzki, zabezpieczony sprzęt, oprogramowanie i sieć. Podstawą dbania o organizację oraz kondycję systemów jest zadbanie o jej kompleksowy rozwój. Działania hackerów oraz grup przestępczych mogą dużo kosztować – i mowa tu nie tylko o kwestiach finansowych, ale także wizerunkowych, jak również o ryzyku utraty zaufania do organizacji, czy poniesieniu dodatkowych kosztów na kolejne inwestycje w cyberbezpieczeństwo.

Ekonomia skali, zarządzanie złożonością oraz nowoczesne umowy

W 2023 roku średni koszt pojedynczego  cyberataku kosztował firmy 5 milionów. W 2022 roku Organizacja Plain Concepts oświadczyła,  że cyberprzestępczość kosztuje firmy na całym świecie 1,79 mln dol. na minutę. Biorąc pod uwagę, że jeszcze 4  lata temu straty wynikające z zaniedbań w obszarze cyberbezpieczeństwa osiągnęły łącznie niemal 600 miliardów dolarów, widzimy jak zwiększa się skala tego problemu. 

Globalnie rośnie także liczba ataków, a także zmienia się sam obraz współczesnego środowiska IT: AI, uczenie maszynowe, nowoczesne komputery, cloud, komputery kwantowe, szerokie wykorzystanie interfejsów sterowanych głosem, a już niedługo era kwantowej kryptografii. Każda ze zmian to nie tylko szansa, ale także zagrożenie dla danej organizacji, a także całej jej sieci. 

Nowoczesne organizacje będą musiały uwzględnić skalę i złożoność procesów zarządzania bezpieczeństwem w swoich działaniach. Ważne będzie też zadbanie o nowoczesne umowy, oparte na bazie bezpieczeństwa.  Eksperci ds. cyberbezpieczeństwa są coraz częściej poszukiwani i to właśnie do nich będzie kierowanych wiele ofert pracy.  Reputacja marki, wybór strategii bezpieczeństwa oraz odpowiedni poziom zaufania

Naruszenia bezpieczeństwa są zdolne zniszczyć reputację marki z dnia na dzień, nie wspominając o potencjalnych grzywnach i karach, które mogą być nałożone na organizację wskutek wycieku danych. Narażenie jednej organizacji może równać się narażeniu wszystkich pozostałych podmiotów w sieci. 

Dlatego organizacje, które decydują się na outsourcing powinny szczególnie zadbać o:

• wybór zaufanych partnerów oraz odpowiednią weryfikację potencjalnej współpracy
• czytelne kontrakty i odpowiednią politykę bezpieczeństwa danych
• regularne audyty oraz certyfikacje
• odpowiednią obsługę prawną oraz strategię antykryzysową
• zabezpieczenie organizacji przed niekontrolowanym i chaotycznym rozwojem
• jasne określenie swoich wymagań dotyczących ochrony danych w umowie outsourcingowej, w tym protokoły szyfrowania, kontrolę dostępu i bezpieczne mechanizmy transferu danych. 

Konieczne jest określenie sposobu postępowania z danymi wrażliwymi, obejmującego procedury przechowywania, przetwarzania i usuwania, a także odpowiednia aktualizacja umów.

Samo cyberbezpieczeństwo staje się coraz bardziej złożone z dnia na dzień. W miarę nieustannego wzrostu skali ataków, rozwój liczby dostawców stwarza wyzwania, takie jak wzrost złożoności zarządzania, problemy z integracją oraz potencjalne luki w zakresie ochrony bezpieczeństwa dla organizacji. 

Dochodzą do tego  nowe regulacje prawne oraz dodatkowe oczekiwania względem transparentności organizacji i jakości usług oraz produktów ze strony konsumentów.

Bezpieczeństwo danych a outsourcing IT  – na co warto zwrócić uwagę?

Dla każdego zarządu i głównych grup interesariuszy istotnym jest, aby organizacja przechodziła kolejne etapy rozwojowe oraz zmiany w maksymalnie przemyślany i uporządkowany sposób. Istnieją liczne frameworki oraz modele, które to oferują. Istotna jest także cyberkultura oraz odporność organizacji.

Kluczowym aspektem jest przepływ informacji oraz rozwiązania, które bezpośrednio umożliwiają zarządowi, a także zespołom od cyberbezpieczeństwa odpowiednie działania. 

Dlatego warto, aby wybierane rozwiązania brały pod uwagę:

• jednolitą strategię bezpieczeństwa
• uproszczone zarządzanie
• sprawną komunikację
• konsekwentne egzekwowanie polityki firmowej
• wzmocnioną reakcję na incdenty naruszenia bezpieczeństwa
  

Dobre narzędzia ochronne dostarczą na poziomie C-suite odpowiednie  dashboardy  oraz analizy potrzebne  do dalszego zarządzania firmą oraz zespołem.

