Etap 0/5

Mapa działań

Startujemy od poziomu absolutnego zera. Zakładamy, że Twoja firma nie ma nic wspólnego z jakimikolwiek bezpieczeństwem danych czy bezpiecznym działaniu. Nie tylko brakuje dokumentacji, ale nawet nie jesteśmy świadomi co nam zagraża i dlatego w tym miejscu zaczynamy naszą podróż. Wierzę, że wiedzieć czego się nie wie to już połowa sukcesu - druga to nadrobić zaległości krok po kroku, według ustalonego planu. Brzmi dobrze? Jeśli tak, to lecimy z tematem! :)

Analiza Ryzyka (Cyberbezpieczeństwo)

Trudno bronić się przed czymś, jeśli nie znamy naszych potencjalnych zagrożeń - stąd Analiza Ryzyka od największego zagrożenia do najmniejszego według współczynnika prawdopodobieństwo x skutek (sami to ustalamy). Tak samo identyfikacja zasobów jest szalenie ważna - dlaczego? Wyobraź sobie, że w jednej firmie doszło do włamu przez... termometr w akwarium. Akwarium nie było związane z firmą poza tym, że stanowiło ozdobę biura u szefa, jednak termometr był połączony z siecią wifi. Łączymy kropki, prawda? Stąd potrzeba identyfikacji, nasz system jest tak mocny jak jego nasłabsze ogniwo - musimy je zlokalizować.

Dariusz_Socha_-_Analiza_Ryzyka__Cyberbezpieczentwo_.jpeg

Dokumentacja Normatywna i Operacyjna

Darusz_Socha_-_Dokumentacja_Normatywna_i_Operacyjna.jpeg

Bezpieczeństwo Danych (Prewencja i Ochrona)

Dariusz_Socha_Bezpieczenstwo_Danych_-_Prewencja_i_Ochrona.jpeg

Ciągłość Pracy (Reagowania i Odtwarzanie)

Dariusz_Socha_-_Ciaglosc_Pracy_-_Reagowania_i_Odtwarzanie.jpeg

Etap 1/5

Fundamenty: higiena cyfrowa

Brak podstawowej higieny cyfrowej wystawia organizację na 90% pospolitych ataków (np. ransomware), które mogą z dnia na dzień trwale zaszyfrować wszystkie dane. Bez uwierzytelniania wieloskładnikowego (MFA) i sprawdzonych kopii zapasowych jeden błąd pracownika grozi całkowitym paraliżem i potencjalnym bankructwem firmy.

Fundamenty (Higiena Cyfrowa)

To absolutne minimum. Bez tego etapu organizacja jest otwarta na 90% pospolitych ataków.
Wdrożenie tych punktów jest relatywnie tanie, a daje najwyższy zwrot z inwestycji w bezpieczeństwo (ROI).

1.A. Separacja zasobów służbowych

1_A__Separacja_zasobow_sluzbowych.jpeg

1.B. Uwierzytelnianie wieloskładnikowe (MFA)

1_B__Uwierzytelnianie_wieloskladnikowe__MFA_.jpeg

1.C. Automatyzacja kopii zapasowych

1_C__Automatyzacja_kopii_zapasowych.jpeg

1.D. Ochrona punktów końcowych (EPP / Antywirus)

1_D__Ochrona_punktow_koncowych__EPP__Antywirus_.jpeg

1.E. Zarządzanie poprawkami (Patch Management)

1_E__Zarzadzanie_poprawkami__Patch_Management_.jpeg

1.F. Pełne szyfrowanie dysków (FDE)

1_F__Pelne_szyfrowanie_dyskow__FDE_.jpeg

1.G. Brzegowa zapora sieciowa


1_G__Brzegowa_zapora_sieciowa.jpeg

1.H. Budowanie świadomości (Security Awareness)


1_H__Budowanie_swiadomosci__Security_Awareness_.jpeg

1.I. Fizyczna kontrola dostępu

1_I__Fizyczna_kontrola_dostepu.jpeg

1.J.Bezpieczna utylizacja nośników

1_J_Bezpieczna_utylizacja_nosnikow.jpeg

Etap 2/5

Uporządkowanie: kontrola i centralizacja

Chaos w zarządzaniu tożsamością sprawia, że firma nie panuje nad dostępami, przez co byli pracownicy lub zgubione urządzenia stają się łatwą furtką dla cyberprzestępców. Brak scentralizowanych procedur drastycznie wydłuża czas reakcji na incydenty, zamieniając błahe problemy techniczne w wielogodzinne przestoje operacyjne.

