Od usklađenosti do otpornosti: kako CISO može zatvoriti jaz u upravljanju
Upozorenje u 3 ujutro: skriveni propust u upravljanju
Maria, direktorica informacijske sigurnosti (CISO) u brzorastućoj fintech organizaciji, naglo se probudila zbog P1 upozorenja. Produkcijska baza podataka, koja je navodno bila izolirana, komunicirala je s nepoznatom vanjskom IP adresom. Njezin SOC tim već je bio uključen i pratio je vezu do pogrešno konfiguriranog spremnika u oblaku koji je tim za marketinšku analitiku izradio tijekom testiranja novog alata za segmentaciju korisnika. Neposredna šteta bila je ograničena, ali je naknadna analiza incidenta otkrila znatno opasniji problem koji nije imao veze ni s vatrozidima ni sa zlonamjernim softverom.
Rukovoditelj marketinga koji je naručio alat nije imao formalni sigurnosni nadzor. DevOps inženjer koji je uspostavio okruženje zaobišao je standardne sigurnosne provjere kako bi ispunio kratak rok. Podaci u spremniku, iako anonimizirani, bili su dovoljno osjetljivi da aktiviraju ugovorne obveze obavješćivanja prema nekoliko ključnih klijenata.
Temeljni uzrok nije bila tehnička ranjivost. Bio je to ozbiljan propust u upravljanju. Maria je imala politike, alate i sposoban tim. Nedostajao joj je okvir upravljanja koji je živ, proveden i razumljiv izvan odjela sigurnosti. Njezina je organizacija bila usklađena na papiru, a njezin certifikat ISO/IEC 27001:2022 još je blistao na zidu, ali u praksi nije bila otporna.
To je kritični jaz na kojem mnoge organizacije i njihovi CISO-i posrću. Artefakte upravljanja, politike i kontrolne popise pogrešno poistovjećuju sa samim upravljanjem. Ovaj članak objašnjava gdje takvo razmišljanje promašuje bit i daje konkretan plan za pretvaranje usklađenosti na papiru u održivu poslovnu kontrolu uz Clarysecov integrirani skup alata.
Izvan registratora: redefiniranje upravljanja kao djelovanja
Predugo se upravljanje tretiralo kao imenica: statična zbirka dokumenata pohranjena na poslužitelju. Stvarno upravljanje informacijskom sigurnošću, međutim, u praksi je glagol. To je kontinuirani skup radnji koje rukovodstvo provodi kako bi usmjeravalo, pratilo i podržavalo sigurnost kao temeljnu poslovnu funkciju. Riječ je o uspostavi sustava u kojem svi, od upravnog odbora do razvojnog tima, razumiju svoju ulogu u zaštiti informacijskih resursa organizacije.
Okviri od ISO/IEC 27001:2022 do NIS2 polaze od iste istine: upravljanje je funkcija rukovodstva, a ne tehnička funkcija. Prema ISO/IEC 27014:2020, najviše rukovodstvo mora uspostaviti strategiju informacijske sigurnosti usklađenu s ciljevima organizacije. Ta strategija mora osigurati da sigurnosni zahtjevi zadovoljavaju interne i vanjske potrebe, uključujući pravne, regulatorne i ugovorne obveze. Kako bi to potvrdilo, rukovodstvo mora naručivati neovisne revizije, razvijati kulturu koja aktivno podupire sigurnost te osigurati usklađenost ciljeva, uloga i resursa.
Problem je u tome što se taj „ton s vrha” često ne pretvara u operativno djelovanje. Tu na scenu stupa najkritičnija, a često i pogrešno shvaćena kontrola: odgovornosti rukovodstva.
Kaskadni učinak: zašto sigurnost ne može stati na CISO-u
Najveća pojedinačna točka otkaza u svakom sustavu upravljanja informacijskom sigurnošću (ISMS) jest pretpostavka da je CISO jedini odgovoran za sigurnost. U stvarnosti je CISO dirigent, ali rukovoditelji svake poslovne jedinice su glazbenici. Ako oni ne odigraju svoju ulogu, rezultat je buka, a ne sklad.
