Skip to content 
Wyjątkowa książka o cyberbezpieczeństwie
Kontynuujemy polecanie wartościowych publikacji w ramach kategorii: „Dobra książka”. W dzisiejszych czasach literatura dotycząca cybersecurity, ryzyka i zgodności jest niezmiernie bogata, ale zwykle z osobna. W morzu niszowych publikacji na te tematy, rekomendowane na rynku, trudno jest znaleźć te, które w sposób kompleksowy omawiają zarządzanie, ryzyko i zgodność. Jednakże, dzieło „The Cybersecurity Guide to Governance, Risk, and Compliance” autorstwa Jasona Edwardsa i Griffina Weaver, wydane przez renomowanych wydawców jak Wiley czy Springer, wyróżnia się na tle innych. Dlatego w ramach naszego nowego cyklu właśnie ta publikacja zyskała uznanie.
Cyberbezpieczeństwo w nowoczesnym biznesie
Współcześnie cyberbezpieczeństwo jest kluczowym elementem prowadzenia biznesu i nie jest to obsesja osób związanych z tym obszarem. Naruszenia bezpieczeństwa danych mogą skutkować poważnymi konsekwencjami dla firm, zarówno wewnętrznie, jak i zewnętrznie. W związku z tym, biegłość w zarządzaniu ryzykiem cyberbezpieczeństwa staje się coraz bardziej istotna dla różnorodnych specjalistów w świecie biznesu. Przewodnik Edwardsa i Weavera doskonale adresuje tę potrzebę, oferując praktyczne informacje i strategie niezbędne w każdej dziedzinie biznesowej.
Książka ta jest unikalna, ponieważ nie ogranicza się do wąsko zdefiniowanych aspektów cyberbezpieczeństwa, lecz oferuje holistyczne spojrzenie na temat, integrując zarządzanie, ryzyko i zgodność. To kompendium wiedzy może zaspokoić potrzeby zarówno CISO, jak i specjalistów ds. technologii, liderów biznesowych, konsultantów oraz przedsiębiorców, dostarczając kompleksowego zrozumienia cyberzagrożeń i metodyk ich zwalczania. Trudno znaleźć tematykę w odniesieniu do tego obszaru, którą by pominięto, bo zahacza także o te najbardziej na czasie, jak AI, czy też technologie kwantowe.
Zgodność z regulacjami i standardami jako klucz do bezpieczeństwa
W kontekście cyberbezpieczeństwa, zgodność z regulacjami jest niezbędna. Książka koncentruje się na integracji ochrony danych i aktywów cyfrowych, przekształcając zgodność w strategiczne działania zwiększające odporność organizacji na zagrożenia cyfrowe. W książce jest odniesienie do wielu standardów, jak np. ISO/IEC 27001 (ISO 27001), ISO/IEC 27017, ISO/IEC 27701, NIST SP 800-53, PCI DSS, ISO 22301, CMMC, etc. Każdy z nich wnosi coś poznawczego do zapewnienia zgodności. Ale jest dużo miejsca poświęcone też odniesieniom do regulacji amerykańskich jak SOX, HIPPA, GLBA,CJIS, etc. ale też międzynarodowe, jak RODO.
Publikacja ta służy jako wsparcie w ciągłym rozwoju zawodowym specjalistów ds. cyberbezpieczeństwa, dostarczając nie tylko dogłębnych analiz, ale także praktycznych metod adaptowanych do różnych środowisk zawodowych. Jest to nieocenione narzędzie w dynamicznie zmieniającym się świecie technologii. Przedstawiony jest mechanizm kompetencyjny FFIEC (CAT), który pozwala oceniać takie zagadnienia jak audyt, ciągłość działania, rozwój i pozyskiwania oprogramowania, bezpieczeństwa informacji, zarządzania cyberbezpieczeństwem, architekturę, infrastrukturę i operacje, outsourcingu usług technologicznych, systemów płatności detalicznych, nadzoru nad dostawcami usług technologicznych, hurtowych systemów płatności.
