Analizujemy incydent, gdzie pierwsze dziesięć minut zajmuje spór o to, które systemy są naprawdę dotknięte. Nikt nie potrafił udzielić jednoznacznej odpowiedzi. CTO był przekonany, że dane są w AWS, inżynier był prawie pewien, że pół roku temu przeniesiono je do GCP, a lider ds. bezpieczeństwa wciąż patrzył na arkusz z 2023 roku.
Tak się dzieje, gdy nie masz realnej inwentaryzacji zasobów.
CISO Assistant daje Ci uporządkowane miejsce, w którym możesz śledzić wszystko, od czego zależy Twoja organizacja, klasyfikować według ważności, łączyć z dostawcami i powiązać z zagrożeniami. Poniżej przeprowadzę Cię przez budowę tej inwentaryzacji od zera i - co ważniejsze - przez utrzymywanie jej w aktualności.
Co właściwie uznaje się za zasoby?
Zasoby to wszystko, co ma wartość dla organizacji i wymaga ochrony. Większość od razu myśli o narzędziach SaaS i platformach chmurowych, ale w praktyce zakres jest dużo szerszy.
Aktywa informacyjne obejmują dokumenty strategiczne, pliki prawne, zapisy finansowe, dokumentację projektową, oferty sprzedaży, pliki HR i umowy z klientami. Często są rozrzucone po wielu systemach, więc łatwo o nich zapomnieć podczas budowania inwentaryzacji.
Aktywa programowe obejmują wszystko - od platform chmurowych jak AWS, Azure i GCP po pakiety produktywności jak Google Workspace i Microsoft 365. Nie zapominaj o narzędziach deweloperskich (GitHub, JetBrains, Cursor), aplikacjach biznesowych (CRM, ATS, system fakturowania), narzędziach bezpieczeństwa (SIEM, antywirus, menedżer haseł) oraz narzędziach AI, takich jak ChatGPT, Claude i Gemini.
Są też aktywa usługowe, które ludzie zwykle całkowicie pomijają. Łączność internetowa, zarządzanie DNS, usługi dostarczania e-maili jak SendGrid, platformy VoIP, narzędzia automatyzacji jak Zapier. Nie brzmi to spektakularnie, ale spróbuj prowadzić firmę, gdy DNS przestanie działać.
Aktywa sprzętowe obejmują urządzenia sieciowe (routery, przełączniki, zapory sieciowe, punkty dostępu), stacje robocze, urządzenia mobilne oraz nośniki wymienne, takie jak pendrive’y. Lokalizacje fizyczne też są aktywami - każde biuro, serwerownia i przestrzeń coworkingowa powinno mieć własny wpis. Czasami ludzie są aktywami, szczególnie personel z unikalną wiedzą, którą trudno byłoby zastąpić.
Zacznij od przekształcenia rozwiązań w aktywa
Jeśli zarejestrowałeś już swoich dostawców zewnętrznych i rozwiązania (co opisaliśmy w przewodniku po zarządzaniu bezpieczeństwem dostawców), masz połowę roboty za sobą. Dla każdego ważnego rozwiązania chcesz mieć odpowiadający mu zasób w CISO Assistant.
Wejdź w Context > Assets i kliknij Add Asset. Nadaj czytelną, rozpoznawalną nazwę zgodną z nazwą rozwiązania, gdzie to możliwe. Napisz opis, który wyjaśnia, co robi zasób i jakie dane przechowuje. Bądź konkretny. “Chmura” nic nie mówi. “Infrastruktura produkcyjna hostująca bazy danych klientów i backend aplikacji” mówi wszystko. Przypisz go do działu, który go posiada lub zarządza.
Nie wszystko potrzebuje własnego wpisu
Widzieliśmy zespoły, które przesadzały i tworzyły wpis dla każdego narzędzia w stosie. To koszmar konserwacji. Skup się na rozwiązaniach, które przechowują dane organizacji, są niezbędne do codziennej pracy, obsługują dane osobowe z implikacjami GDPR albo spowodowałyby realną szkodę przy naruszeniu lub niedostępności.