Upravo se time bavi ISO/IEC 27001:2022 u kontroli 5.4, „Odgovornosti rukovodstva”. Ta kontrola zahtijeva da se odgovornosti za informacijsku sigurnost dodijele i provode u cijeloj organizaciji. Kako naš Zenith Blueprint: revizorova mapa puta u 30 koraka naglašava u koraku 23, ova kontrola osigurava da se sigurnosno vodstvo prenosi kroz svaki sloj organizacije.
„U konačnici, kontrola 5.4 potvrđuje da sigurnosno vodstvo ne prestaje kod CISO-a. Ono se mora prenijeti kroz svaki sloj operativnog rukovodstva, jer uspjeh ili neuspjeh vašeg ISMS-a često ne ovisi o politikama ili alatima, nego o tome zagovaraju li rukovoditelji aktivno sigurnost u vlastitim područjima odgovornosti.” Zenith Blueprint
U Marijinu slučaju rukovoditelj marketinga doživljavao je sigurnost kao prepreku, a ne kao zajedničku odgovornost. DevOps inženjer vidio je rok, a ne obvezu postupanja s dužnom pažnjom. Živ okvir upravljanja ugradio bi sigurnosne kontrolne točke u proces pokretanja projekta i u pokazatelje uspješnosti DevOps tima. Time se upravljanje pretvara iz tereta usklađenosti u alat za izbjegavanje katastrofe.
Od teorije do prakse: izgradnja upravljanja provedivim politikama
Politika na polici artefakt je; politika integrirana u svakodnevne operacije kontrola je. Kako bi upravljanje bilo operativno provedivo, organizacijama je potrebna nedvosmislena definicija dužnosti. Naša Governance Roles & Responsibilities Policy osmišljena je upravo za to. Jedan od njezinih temeljnih ciljeva glasi:
„Održavati model upravljanja koji provodi razdvajanje dužnosti, uklanja sukobe interesa i omogućuje eskalaciju neriješenih sigurnosnih pitanja.” Politika uloga i odgovornosti u upravljanju
Ova izjava pretvara načelo visoke razine u konkretan, revizijski provjerljiv zahtjev. Ona uspostavlja okvir slojevite odgovornosti, u kojem je svaka razina rukovodstva evidentirana kao vlasnik svojeg dijela sigurnosnog programa. Za manje organizacije, Governance Roles & Responsibilities Policy - SME to pojednostavljuje te u točki 4.3.3 izravno navodi da svaki zaposlenik „mora odmah prijaviti incidente i pitanja usklađenosti glavnom izvršnom direktoru”. Takva jasnoća uklanja neodređenost i omogućuje svima da djeluju.
Vratimo se Marijinu incidentu i pogledajmo kako bi mogla upotrijebiti Clarysecov skup alata za obnovu pristupa upravljanju, pretvarajući reaktivni propust u proaktivan i otporan sustav.
Politika kao temelj: Prvo bi provela Politiku uloga i odgovornosti u upravljanju. U suradnji s HR-om ugradila bi konkretne sigurnosne dužnosti u opise radnih mjesta svih rukovoditelja, od marketinga do financija. Time sigurnost postaje formalni dio njihove uloge, a ne naknadna misao.
Definiranje načina provedbe: Zatim bi upotrijebila politiku za uspostavu jasnog procesa. Točka 7.2.2 politike navodi: „Rizike povezane s upravljanjem mora pregledati Odbor za upravljanje ISMS-om i provjeriti tijekom internih revizija.” Time se uspostavlja formalno mjesto na kojem bi novi projekt rukovoditelja marketinga bio pregledan prije stvaranja bilo kojeg okruženja u oblaku, čime bi se spriječila početna pogrešna konfiguracija.
Korištenje uvida iz međusobne usklađenosti: Kako bi razumjela puni opseg svojeg novog modela upravljanja, Maria bi se oslonila na Zenith Controls: vodič za međusobnu usklađenost. Taj resurs pokazuje da „odgovornosti rukovodstva” (ISO 5.4) nisu izoliran zadatak, nego središnje čvorište povezano s drugim kritičnim kontrolama. Primjerice, otkriva izravnu vezu između 5.4 i 5.8 („Informacijska sigurnost u upravljanju projektima”), čime se osigurava da rukovodstvo pruža potreban nadzor za ugradnju sigurnosti u sve nove inicijative.