2.A. Centralny katalog tożsamości IAM
Active Directory | Entra ID

W małej firmie każdy pracownik ma osobne konto na każdym komputerze ("Kasia-Laptop", "Jan-PC"), oddzielne hasło do poczty i oddzielne do programu fakturującego. Gdy firma rośnie, zarządzanie tym chaosem staje się niemożliwe. Centralny katalog to baza wszystkich użytkowników i urządzeń w firmie ("jedno źródło prawdy"). Dzięki niemu tworzysz pracownikowi jedno tożsamość, która automatycznie daje mu dostęp do wszystkich niezbędnych zasobów, a jego zablokowanie natychmiast odcina go od wszystkiego.

PRZYKŁAD

Firma zwalnia dyscyplinarnie handlowca. W systemie bez centralizacji administrator musi ręcznie logować się do poczty, CRM i serwera plików, by zmieniać hasła. Zajmuje to 20 minut. W tym czasie zdenerwowany pracownik zdążył pobrać bazę klientów na pendrive'a. W systemie z Active Directory, administrator klika jeden przycisk "Zablokuj", a pracownik natychmiast traci aktywne sesje we wszystkich systemach jednocześnie.

Single Sign-On (SSO)

Pracownik loguje się raz rano do systemu, a dostęp do poczty, dysku sieciowego czy aplikacji w chmurze (SaaS) otrzymuje w tle, bez ponownego wpisywania haseł.

Polityki Grup (GPO)

Administrator może jednym kliknięciem wymusić ustawienia na wszystkich 50 czy 500 komputerach jednocześnie (np. zablokować porty USB, wymusić blokadę ekranu po 5 minutach bezczynności).

Zarządzanie cyklem życia (JML)

Procesy zatrudniania i zwalniania są zautomatyzowane. Nie trzeba pamiętać o ręcznym usuwaniu konta w 10 różnych portalach.

2_A__Centralny_katalog_tozsamosci_IAM.jpeg

2.C. Polityka najmniejszych przywilejów


(Odebranie uprawnień administratora)

Ogólna koncepcja: Większość użytkowników domyślnie pracuje na kontach z pełnymi uprawnieniami administratora ("żeby programy nie pytały o zgodę"). To krytyczny błąd. Jeśli wirus zainfekuje konto administratora, przejmuje kontrolę nad całym systemem. Jeśli zainfekuje "zwykłego użytkownika" – ma bardzo ograniczone pole manewru. Pracownik powinien mieć tylko tyle uprawnień, ile jest niezbędne do pracy.

Od ogółu do szczegółu (Technikalia):

Konta Standard User: Na co dzień każdy (nawet prezes i informatyk) pracuje na koncie bez uprawnień do instalacji oprogramowania czy zmiany plików systemowych.

Elewacja uprawnień (UAC): Gdy trzeba zainstalować drukarkę, system prosi o hasło administratora (które zna tylko dział IT).

ACL (Listy kontroli dostępu): Precyzyjne nadawanie uprawnień do folderów na serwerze – dział Produkcji nie widzi folderu "Kadry i Płace".

Przykład z życia: Księgowa otrzymuje maila z fakturą, która w rzeczywistości jest złośliwym plikiem .exe. Klika w załącznik. Wirus próbuje zainstalować się w systemie i podmienić pliki startowe Windows, by szpiegować klawiaturę. Ponieważ księgowa pracuje na koncie standardowym, system operacyjny blokuje tę operację komunikatem "Odmowa dostępu". Atak zostaje powstrzymany na samym początku.

2.D. Zdalne zarządzanie urządzeniami (MDM / UEM)


(Cyfrowa smycz na sprzęt służbowy)

Ogólna koncepcja: W dobie pracy hybrydowej laptopy i telefony rzadko bywają w biurze. Dział IT traci je z oczu. Systemy MDM (Mobile Device Management) pozwalają firmie zachować pełną kontrolę nad sprzętem niezależnie od tego, gdzie on się fizycznie znajduje – byle miał dostęp do internetu.

Od ogółu do szczegółu (Technikalia):

Zdalny Wipe: Możliwość zdalnego wyczyszczenia urządzenia do ustawień fabrycznych w przypadku kradzieży.

Wymuszanie szyfrowania i PIN: Jeśli pracownik wyłączy kod blokady na służbowym telefonie, MDM automatycznie odetnie mu dostęp do firmowej poczty, dopóki nie przywróci zabezpieczenia (Compliance Policy).

Konteneryzacja (MAM): Na prywatnym telefonie pracownika tworzona jest wydzielona, szyfrowana strefa "Praca". Firma zarządza tylko tą strefą, nie widząc prywatnych zdjęć z wakacji.

Przykład z życia: Handlowiec zostawia iPada z cennikami i danymi klientów w taksówce. Orientuje się po godzinie. Zgłasza to do IT. Administrator loguje się do konsoli (np. Intune) i wysyła komendę "Wipe". Gdy tylko tablet połączy się z siecią (nawet jeśli znalazca spróbuje złamać PIN), urządzenie formatuje się, kasując trwale wszystkie dane firmowe.