Systemy tożsamości i uwierzytelniania, takie jak 1Password i JumpCloud, zawsze powinny być wpisane. To samo dotyczy infrastruktury chmurowej, repozytoriów kodu źródłowego, narzędzi e-mail i produktywności, platform SIEM i monitoringu oraz CRM. Poza tymi podstawami kieruj się osądem. Narzędzia komunikacji, platformy zarządzania projektami, bazy wiedzy, narzędzia deweloperskie, platformy AI, narzędzia sprzedaży i marketingu oraz infrastruktura sieciowa są warte śledzenia, jeśli faktycznie wpływają na waszą pracę.
Możesz spokojnie pominąć bezpłatne wersje próbne w trakcie ewaluacji, narzędzia używane przez jedną osobę bez danych organizacyjnych oraz wszystko, co jest już nieaktywne lub wycofane.
Fizyczne rzeczy, o których wszyscy zapominają
Z naszego doświadczenia - pierwsza wersja każdej inwentaryzacji zasobów to w 90% oprogramowanie. Ludzie zapominają, że część ich najbardziej wartościowych i narażonych aktywów jest fizyczna.
Każda lokalizacja biurowa powinna być osobnym wpisem, bo ryzyka fizyczne jak pożar, powódź czy włamanie dotyczą ich wprost. Sprzęt sieciowy - routery, przełączniki, zapory sieciowe i punkty dostępu Wi-Fi - to kręgosłup łączności i absolutnie należy go wpisać do inwentaryzacji. Utwórz wpisy kategorii dla stacji roboczych (“macOS Workstations” i “Windows Workstations” sprawdzają się dobrze), urządzeń mobilnych i nośników wymiennych. Pendrive’y i dyski zewnętrzne niosą duże ryzyko wycieku danych i często są całkowicie pomijane.
I nie zapomnij o kategoriach dokumentów. “Strategic and Legal Documents”, “Project Documentation” i “Sales Documents” to aktywa tak samo jak AWS. Dane nie muszą siedzieć w jednym systemie, żeby zasługiwały na ochronę.
Połącz wszystko w jedną całość
Gdy utworzysz zasób, edytuj go i połącz z odpowiadającym rozwiązaniem. Tworzy to łańcuch śledzenia od dostawcy (Entity) przez produkt (Solution) do tego, co faktycznie chronisz (Asset).
Na przykład Google LLC jako encja dostarcza Google Workspace jako rozwiązanie, które mapuje się na Twój zasób “Google Workspace”. Amazon Web Services dostarcza AWS. Recruitee BV dostarcza Recruitee, co mapuje się na Twój zasób “Recruitee ATS”.
To powiązanie się opłaca, gdy naprawdę ma znaczenie. Gdy dostawca zgłasza naruszenie, od razu widzisz, które z Twoich aktywów są dotknięte. Przy ocenach dostawców widzisz dokładnie, co zależy od każdego z nich. A w analizie ryzyka pełny łańcuch od zasobu przez rozwiązanie do encji pokazuje Twoją pełną ekspozycję.
Organizuj aktywa według działów
Trzymaj porządek, przypisując każdy zasób do działu, który go głównie posiada lub zarządza. Typowy podział może wyglądać tak:
| Domena | Typowe aktywa |
|---|---|
| IT Team | AWS, Azure, GCP, GitHub, JumpCloud, 1Password, Slack, Google Workspace, Atlassian, Coda, Docker, JetBrains, Cursor, narzędzia AI, Hetzner, Cloudflare, połączenia internetowe, menedżerowie domen, Zapier, SendGrid |
| Security | Datadog SIEM, Datadog Logs, ESET, urządzenia sieciowe, stacje robocze |
| Sales | HubSpot, DocuSign, CloudTalk, Apollo.io, LinkedIn Sales Navigator |
| HR & Recruitment | Recruitee ATS |
| Finance | Aplikacja finansowa, Fakturownia, usługi księgowe zewnętrzne |
| Marketing | Adobe Creative Cloud, Hotjar, Piwik Pro, Semrush, strony internetowe |
| Product/Engineering | Figma |
| Global | Lokalizacje biurowe, dokumenty, urządzenia mobilne, nośniki wymienne, narzędzia AI |
Chodzi nie tylko o ład. Gdy coś pójdzie nie tak z zasobem, chcesz od razu wiedzieć, kogo wezwać.
Ustaw cele bezpieczeństwa dla każdego zasobu
Każdy zasób potrzebuje celów bezpieczeństwa wyrażających, jak ważna jest każda właściwość. Ocenisz je w skali 1-4 według modelu CIA-PAuPrS (Confidentiality, Integrity, Availability, Proof, Authenticity, Privacy, Safety). Nasz przewodnik po Business Impact Analysis szczegółowo omawia uzasadnienie, ale oto szybka ściągawka na start.