Ovaj proaktivni pristup premješta upravljanje iz reaktivne analize nakon incidenta u funkciju koja omogućuje poslovanje. Osigurava da, kada rukovoditelj želi pokrenuti novi alat, prvo pitanje nije „Kako da ovo proguram mimo sigurnosti?”, nego „S kim iz sigurnosnog tima trebam surađivati?”
Revizor dolazi: dokazivanje da je vaše upravljanje stvarno
Iskusan revizor osposobljen je tražiti dokaze provedbe, koncept koji Zenith Blueprint naziva usklađivanjem politike sa „stvarnošću”. Kada revizor procjenjuje vaš okvir upravljanja, on ne čita samo dokumente; provjerava organizacijsku memoriju djelovanja. Traži dokaze da je upravljanje živo, aktivno i sposobno odgovoriti na promjene.
Različiti revizori promatrat će vaš okvir upravljanja iz različitih kutova. Evo kako bi testirali Marijin novi, robustni model upravljanja:
Revizor za ISO/IEC 27001:2022: Ovaj revizor odmah će tražiti dokaze o predanosti rukovodstva zahtijevane točkom 5.1. Zatražit će zapisnike s preispitivanja ISMS-a od strane najvišeg rukovodstva (točka 9.3). Tražit će točke dnevnog reda u kojima se raspravljalo o sigurnosnoj učinkovitosti, dodjeljivali resursi i donosile odluke na temelju procjena rizika. Želi vidjeti da rukovodstvo ne prima samo izvješća, nego aktivno usmjerava ISMS.
Revizor za COBIT 2019: COBIT revizor razmišlja kroz ciljeve organizacije. Usredotočit će se na ciljeve upravljanja poput EDM03 („osigurana optimizacija rizika”). Zatražit će izvješća o rizicima predstavljena upravnom odboru i provjeriti prati li rukovodstvo ključne sigurnosne pokazatelje te poduzima li korektivne radnje kada se ti pokazatelji pogoršavaju. Za njega upravljanje znači osigurati da sigurnost omogućuje i štiti poslovnu vrijednost.
ISACA revizor: Vođen okvirima poput ITAF-a, ovaj je revizor snažno usmjeren na „ton s vrha”. Provest će razgovore s višim rukovodstvom kako bi procijenio njihovo razumijevanje i predanost. Spora ili odbijajuća reakcija rukovodstva na prethodni nalaz revizije ozbiljan je signal upozorenja i upućuje na slabu kulturu upravljanja.
Regulator za NIS2 ili DORA: S propisima kao što su NIS2 i DORA ulozi su veći. Ti okviri uvode izravnu osobnu odgovornost upravljačkih tijela za propuste u kibernetičkoj sigurnosti. Revizor nadležnog tijela zahtijevat će dokaze da je upravni odbor odobrio okvir upravljanja kibernetičkim rizicima, nadzirao njegovu provedbu i prošao specijalizirano osposobljavanje. Tražit će dokaz da rukovodstvo nije samo informirano, nego aktivno uključeno i odgovorno.
Kako biste zadovoljili ove različite revizijske pristupe, morate prikazati više od samih politika. Potreban vam je portfelj dokaza.
| Područje fokusa revizije | Potrebni dokazi |
|---|---|
| Uključenost najvišeg rukovodstva | Zapisnici s preispitivanja od strane najvišeg rukovodstva, odobreni proračuni, prezentacije upravnom odboru i strateške komunikacije. |
| Pregledi učinkovitosti | Zapisnici o radnjama proizašlima iz odluka rukovodstva, praćene mjere ublažavanja iz procjena rizika. |
| Odgovornost i odgovor | RACI matrice, opisi radnih mjesta sa sigurnosnim dužnostima, izvješća o incidentima koja pokazuju eskalaciju prema rukovodstvu. |
| Formalna dodjela odgovornosti | Potpisani mandati sigurnosnih odbora, formalni opisi uloga vlasnika rizika, godišnje potvrde voditelja odjela. |
Ako se vaši dokazi svode na PDF-ove politika i nemate operativne evidencije, nećete proći reviziju. Vodič Zenith Controls pomaže vam sastaviti odgovarajući portfelj za dokazivanje stvarne provedbe, a ne samo namjere.
