Od souladu k odolnosti: jak mohou CISO odstranit mezeru ve správě a řízení
Upozornění ve 3 ráno: selhání správy a řízení v přestrojení
Marii, CISO rychle rostoucí fintech společnosti, probudilo upozornění P1. Produkční databáze, která měla být izolovaná, komunikovala s neznámou externí IP adresou. Její tým SOC už incident řešil a dohledal spojení k nesprávně nakonfigurovanému cloudovému úložišti, které vytvořil tým marketingové analytiky při testování nového nástroje pro segmentaci zákazníků. Bezprostřední škoda byla omezena, ale rozbor po incidentu odhalil mnohem závažnější problém, který neměl nic společného s firewally ani malwarem.
Marketingový manažer, který nástroj zadal, neměl žádný formální bezpečnostní dohled. DevOps inženýr, který prostředí vytvořil, obešel standardní bezpečnostní kontroly, aby stihl krátký termín. Data v úložišti byla sice anonymizovaná, ale stále natolik citlivá, že u několika klíčových klientů aktivovala smluvní oznamovací povinnosti.
Kořenovou příčinou nebyla technická zranitelnost. Šlo o závažné selhání správy a řízení. Maria měla politiky, nástroje i talentovaný tým. Chyběl jí však rámec správy a řízení, který by byl živý, prosazovaný a srozumitelný i mimo bezpečnostní oddělení. Její společnost byla v souladu na papíře, její certifikát ISO/IEC 27001:2022 stále visel na zdi, ale v praxi odolná nebyla.
Právě v této kritické mezeře selhává mnoho organizací i jejich CISO. Zaměňují artefakty správy a řízení, tedy politiky a kontrolní seznamy, za správu a řízení samotné. Tento článek rozebírá, kde je tento způsob uvažování chybný, a nabízí konkrétní plán, jak pomocí integrované sady nástrojů Clarysec proměnit soulad na papíře v trvalé řízení organizace v praxi.
Více než šanon: správa a řízení jako činnost
Příliš dlouho byla správa a řízení vnímána jako podstatné jméno: statická sbírka dokumentů uložených na serveru. Skutečná správa a řízení bezpečnosti informací je však činnost. Je to nepřetržitý soubor kroků, jimiž vedení řídí, monitoruje a podporuje bezpečnost jako klíčovou podnikovou funkci. Jde o vytvoření systému, v němž každý, od jednání řídicího orgánu až po vývojový tým, rozumí své roli při ochraně informačních aktiv organizace.
Rámce od ISO/IEC 27001:2022 po NIS2 vycházejí z této skutečnosti: správa a řízení je manažerská funkce, nikoli technická. Podle ISO/IEC 27014:2020 musí vrcholové vedení vytvořit strategii bezpečnosti informací sladěnou s cíli organizace. Tato strategie musí zajistit, že bezpečnostní požadavky odpovídají interním i externím potřebám, včetně právních, regulatorních a smluvních závazků. Aby to vedení potvrdilo, musí zadávat nezávislé audity, podporovat kulturu, která aktivně posiluje bezpečnost, a zajistit, aby cíle, role a zdroje byly dobře koordinované.
Problém spočívá v tom, že tento „tón shora“ se často nepřenese do jednání na provozní úrovni. Právě zde vstupuje do hry nejdůležitější a často nepochopené opatření: odpovědnosti vedení.
Kaskádový efekt: proč bezpečnost nemůže končit u CISO
Největším jednotlivým bodem selhání v jakémkoli systému řízení bezpečnosti informací (ISMS) je předpoklad, že za bezpečnost odpovídá výhradně CISO. Ve skutečnosti je CISO dirigentem, ale manažeři jednotlivých organizačních jednotek jsou hudebníky. Pokud nehrají svou část, výsledkem není harmonie, ale šum.