Najbardziej krytyczne aktywa to menedżery haseł (C=4, I=4, bo naruszenie oznacza dostęp do wszystkiego), dostawcy tożsamości (C=4, I=4, A=4, bo brak uwierzytelniania oznacza brak pracy), infrastruktura chmurowa (I=4, A=4) i systemy finansowe (C=4, I=4, Pr=4).
Wysoka krytyczność obejmuje e-mail i narzędzia produktywności (A=4, bo przestój e-maila zatrzymuje całą komunikację biznesową), repozytoria kodu (I=4, bo manipulacja kodem jest krytyczna, P=4 dla śladu audytowego), monitorowanie i SIEM (I=4, P=4, bo ważna jest integralność logów) oraz urządzenia sieciowe (I=4, A=4).
Umiarkowana krytyczność obejmuje narzędzia do zarządzania projektami, narzędzia projektowe, narzędzia AI (uważaj na Pr=4 ze względu na ryzyko prywatności w promptach) oraz narzędzia sprzedaży.
Niska krytyczność dotyczy pobocznych SaaS-ów, opcjonalnej analityki i dodatków marketingowych.
Szczerze mówiąc, proces oceniania może wydawać się żmudny przy 50+ aktywach. Ale te liczby napędzają wszystko dalej w ocenie ryzyka i dowodach zgodności, więc warto zrobić to poprawnie.
Ustaw cele disaster recovery
Podczas edycji każdego zasobu ustaw też RTO (jak szybko musisz go przywrócić), RPO (ile utraty danych jest akceptowalne) i MTD (maksymalny akceptowalny przestój, po którym szkoda staje się trwała).
| Kategoria zasobów | RTO | RPO | MTD |
|---|---|---|---|
| Systemy tożsamości i bezpieczeństwa | 4 godziny | 2 godziny | 24 godziny |
| Infrastruktura chmurowa | 8 godzin | 4 godziny | 48 godzin |
| Monitorowanie bezpieczeństwa | 8 godzin | 4 godziny | 48 godzin |
| Urządzenia sieciowe | 8 godzin | 4 godziny | 48 godzin |
| E-mail i produktywność | 24 godziny | 8 godzin | 72 godziny |
| Repozytoria kodu | 24 godziny | 8 godzin | 72 godziny |
| Aplikacje biznesowe | 24-48 godzin | 8-24 godziny | 72 godziny do 1 tygodnia |
| Systemy finansowe | 24 godziny | 8 godzin | 72 godziny |
| Stacje robocze | 24 godziny | 8 godzin | 72 godziny |
| Dokumenty | 72 godziny | 24 godziny | 1 tydzień |
| Lokalizacje fizyczne | 72 godziny | 24 godziny | 1 tydzień |
| Usługi zewnętrzne | 1 tydzień | 72 godziny | 2 tygodnie |
To punkty startowe. Zweryfikuj je z zespołami, które faktycznie używają systemów. Możesz być zaskoczony, jak bardzo ich oczekiwania różnią się od Twoich.
Połącz aktywa ze scenariuszami ryzyka
Tu Twoja inwentaryzacja zaczyna się naprawdę sprawdzać. Dla każdego scenariusza ryzyka w ocenie musisz określić, które aktywa byłyby dotknięte, gdyby to ryzyko się ziściło.
Pomyśl z perspektywy scenariusza. Przy scenariuszu nieautoryzowanego dostępu do danych połącz wszystko, co przechowuje wrażliwe dane: menedżery haseł, CRM, ATS, repozytoria kodu źródłowego, systemy finansowe, platformy chmurowe, Google Workspace, dokumenty.
Przy ryzykach złośliwego kodu chodzi o aktywa programowe, które mogłyby zostać zainfekowane: stacje robocze, platformy chmurowe, e-mail, narzędzia deweloperskie, narzędzia komunikacji. Scenariusze utraty danych dotyczą platform chmurowych, repozytoriów, systemów finansowych, dokumentów i baz wiedzy. Social engineering celuje w systemy skierowane do ludzi: e-mail, CRM, zarządzanie tożsamością, narzędzia komunikacji i menedżer haseł.