Povratna petlja: pretvaranje incidenata u otpornost
U konačnici, najsnažniji dokaz otpornog okvira upravljanja jest način na koji organizacija reagira na propust. Stvarna otpornost znači učiti, prilagođavati se i djelovati. Kako Zenith Blueprint navodi pri raspravi o kontroli 5.24 („Planiranje i priprema upravljanja incidentima informacijske sigurnosti”):
„Sigurnu organizaciju ne definira odsutnost incidenata, nego spremnost da se njima upravlja kada nastanu… Ova kontrola odnosi se na poboljšanje, a ne samo na zatvaranje. Revizori će pitati: ‘Što ste naučili iz posljednjeg incidenta?’ Očekivat će analizu temeljnog uzroka, zabilježene naučene lekcije i, najvažnije, dokaz da se nešto promijenilo kao rezultat.”
U Marijinu slučaju „ono što se promijenilo” nije bilo samo pravilo vatrozida. Bila je to provedba procesa upravljanja koji je zahtijevao odobrenje rukovodstva za nove projekte, jasnu RACI matricu za implementacije u oblaku i obvezno sigurnosno osposobljavanje za marketinški tim. Njezina sposobnost da dokaže ovu petlju učenja pretvorila bi potencijalnu veću nesukladnost u dokaz zrelog ISMS-a koji se poboljšava.
Tu upravljanje pokazuje svoju vrijednost. Propust više nije samo tehnički problem koji treba otkloniti, nego organizacijska lekcija koju treba naučiti i ugraditi. Kako Politika uloga i odgovornosti u upravljanju navodi u odjeljku 9.1.1.4, „značajni nalazi revizije ili incidenti koji uključuju propust u upravljanju” ne smiju se zakopati; pregledavaju se, eskaliraju i po njima se postupa.
Kako upravljanje učiniti trajnim: uloga odgovornosti
Čak i uz najbolje politike i podršku rukovodstva, upravljanje može zakazati ako nema posljedica za neusklađenost. Zaista robustan okvir mora biti podržan pravednim, dosljednim i jasno komuniciranim disciplinskim postupkom. To je fokus kontrole 6.4 standarda ISO/IEC 27001:2022, „Disciplinski postupak”.
Ova kontrola osigurava da pravila ISMS-a nisu neobvezna. Ona pruža mehanizam provedbe koji dokazuje predanost rukovodstva sigurnosti. Kako je detaljno opisano u Zenith Controls, taj je postupak ključna obrada rizika za insajderske prijetnje i nemar. Djeluje zajedno s drugim kontrolama: aktivnosti praćenja (8.16) mogu utvrditi kršenje politike, dok disciplinski postupak (6.4) određuje formalni odgovor.
„Disciplinske mjere lakše je dokazati i obrazložiti kada su zaposlenici primjereno osposobljeni i upoznati sa svojim odgovornostima. Kontrola 6.4 oslanja se na 6.3 (svijest, edukacija i osposobljavanje o informacijskoj sigurnosti) kako bi se osiguralo da se osoblje ne može pozvati na nepoznavanje politika koje je prekršilo.”
Revizor će provjeriti primjenjuje li se taj postupak dosljedno na svim razinama, osiguravajući da viši izvršni rukovoditelj koji prekrši Politiku čistog stola podliježe istom postupku kao i vježbenik. To je posljednja karika u lancu, koja upravljanje pretvara iz smjernice u provediv standard.
Jedinstvena karta usklađenosti: cjelovit pogled na upravljanje
Pritisak suvremenog upravljanja proizlazi iz činjenice da ono nikada ne ostaje unutar jednog okvira. Propisi poput NIS2 i DORA podigli su odgovornost rukovodstva s razine dobre prakse na razinu zakonske obveze s osobnom odgovornošću. Otporan CISO mora moći prikazati upravljanje na način koji istodobno zadovoljava više revizora.