Nawigacja w skomplikowanym świecie cyberbezpieczeństwa
Przewodnik ten ma na celu ułatwienie poruszania się po skomplikowanym krajobrazie cyberbezpieczeństwa, dostarczając niezbędnych informacji do budowy efektywnego programu zgodnego z wymogami prawnymi. Książka ta jest przydatna nie tylko w sektorze finansowym, ale w każdym obszarze, gdzie cyberzagrożenia są obecne.
Ta publikacja nie jest tylko źródłem wiedzy, ale także platformą wymiany doświadczeń. Uzyskane informacje mogą zostać zastosowane w praktyce, co przyczynia się do realizacji celu książki i wspiera innych w dziedzinie cyberbezpieczeństwa. 31 rozdziałów na ponad 600 stronach jest dowodem na to, że książka bardzo szeroko pokazuje wszystkie zagadnienia związane z GRC w zakresie Cyberbezpieczeństwa.
Dodatkowe zasoby i korzyści
Tutaj warto dodać fakt, że jest także pewnego rodzaju bonus, który sprawia, że książka ma również czysto praktyczny charakter. Książka zawiera bowiem następujące dodatki:
- Ponad 1300 praktycznych zaleceń,
- Ponad 70 gotowych wskaźników KPI i KRI.
Przykładowe KRI.
Tytuł KRI: Błędy klasyfikacji danych.
Ryzyko szczególne: Niewłaściwe obchodzenie się z danymi wrażliwymi lub ich ujawnienie z powodu błędnej klasyfikacji.
Podsumowanie metryki: Błędy klasyfikacji danych mierzą przypadki, w których dane są nieprawidłowo klasyfikowane, co może prowadzić do nieodpowiednich kontroli bezpieczeństwa danych wrażliwych.
Zrozumienie ryzyka: Nieprawidłowa klasyfikacja danych może prowadzić do niewłaściwej ochrony informacji wrażliwych. Może to skutkować nieautoryzowanym dostępem, naruszeniem danych i niezgodnością z przepisami dotyczącymi ochrony danych.
Ograniczanie ryzyka: Wdrożenie i egzekwowanie zasad klasyfikacji danych. Korzystanie z narzędzi do klasyfikacji danych i regularne sprawdzanie etykiet klasyfikacji danych w celu zapewnienia dokładności.
Możliwy wzór pomiaru: Błędy klasyfikacji danych = liczba danych, dla których instancje są nieprawidłowo klasyfikowane.
Sugerowana częstotliwość: Co miesiąc.
Wyzwalacz: 3-5 błędów klasyfikacji miesięcznie.
Naruszenie: Ponad 5 błędów klasyfikacji miesięcznie.
Zalecenie dotyczące wizualizacji: W przypadku błędów klasyfikacji danych oś x powinna reprezentować czas, a oś y liczbę błędów klasyfikacji danych. Uwzględnij poziomą linię progową, aby wskazać maksymalną dopuszczalną liczbę błędów.
Wymierne, mierzalne i dokładne: Korzystaj z narzędzi do klasyfikacji danych, aby zautomatyzować proces klasyfikacji i ograniczyć błędy ludzkie. Regularnie sprawdzaj klasyfikacje danych i koryguj wszelkie błędy.
Wnioski i działania: Wzrost liczby błędów w klasyfikacji danych może wskazywać na brak zrozumienia lub przestrzegania zasad klasyfikacji danych. Należy rozważyć dodatkowe szkolenia dla personelu oraz przegląd narzędzi i zasad klasyfikacji danych.
Tak więc znajdziemy w niej to co dość często szukają osoby zajmujące się systemami zarządzania bezpieczeństwem informacji wg ISO/IEC 27001 (ISO 27001), ISO 22301, czyli przykłady jak i praktyczne porady. Dla naszych audytorów stanowi ona cenne źródło wiedzy, niezbędnej do utrzymania kompetencji w szybko zmieniającym się świecie cyberbezpieczeństwa.
Zachęcamy do lektury. Zapraszamy do kontaktu.
Zespół Centre of Excellence & QSCert-Poland
Bibliografia:
- The Cybersecurity Guide to Governance, Risk, and Compliance; Dr Jason Edwards, Griffin Weaver; ISBN: 1394250193, Wiley, 2024; link: https://www.wiley.com/en-ae/The+Cybersecurity+Guide+to+Governance,+Risk,+and+Compliance-p-9781394250219;