Právě na to reaguje ISO/IEC 27001:2022 v opatření 5.4, „Odpovědnosti vedení“. Toto opatření vyžaduje, aby odpovědnosti v oblasti bezpečnosti informací byly v celé organizaci přiděleny a prosazovány. Jak zdůrazňuje náš Zenith Blueprint: 30krokový plán auditora v kroku 23, toto opatření zajišťuje, aby se vedení v oblasti bezpečnosti promítlo do každé vrstvy organizace.
„Opatření 5.4 v konečném důsledku potvrzuje, že vedení v oblasti bezpečnosti nekončí u CISO. Musí se promítnout do každé vrstvy provozního řízení, protože úspěch nebo selhání vašeho ISMS často nezávisí na politikách nebo nástrojích, ale na tom, zda manažeři aktivně prosazují bezpečnost ve svých vlastních oblastech.“ Zenith Blueprint
V Mariině případě vnímal marketingový manažer bezpečnost jako překážku, nikoli jako sdílenou odpovědnost. DevOps inženýr viděl termín, nikoli povinnost náležité péče. Živý rámec správy a řízení by začlenil bezpečnostní kontrolní body do procesu zahájení projektu i do výkonnostních metrik týmu DevOps. Tím se správa a řízení mění ze zátěže spojené se souladem na nástroj, který pomáhá předcházet selháním.
Od teorie k praxi: budování správy a řízení pomocí použitelných politik
Politika uložená v šanonu je artefakt; politika integrovaná do každodenního provozu je opatření. Aby organizace správu a řízení skutečně uplatnily, potřebují jednoznačně vymezené povinnosti. Naše Governance Roles & Responsibilities Policy je navržena přesně k tomu. Jedním z jejích hlavních cílů je:
„Udržovat model správy a řízení, který vynucuje oddělení povinností, odstraňuje střety zájmů a umožňuje eskalaci nevyřešených bezpečnostních problémů.“ Politika rolí a odpovědností v oblasti správy a řízení
Toto prohlášení převádí obecný princip do konkrétního, auditovatelně ověřitelného požadavku. Vytváří rámec vrstvené odpovědnosti, v němž je každá úroveň řízení prokazatelně odpovědná za svou část bezpečnostního programu. Pro menší organizace tuto oblast zjednodušuje Governance Roles & Responsibilities Policy - SME, která v bodě 4.3.3 přímo stanoví, že každý zaměstnanec „musí okamžitě hlásit incidenty a problémy se souladem generálnímu řediteli“. Tato jasnost odstraňuje nejednoznačnost a umožňuje všem jednat.
Vraťme se k Mariinu incidentu a podívejme se, jak by mohla využít sadu nástrojů Clarysec k přebudování svého přístupu ke správě a řízení a proměnit reaktivní selhání v proaktivní a odolný systém.
Politika jako základ: Nejprve by zavedla Politiku rolí a odpovědností v oblasti správy a řízení. Ve spolupráci s HR by začlenila konkrétní bezpečnostní povinnosti do popisů pracovních pozic všech manažerů, od marketingu po finance. Bezpečnost by se tak stala formální součástí jejich role, nikoli dodatečnou úvahou.
Vymezení „jak“: Následně by politiku využila k zavedení jasného procesu. Bod 7.2.2 této politiky uvádí: „Rizika související se správou a řízením musí být přezkoumána Řídicím výborem ISMS a ověřena během interních auditů.“ Tím vzniká formální fórum, kde by nový projekt marketingového manažera byl přezkoumán před vytvořením jakéhokoli cloudového prostředí, čímž by se předešlo původní chybné konfiguraci.
Využití poznatků napříč požadavky na soulad: Aby Maria porozuměla celému rozsahu svého nového modelu správy a řízení, použila by Zenith Controls: průvodce napříč požadavky na soulad. Tento zdroj ukazuje, že „odpovědnosti vedení“ (ISO 5.4) nejsou izolovaným úkolem, ale centrálním uzlem propojeným s dalšími kritickými opatřeními. Například odhaluje přímou vazbu mezi 5.4 a 5.8 („Bezpečnost informací v projektovém řízení“) a zajišťuje, aby vedení poskytovalo nezbytný dohled pro začlenění bezpečnosti do všech nových iniciativ.