2.E. Bezpieczny dostęp zdalny (VPN / ZTNA)


(Prywatny tunel w publicznym internecie)

Ogólna koncepcja: Zasoby wewnętrzne firmy (serwery plików, bazy danych) nie mogą być wystawione bezpośrednio do internetu. VPN (Wirtualna Sieć Prywatna) tworzy szyfrowany tunel, dzięki któremu pracownik w domu jest "wirtualnie" w biurze, a przesyłane dane są niewidoczne dla osób postronnych.

Od ogółu do szczegółu (Technikalia):

Szyfrowanie: Cały ruch sieciowy jest pakowany w kryptograficzne "koperty". Nawet dostawca internetu nie wie, co przesyłasz.

Weryfikacja postawy (Posture Check): Nowoczesny VPN przed wpuszczeniem pracownika sprawdza, czy jego komputer ma aktualnego antywirusa. Jeśli nie – odmawia połączenia, by nie wpuścić infekcji do środka.

ZTNA (Zero Trust Network Access): Nowsze podejście. Zamiast dawać dostęp do całej sieci (jak klasyczny VPN), daje dostęp tylko do jednej, konkretnej aplikacji.

Przykład z życia: Prezes pracuje z kawiarni, logując się do systemu ERP przez otwarte Wi-Fi. Haker siedzący przy stoliku obok używa oprogramowania do przechwytywania pakietów ("sniffera"). Bez VPN haker mógłby przechwycić sesję logowania. Z włączonym VPN haker widzi tylko strumień zaszyfrowanych danych, których nie da się rozszyfrować.

2.F.  Zabezpieczona sieć bezprzewodowa (WPA3 Enterprise)


(Koniec z jednym hasłem dla wszystkich)

Ogólna koncepcja: Większość małych firm ma jedno hasło do Wi-Fi ("Firma123"), które znają wszyscy: obecni pracownicy, byli pracownicy i goście. W modelu Enterprise (802.1X) nie ma jednego wspólnego hasła. Każdy pracownik loguje się do Wi-Fi swoim indywidualnym loginem i hasłem (tym samym co do komputera).

Od ogółu do szczegółu (Technikalia):

Serwer RADIUS: To "bramkarz", który sprawdza w bazie tożsamości (AD), czy dany użytkownik ma prawo wejść do sieci.

Certyfikaty urządzeń: Można skonfigurować sieć tak, by łączyły się z nią wyłącznie laptopy służbowe posiadające wgrany przez IT cyfrowy certyfikat. Prywatny telefon pracownika, nawet jeśli zna on hasło, zostanie odrzucony.

Dynamiczne VLAN-y: Pracownik HR po zalogowaniu trafia do innej podsieci niż informatyk czy gość.

Przykład z życia: Były pracownik parkuje pod oknem biura, łączy się z firmowym Wi-Fi (bo w starej konfiguracji znał hasło "Firma123") i pobiera poufne pliki z serwera. W modelu WPA Enterprise, jego indywidualne konto jest nieaktywne od momentu zwolnienia, więc sieć Wi-Fi odrzuca próbę połączenia, mimo że pracownik jest fizycznie w zasięgu sygnału.

Odporność kopii zapasowych (Backup off-site / Immutable)


(Ochrona przed ransomwarem i katastrofą)

Ogólna koncepcja: W Etapie 1 wdrożyliśmy automatyzację. W Etapie 2 musimy zabezpieczyć kopie przed nowoczesnymi wirusami, które potrafią znaleźć pliki backupu i je celowo zniszczyć przed zaszyfrowaniem danych. Odpowiedzią jest niezmienność (Immutability) oraz wyniesienie kopii poza biuro.

Od ogółu do szczegółu (Technikalia):

Immutable Storage (WORM): Technologia "Write Once, Read Many". Backup zapisany na serwerze otrzymuje flagę "tylko do odczytu" na np. 30 dni. Nawet administrator z najwyższymi uprawnieniami (lub haker, który ukradł jego konto) nie może skasować ani nadpisać tych plików przed upływem czasu retencji.

Air-gap: Fizyczna separacja – np. kopia na taśmach lub dyskach USB, które są fizycznie odłączane od serwera po wykonaniu zadania.

Przykład z życia: Gang ransomware włamuje się do sieci firmy. Zdobywają hasła administratora domeny. Logują się do konsoli backupu i wydają polecenie "Usuń wszystkie kopie", by zmusić firmę do zapłaty okupu. System backupu w chmurze (z włączonym Immutability) odrzuca polecenie z komunikatem "Odmowa dostępu – blokada czasowa". Firma odzyskuje dane bez płacenia haraczu.