Ova jedinstvena tablica, izvedena iz mapiranja u Zenith Controls, pokazuje kako je načelo odgovornosti rukovodstva univerzalan zahtjev u glavnim okvirima.
| Okvir/standard | Relevantna točka/kontrola | Kako se mapira na odgovornost najvišeg rukovodstva (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Točke 5.1, 5.2, 9.3 | Zahtijeva aktivno vodstvo, integraciju ISMS-a u poslovne procese i redovita preispitivanja od strane najvišeg rukovodstva. |
| EU NIS2 | Article 21(1) | Upravljačka tijela moraju odobriti i nadzirati prakse upravljanja kibernetičkim rizicima, uz osobnu odgovornost za propuste. |
| EU DORA | Article 5(2) | Upravljačko tijelo snosi krajnju odgovornost za okvir upravljanja IKT rizicima subjekta i operativnu otpornost. |
| EU GDPR | Articles 5(2), 24(1) | Načelo odgovornosti zahtijeva da voditelji obrade (više rukovodstvo) dokažu usklađenost i provedu odgovarajuće mjere. |
| NIST SP 800-53 | PM-1, PM-9 | Vodstvo mora uspostaviti plan sigurnosnog programa i stvoriti izvršnu funkciju za rizike radi jedinstvenog nadzora. |
| COBIT 2019 | EDM03 | Upravni odbor i izvršno rukovodstvo moraju vrednovati, usmjeravati i pratiti sigurnosne inicijative kako bi osigurali usklađenost s poslovnim ciljevima. |
Zaključak je jasan: svi revizori, bez obzira na okvir koji primjenjuju, približavaju se istom zahtjevu: „Pokažite mi upravljanje u praksi.”
Zaključak: pretvaranje upravljanja iz kvačice u kompas
Bolna je istina da se „usklađene” organizacije svakodnevno suočavaju s povredama. „Otporne” organizacije, međutim, preživljavaju i prilagođavaju se. Otpornost zahtijeva duboku integraciju politika, tehnologije i stvarnog izvršnog vlasništva. To nije niz obrazaca, nego kultura u kojoj se sigurnost i poslovna strategija kreću usklađeno.
Započnite postavljanjem teških pitanja:
- Je li naše sigurnosno vodstvo vidljivo? Sudjeluju li rukovoditelji izvan sigurnosne funkcije aktivno u odlukama o rizicima?
- Jesu li odgovornosti jasne? Može li svaki rukovoditelj objasniti svoje konkretne dužnosti u zaštiti informacija u svojem području?
- Je li upravljanje integrirano? Jesu li sigurnosna razmatranja od početka ugrađena u naše procese upravljanja projektima, nabave i ljudskih resursa?
- Učimo li iz pogrešaka? Kada se incident dogodi, pokreće li preispitivanje našeg okvira upravljanja, a ne samo naših tehničkih kontrola?
Razlika između preživljavanja incidenta i neuspjeha pod regulatornim nadzorom ovisi o tome koliko je duboko upravljanje utkano u vaše operacije. Ono je kompas koji vodi organizaciju kroz neizvjesnost. U trenutku krize, samo stvarno upravljanje stoji između usklađenosti i katastrofe.
Sljedeći koraci: učinite svoju otpornost mjerljivom
- Upotrijebite Zenith Blueprint za provjeru stvarnog stanja odgovornosti rukovodstva i osigurajte vidljivost sigurnosti u cijelom poslovanju.
- Provedite Clarysecove politike poput Politike uloga i odgovornosti u upravljanju kao žive dokumente koji pokreću osposobljavanje, eskalaciju i korektivne radnje.
- Iskoristite Zenith Controls kako biste bili spremni za reviziju u okviru ISO/IEC 27001:2022, NIS2, DORA i drugih okvira, uz konkretna mapiranja i pakete dokaza.
Jeste li spremni razviti svoje upravljanje iz kvačice u kompas? Rezervirajte pregled upravljanja ISMS-om s Clarysecom i stvarno uključite izvršni tim u upravljanje.
Reference:
- Zenith Blueprint: revizorova mapa puta u 30 koraka
- Zenith Controls: vodič za međusobnu usklađenost
- Politika uloga i odgovornosti u upravljanju
- Politika uloga i odgovornosti u upravljanju - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