Tento proaktivní přístup posouvá správu a řízení od reaktivního rozboru po incidentu k funkci, která podporuje provoz organizace. Zajišťuje, že když chce manažer spustit nový nástroj, jeho první myšlenka nezní „Jak to dostanu přes bezpečnost?“, ale „S kým z bezpečnostního týmu mám spolupracovat?“
Auditor přichází: jak prokázat, že vaše správa a řízení jsou skutečné
Zkušený auditor je vyškolen hledat důkazy o zavedení, tedy koncept, který Zenith Blueprint označuje jako sladění politiky s „realitou“. Když auditor posuzuje váš rámec správy a řízení, nečte pouze dokumenty; testuje organizační paměť vaší společnosti. Hledá důkazy, že správa a řízení jsou živé, aktivní a schopné reakce.
Různí auditoři budou váš rámec správy a řízení posuzovat z různých úhlů. Takto by testovali Mariin nový a robustní model správy a řízení:
Auditor ISO/IEC 27001:2022: Tento auditor půjde přímo po důkazech závazku vedení vyžadovaných kapitolou 5.1. Vyžádá si zápisy z jednání přezkoumání vedením (kapitola 9.3). Bude hledat body programu, v nichž se projednávala výkonnost bezpečnosti, přidělovaly zdroje a přijímala rozhodnutí na základě posouzení rizik. Chce vidět, že vedení pouze nepřijímá reporty, ale aktivně řídí ISMS.
Auditor COBIT 2019: Auditor COBIT uvažuje v pojmech podnikových cílů. Zaměří se na cíle správy a řízení, jako je EDM03 („Zajištěná optimalizace rizik“). Vyžádá si reporty rizik předkládané řídicím orgánům a bude chtít vědět, zda vedení sleduje klíčové bezpečnostní ukazatele a přijímá nápravná opatření, pokud se tyto ukazatele vyvíjejí negativně. Z jeho pohledu správa a řízení zajišťují, že bezpečnost umožňuje a chrání hodnotu podnikání.
Auditor ISACA: Tento auditor, vedený rámci jako ITAF, se silně zaměřuje na „tón shora“. Provede rozhovory s vrcholovým vedením, aby posoudil jeho porozumění a závazek. Pomalá nebo odmítavá reakce vedení na předchozí zjištění auditu je zásadním varovným signálem, který ukazuje na slabou kulturu správy a řízení.
Regulační orgán podle NIS2 nebo DORA: U předpisů jako NIS2 a DORA jsou sázky vyšší. Tyto rámce ukládají řídicím orgánům přímou osobní odpovědnost za selhání kybernetické bezpečnosti. Auditor příslušného orgánu bude požadovat důkazy, že řídicí orgán schválil rámec řízení rizik kybernetické bezpečnosti, dohlížel na jeho zavedení a absolvoval specializované školení. Bude hledat důkaz, že vedení není pouze informováno, ale je aktivně zapojeno a odpovědné.
Aby bylo možné vyhovět těmto různým auditním přístupům, nestačí předložit pouze politiky. Potřebujete portfolio důkazů.
| Oblast zaměření auditu | Požadované auditní důkazy |
|---|---|
| Zapojení vrcholového vedení | Zápisy z jednání přezkoumání vedením, schválené rozpočty, prezentace pro řídicí orgány a strategická komunikace. |
| Přezkumy účinnosti | Záznamy o opatřeních vyplývajících z rozhodnutí vedení, sledovaná opatření ke zmírnění rizik z posouzení rizik. |
| Odpovědnost a reakce | Matice RACI, popisy pracovních pozic s bezpečnostními povinnostmi, zprávy o incidentech dokládající eskalaci na vedení. |
| Formální přiřazení | Podepsané statuty bezpečnostních výborů, formální popisy rolí vlastníků rizik, každoroční potvrzení vedoucích oddělení. |
Pokud se vaše důkazy omezují na PDF soubory politik a chybí provozní záznamy, auditem neprojdete. Průvodce Zenith Controls vám pomůže sestavit správné portfolio, které prokazuje důkazy, nikoli jen záměr.