Weryfikacja odtwarzalności danych (Testy backupów)


(Testowanie spadochronu przed skokiem)

Ogólna koncepcja: Kopia zapasowa, której nie da się odtworzyć, jest bezwartościowa. Statystyki pokazują, że wiele firm regularnie robi backupy, które są uszkodzone ("puste w środku"). Weryfikacja to proces cyklicznego sprawdzania: "Czy gdybyśmy musieli, to faktycznie odzyskamy dane?".

Od ogółu do szczegółu (Technikalia):

Automatyczne testy (Sandbox): Oprogramowanie do backupu w nocy automatycznie uruchamia zbackupowaną maszynę wirtualną w odizolowanym środowisku, sprawdza czy system wstaje, robi zrzut ekranu i wysyła raport do administratora.

Testy manualne: Raz na kwartał IT losowo wybiera kluczowe pliki i próbuje je przywrócić na serwer testowy, mierząc czas operacji.

Przykład z życia: Firma od 3 lat robiła backup bazy SQL. Kiedy doszło do awarii, okazało się, że backup "kończył się sukcesem", ale plik wynikowy miał 0 bajtów z powodu błędu skryptu. Firma straciła dane z 3 lat. Regularna weryfikacja (próbne odtworzenie raz w miesiącu) wykryłaby ten błąd natychmiast.

9. System Sygnalizacji Włamania i Napadu (SSWiN)


(Elektroniczny stróż i ochrona środowiskowa)

Ogólna koncepcja: To integracja bezpieczeństwa cyfrowego z fizycznym. Serwery to fizyczne przedmioty, które można ukraść, ale też zalać wodą lub przegrzać. SSWiN (czyli popularny "alarm") monitoruje dostęp do stref krytycznych oraz warunki panujące w serwerowni.

Od ogółu do szczegółu (Technikalia):

Strefy bezpieczeństwa: Serwerownia powinna być wydzieloną strefą alarmową, uzbrojoną 24/7. Każde wejście wymaga autoryzacji kodem lub kartą, nawet w godzinach pracy biura.

Czujki techniczne: System SSWiN to nie tylko czujki ruchu, ale też czujki zalania, dymu oraz wzrostu temperatury (awaria klimatyzacji może zniszczyć serwery w kilka godzin).

Przykład z życia: W weekend pęka rura z wodą w łazience na piętrze wyżej. Woda zaczyna kapać na szafę serwerową. Czujnik zalania na podłodze serwerowni wykrywa wilgoć i wysyła SMS do administratora oraz sygnał do agencji ochrony. Dzięki szybkiej reakcji udaje się odłączyć zasilanie i przykryć sprzęt, zanim woda zniszczy macierze dyskowe warte setki tysięcy złotych.

10. Polityki bezpieczeństwa informacji


(Kodeks drogowy dla danych firmowych)

Ogólna koncepcja: Technologia to nie wszystko. Ludzie muszą wiedzieć, co wolno, a czego nie. Polityki to spisane i podpisane zasady gry. Bez nich nie można wyciągnąć konsekwencji prawnych wobec pracownika, który naraził firmę na straty, bo "nie wiedział, że tak nie można".

Od ogółu do szczegółu (Technikalia):

Kluczowe dokumenty: "Regulamin korzystania z zasobów IT" (AUP - Acceptable Use Policy), "Procedura zgłaszania incydentów", "Klasyfikacja informacji" (co jest poufne, a co jawne).

Onboarding: Każdy nowy pracownik musi zapoznać się z dokumentami i podpisać oświadczenie.

Checklista odejścia: Dokładna procedura, co odebrać pracownikowi w ostatnim dniu pracy (klucze, karty, tokeny).

Przykład z życia: Pracownik wynosi bazę danych klientów na prywatnym dysku USB, by "popracować w domu", a następnie gubi dysk. Firma chce go zwolnić dyscyplinarnie. W sądzie pracownik wygrywa i zostaje przywrócony do pracy, ponieważ firma nie miała pisemnej polityki zabraniającej kopiowania danych na nośniki prywatne. Sędzia uznał, że pracownik nie złamał żadnego sformalizowanego zakazu.

Bez raidu

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Raid0

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Raid1

Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Raid5

Ut enim ad minim venam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Raid6

Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Raid10

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Wprowadź tytuł formularza

Wprowadź kilka informacji na temat sposobu wypełniania formularza. Aby edytować sam formularz, kliknij duży przycisk znajdujący się w dolnej części strony. Dane wprowadzone do formularza zostaną wysłane na Twój adres e-mail (o ile został on przez Ciebie potwierdzony), jak również będą dostępne za pośrednictwem konta Mozello.