Na co warto zwrócić uwagę w 2024 roku? AI i nowe potrzeby organizacji

Rok 2023 przyniósł niesamowity rozkwit AI. Właśnie mija ponad dekada po okresie największego rozkwitu  social mediów w Polsce  oraz wprowadzania na dużą skalę  rozwiązań  online do biznesu. Teraz to  modele AI wraz modelami LLM zdobywają Internet. Poprzez te rozwiązania i dynamikę potrzeb bezpieczeństwa organizacji, tysiące podmiotów musi dostosować swoją strategię bezpieczeństwa.  Ważne jest wprowadzenie  rozwiązań   konfliktów związanych z rozwojem, by włączyć te podejmowane działania do istniejących procesów.

Organizacje wdrażają modele sztucznej inteligencji do swoich systemów anti-malware, wykorzystując obszerne dane dotyczące podatności, aby usprawnić operacje i zminimalizować ilość działań manualnych. Istotne od dawna są back-upy, a także migracja do chmury. Do 2030 roku 75% firm z Unii Europejskiej powinnojuż  korzystać z chmury, sztucznej inteligencji lub analizy Big Data

Przyszłość Internetu, IoT  i globalne zmiany

Na początku IV kwartału 2023 roku 5,30 miliarda ludzi na całym świecie korzystało z Internetu, co stanowiło równowartość 65,7 procent całkowitej populacji świata. Warto dodać, że pozostała część świata bardzo szybko przyłącza się do tej sieci. 

W roku 2023 firma IoT Analytics przewidywała, że światowa liczba połączonych urządzeń IoT wzrośnie o kolejne 16%, osiągając 16,7 miliarda aktywnych punktów końcowych. Chociaż prognozuje się, że wzrost w 2023 roku będzie nieco niższy niż w 2022 roku, to połączenia urządzeń IoT będą nadal rosły przez wiele lat. Nie jest to jednak koniec, a dopiero początek zmian i rewolucji. Większość ofert pracy uwzględnia konieczność znajomości AI jako obowiązek w branży IT.   

Inwestowanie w bezpieczeństwo ma sens, zwłaszcza w outsourcingu! 

Nowoczesne rozwiązania security to nie tylko SOC i dobry zespół wraz z CISO, ale także coraz efektywniejsze produkty do ochrony całych organizacji, które wykorzystują AI, a także są przygotowane na zmiany z tym związane. NIST ( National Institute of Standards and Technology) 11 grudnia opublikował nowe rekomendacje odnośnie oceny techniki ochrony prywatności w erze sztucznej inteligencji (AI). Za bezpieczeństwo danych dalej odpowiada rodzina norm ISO 27000.  

Większość instytucji rekomenduje rozwiązania, które zapewniają automatyzację, płynność, odporność, inteligencję oraz maksymalną ochronę przed atakami. W 2024 roku coraz powszechniej ma być także stosowany Zero Trust Model. Jak będą wyglądały te zmiany? Zobaczymy już niedługo!

Źródła:

1. 5 Key Elements of a Modern Cybersecurity Framework (techtarget.com)
   Digital Around the World — DataReportal – Global Digital Insights
2. https://www.cio.com/article/250267/7-steps-to-excellent-service-delivery.html
3. https://www.forbes.com/sites/forbestechcouncil/2022/08/16/outsourcing-and-data-protection-five-strategies-that-every-tech-company-should-consider/?sh=603708e17833
4. (16) How to Guarantee Data Security and Privacy in Outsourcing | LinkedIn
5. Zagrożenia cyberbezpieczeństwa Fast-Forward 2030: Zapnij pas bezpieczeństwa przed jazdą! — ENISA (europa.eu)
6. Cybersecurity Trends 2024: Lessons from 2023 & Predictions (strobes.co)
7. 10 Global Cybersecurity Predictions for 2024 | FTI (fticonsulting.com)
   Future-Proofing White-Collar Crime Defenses | FTI Consulting
   Press Release- November 1, 2023: Governor Hochul Announces Updates To New York’s Nation-Leading Cybersecurity Regulations As Part Of Sweeping Effort To Protect Businesses And Consumers From Cyber Threats | Department of Financial Services (ny.gov)
8. DOD Releases 2023 Cyber Strategy Summary > U.S. Department of Defense > Release
9. https://www.devlane.com/blog/data-security-while-outsourcing
10. Europe’s digital decade: 2030 targets | European Commission (europa.eu)
11. Blog – Reflectiz
12. https://businessinsider.com.pl/technologie/nowe-technologie/cyberprzestepczosc-kosztuje-firmy-179-mln-dolarow-na-minute-czy-polskie-firmy-sa/67s0wnv