Zpětnovazební smyčka: proměna incidentů v odolnost
Nejsilnějším důkazem odolného rámce správy a řízení je nakonec to, jak organizace reaguje na selhání. Skutečná odolnost znamená učit se, přizpůsobovat se a jednat. Jak uvádí Zenith Blueprint při rozboru opatření 5.24 („Plánování a příprava řízení incidentů informační bezpečnosti“):
„Bezpečnou organizaci nedefinuje absence incidentů, ale připravenost zvládnout je, když nastanou… Toto opatření je o zlepšování, nejen o uzavírání. Auditoři se zeptají: ‚Co jste se naučili z posledního incidentu?‘ Budou očekávat analýzu kořenové příčiny, zachycené získané poznatky a především důkazy, že se v důsledku incidentu něco změnilo.“
V Mariině případě nebylo tím „něčím, co se změnilo“, pouze pravidlo firewallu. Šlo o zavedení procesu správy a řízení, který vyžadoval schválení vedením u nových projektů, jasnou matici RACI pro cloudová nasazení a povinné bezpečnostní školení pro marketingový tým. Schopnost doložit tuto učicí smyčku by proměnila potenciální závažnou neshodu v důkaz vyspělého a zlepšujícího se ISMS.
Právě zde správa a řízení prokazují svou hodnotu. Selhání už není pouze technický problém k opravě, ale organizační poznatek, který je třeba osvojit a začlenit. Jak uvádí Politika rolí a odpovědností v oblasti správy a řízení v části 9.1.1.4, „významná zjištění auditu nebo incidenty zahrnující selhání správy a řízení“ se nezametají pod koberec; jsou přezkoumány, eskalovány a řešeny.
Jak zajistit, aby správa a řízení fungovala: role odpovědnosti
I s nejlepšími politikami a podporou vedení může správa a řízení selhat, pokud za nesouladem nenásledují důsledky. Skutečně robustní rámec musí být podpořen spravedlivým, konzistentním a dobře komunikovaným disciplinárním procesem. Na to se zaměřuje opatření 6.4 normy ISO/IEC 27001:2022, „Disciplinární proces“.
Toto opatření zajišťuje, že pravidla ISMS nejsou volitelná. Poskytuje mechanismus prosazování, který dokládá závazek vedení k bezpečnosti. Jak podrobně popisuje Zenith Controls, tento proces je kritickým ošetřením rizik vnitřních hrozeb a nedbalosti. Funguje společně s dalšími opatřeními: monitorovací činnosti (8.16) mohou identifikovat porušení politiky, zatímco disciplinární proces (6.4) určuje formální reakci.
„Disciplinární opatření jsou lépe obhajitelná, pokud byli zaměstnanci řádně proškoleni a seznámeni se svými odpovědnostmi. Opatření 6.4 se opírá o 6.3 (povědomí, vzdělávání a školení v oblasti bezpečnosti informací), aby personál nemohl tvrdit, že neznal politiky, které porušil.“
Auditor ověří, zda je tento proces uplatňován konzistentně na všech úrovních, tedy zda se na člena vrcholového vedení, který poruší Politiku čistého stolu, vztahuje stejný proces jako na stážistu. To je poslední článek řetězce, který mění správu a řízení z doporučení na vymahatelný standard.
Jednotná mapa souladu: jeden pohled na správu a řízení
Tlak moderní správy a řízení spočívá v tom, že nikdy nesedí jen v jednom rámci. Předpisy jako NIS2 a DORA povýšily odpovědnost vedení z osvědčeného postupu na právní povinnost s osobní odpovědností. Odolný CISO musí být schopen doložit správu a řízení způsobem, který současně obstojí u více auditorů.