Aktywa zależne od sprzętu - urządzenia sieciowe, stacje robocze, połączenia internetowe - są narażone na awarię sprzętu. Ryzyka fizyczne jak pożar i powódź dotyczą lokalizacji biurowych, urządzeń sieciowych i stacji roboczych na miejscu. Scenariusze kradzieży i utraty dotyczą aktywów przenośnych: stacji roboczych, urządzeń mobilnych, nośników wymiennych.
A jeśli organizacja używa narzędzi AI, nie pomijaj ryzyk specyficznych dla AI. Połącz aktywa narzędzi AI ze scenariuszami wycieku danych, halucynacji i prompt injection.
Utrzymuj inwentaryzację przy życiu
Inwentaryzacja zasobów jest przydatna tylko wtedy, gdy odzwierciedla rzeczywistość. Gdy tylko się zdezaktualizuje, staje się kolejnym dokumentem, któremu nikt nie ufa.
Dodawaj nowe aktywa, gdy zespół wdraża nowe narzędzie SaaS, kupuje nowy sprzęt, otwiera nowe biuro albo wdraża nową aplikację biznesową. Aktualizuj istniejące aktywa przy zmianie właścicielstwa, przesunięciu celów bezpieczeństwa lub DR albo migracji do innego dostawcy. Gdy narzędzie lub usługa są wycofywane, nie usuwaj wpisu. Zmień status lub dodaj notatkę. Będziesz potrzebować tego zapisu historycznego do audytów.
Dla regularnych przeglądów dobrze sprawdza się miesięczne szybkie skanowanie nowo przyjętych narzędzi. Co kwartał przeglądaj cele bezpieczeństwa i cele DR, żeby upewnić się, że nadal są aktualne. Raz w roku przeprowadź pełny audyt inwentaryzacji. Przejdź przez każdy zasób z szefem każdego działu. Tak, roczny przegląd bywa bolesny. Zrób go mimo to.
Pułapki, które widzimy najczęściej
Shadow IT to główny problem. Zespoły przyjmują narzędzia bez informowania kogokolwiek. Dział marketingu wykupuje nową platformę analityczną, trzyma w niej dane klientów, a nikt w security nie wie, że istnieje. Walcz z tym, ułatwiając zgłaszanie nowych narzędzi i okresowo skanując raporty wydatków oraz logi SSO w poszukiwaniu nieznanych usług.
Nieaktualne wpisy pojawiają się szybko. Narzędzie zarejestrowane w 2024 zostało zastąpione pół roku temu, ale stary wpis nadal wygląda oficjalnie. Przypomnienia w kalendarzu o kwartalnych przeglądach pomagają, ale szczerze mówiąc, potrzebujesz kogoś, kto ma wystarczająco motywacji, żeby naprawdę posprzątać.
Brakujące aktywa fizyczne to niemal standard. Wszyscy pamiętają o wpisaniu AWS, ale FortiGate w serwerowni i pendrive’y w szafce biurowej są pomijane. Aktywa fizyczne często są najbardziej narażone, bo najmniej monitorowane.
Brak jasnego właścicielstwa zamienia aktywa w sieroty. Nikt ich nie utrzymuje, nikt nie przegląda, nikt nie reaguje, gdy coś pójdzie nie tak. Każdy zasób potrzebuje działu, który za niego odpowiada.
Pomijanie aktywów informacyjnych jest zaskakująco częste. “Strategic, Legal, and Financial Documents” to aktyw tak samo jak platforma chmurowa. Dokumenty wymagają ochrony niezależnie od tego, w jakim systemie leżą.
Zarządzanie zasobami nie jest niczyim ulubionym zajęciem, ale to baza, na której wszystko inne się opiera. Ocena ryzyka jest tylko tak kompletna jak Twoja inwentaryzacja. BIA jest tylko tak dokładna jak klasyfikacje zasobu. Dowody zgodności są tylko tak przekonujące jak dokumentacja zasobu. Zrób tę część dobrze, a reszta Twojego ISMS będzie dużo łatwiejsza do zbudowania i utrzymania.
Gotowy na następny krok? Ustaw cele bezpieczeństwa i cele odtwarzania w analizie wpływu na biznes, a następnie połącz wszystko ze scenariuszami ryzyka w naszym przewodniku po ocenie ryzyka. Jeśli pracujesz nad certyfikacją ISO 27001, nasz przewodnik po mapowaniu zgodności pokazuje, jak powiązać aktywa i kontrole z wymaganiami frameworków.