Tato jednotná tabulka, odvozená z mapování v Zenith Controls, ukazuje, že princip odpovědnosti vedení je univerzálním požadavkem napříč hlavními rámci.
| Rámec/norma | Relevantní kapitola/opatření | Vazba na odpovědnost vrcholového vedení (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | kapitoly 5.1, 5.2, 9.3 | Vyžaduje aktivní vedení, integraci ISMS do obchodních procesů a pravidelné přezkoumání vedením. |
| směrnice EU NIS2 | článek 21(1) | Řídicí orgány musí schvalovat postupy řízení rizik kybernetické bezpečnosti a dohlížet na ně, přičemž nesou osobní odpovědnost za selhání. |
| nařízení EU DORA | článek 5(2) | Řídicí orgán nese konečnou odpovědnost za rámec řízení rizik v oblasti ICT daného subjektu a za provozní odolnost. |
| GDPR | články 5(2), 24(1) | Zásada odpovědnosti vyžaduje, aby správci (vrcholové vedení) doložili soulad a zavedli vhodná opatření. |
| NIST SP 800-53 | PM-1, PM-9 | Vedení musí stanovit plán bezpečnostního programu a vytvořit funkci vrcholového řízení rizik pro jednotný dohled. |
| COBIT 2019 | EDM03 | Řídicí orgány a vrcholové vedení musí vyhodnocovat, řídit a monitorovat bezpečnostní iniciativy, aby zajistily jejich soulad s obchodními cíli. |
Závěr je jasný: všichni auditoři, bez ohledu na použitý rámec, směřují ke stejnému požadavku: „Ukažte mi správu a řízení v praxi.“
Závěr: proměňte správu a řízení ze zaškrtávacího políčka v kompas
Bolestivou pravdou je, že u organizací „v souladu“ dochází k bezpečnostním incidentům každý den. „Odolné“ organizace však přežijí a přizpůsobí se. Odolnost vyžaduje hlubokou integraci politik, technologií a skutečného vlastnictví ze strany vrcholového vedení. Není to přehlídka formulářů, ale kultura, v níž se bezpečnost a obchodní strategie pohybují v těsném souladu.
Začněte položením nepříjemných otázek:
- Je naše bezpečnostní vedení viditelné? Účastní se manažeři mimo bezpečnost aktivně rozhodování o rizicích?
- Jsou odpovědnosti jasné? Dokáže každý manažer popsat své konkrétní povinnosti při ochraně informací ve své oblasti?
- Je správa a řízení integrovaná? Jsou bezpečnostní hlediska začleněna do našeho projektového řízení, pořizování a HR procesů od samého začátku?
- Učíme se ze svých chyb? Spouští incident přezkum našeho rámce správy a řízení, nikoli pouze našich technických opatření?
Rozdíl mezi přežitím incidentu a selháním pod dohledem regulátora závisí na tom, jak hluboko je správa a řízení vetkána do vašich provozních činností. Je to kompas, který vede organizaci nejistotou. V okamžiku krize stojí mezi souladem a katastrofou pouze skutečná správa a řízení.
Další kroky: udělejte svou odolnost měřitelnou
- Použijte Zenith Blueprint k ověření reality vaší odpovědnosti vedení a zajistěte, aby bezpečnost měla viditelnost napříč organizací.
- Zaveďte politiky Clarysec, například Politiku rolí a odpovědností v oblasti správy a řízení, jako živé dokumenty, které řídí školení, eskalaci a nápravu.
- Využijte Zenith Controls, abyste byli připraveni na audit napříč ISO/IEC 27001:2022, NIS2, DORA a dalšími rámci, včetně konkrétních mapování a sad auditních důkazů.
Jste připraveni posunout svou správu a řízení ze zaškrtávacího políčka na kompas? Objednejte si přezkum správy ISMS s Clarysec a zapojte své vrcholové vedení do skutečného řízení.
Zdroje:
- Zenith Blueprint: 30krokový plán auditora
- Zenith Controls: průvodce napříč požadavky na soulad
- Politika rolí a odpovědností v oblasti správy a řízení
- Politika rolí a odpovědností v oblasti správy a řízení - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
