Nuo atitikties prie atsparumo: kaip vyriausieji informacijos saugumo vadovai (CISO) gali pašalinti valdysenos spragą
3 val. nakties įspėjimas: užmaskuota valdysenos nesėkmė
Maria, sparčiai augančios finansinių technologijų įmonės CISO, buvo pažadinta P1 įspėjimo. Produkcinė duomenų bazė, kuri turėjo būti izoliuota, komunikavo su nežinomu išoriniu IP adresu. Jos SOC komanda jau buvo įsitraukusi ir atsekė ryšį iki netinkamai sukonfigūruoto debesijos saugyklos konteinerio, kurį sukūrė rinkodaros analitikos komanda, testavusi naują klientų segmentavimo priemonę. Tiesioginė žala buvo suvaldyta, tačiau peržiūra po incidento atskleidė daug pavojingesnę problemą — ji neturėjo nieko bendra nei su ugniasienėmis, nei su kenkėjiška programine įranga.
Rinkodaros vadovui, užsakiusiam šią priemonę, nebuvo taikoma formali saugumo priežiūra. DevOps inžinierius, sukūręs aplinką, apeidamas standartines saugumo patikras siekė įvykdyti griežtą terminą. Nors saugykloje esantys duomenys buvo anonimizuoti, jie buvo pakankamai jautrūs, kad keliems pagrindiniams klientams būtų aktyvuotos sutartinės pranešimo sąlygos.
Pagrindinė priežastis nebuvo techninis pažeidžiamumas. Tai buvo katastrofiška valdysenos nesėkmė. Maria turėjo politikas, priemones ir talentingą komandą. Jai trūko gyvos, įgyvendinamos ir už saugumo padalinio ribų suprantamos valdysenos sistemos. Jos įmonė reikalavimus atitiko tik popieriuje — ISO/IEC 27001:2022 sertifikatas vis dar kabėjo ant sienos, tačiau praktikoje įmonė nebuvo atspari.
Būtent čia suklumpa daugelis organizacijų ir jų CISO. Jie valdysenos artefaktus — politikas ir kontrolinius sąrašus — painioja su pačia valdysena. Šiame straipsnyje paaiškinama, kur toks mąstymas klysta, ir pateikiamas konkretus veiksmų planas, kaip naudojant integruotą Clarysec priemonių rinkinį „popierinę atitiktį“ paversti tvaria verslo kontrole.
Ne tik segtuvas: valdysena kaip veikimas
Per ilgai valdysena buvo laikoma daiktavardžiu — statišku dokumentų rinkiniu, saugomu serveryje. Tačiau tikroji informacijos saugumo valdysena yra veiksmas. Tai nuolatinis vadovybės veiksmų rinkinys, kuriuo saugumas kryptingai valdomas, stebimas ir palaikomas kaip pagrindinė verslo funkcija. Tai sistema, kurioje visi — nuo valdybos posėdžių salės iki kūrimo komandos — supranta savo vaidmenį saugant organizacijos informacijos išteklius.
Nuo ISO/IEC 27001:2022 iki NIS2 taikomos sistemos remiasi ta pačia tiesa: valdysena yra vadovybės, o ne techninė funkcija. Pagal ISO/IEC 27014:2020 aukščiausioji vadovybė turi parengti informacijos saugumo strategiją, suderintą su organizacijos tikslais. Ši strategija turi užtikrinti, kad saugumo reikalavimai atitiktų ir vidaus, ir išorės poreikius, įskaitant teisinius, reguliacinius ir sutartinius įsipareigojimus. Tam patvirtinti vadovybė turi inicijuoti nepriklausomus auditus, puoselėti saugumą aktyviai palaikančią kultūrą ir užtikrinti, kad tikslai, vaidmenys ir ištekliai būtų tinkamai koordinuojami.
Problema ta, kad šis „tonas iš viršaus“ dažnai nevirsta veiksmais operaciniu lygmeniu. Čia tampa svarbi kritiškiausia ir dažnai neteisingai suprantama kontrolės priemonė — vadovybės atsakomybės.
Kaskadinis poveikis: kodėl saugumas negali sustoti ties CISO
Didžiausias bet kurios informacijos saugumo valdymo sistemos (ISVS) nesėkmės taškas yra prielaida, kad už saugumą vienas atsakingas CISO. Iš tikrųjų CISO yra dirigentas, o kiekvieno verslo padalinio vadovai — muzikantai. Jei jie neatlieka savo partijos, gaunamas triukšmas, o ne harmonija.
Būtent tai ISO/IEC 27001:2022 nagrinėja kontrolės priemonėje 5.4 „Vadovybės atsakomybės“. Ši kontrolės priemonė reikalauja, kad informacijos saugumo atsakomybės būtų priskirtos ir įgyvendinamos visoje organizacijoje. Kaip mūsų Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plane pabrėžiama 23 žingsnyje, ši kontrolės priemonė skirta užtikrinti, kad saugumo lyderystė kaskadiškai pasiektų kiekvieną organizacijos sluoksnį.
„Galiausiai kontrolės priemonė 5.4 patvirtina, kad saugumo lyderystė nesibaigia ties CISO. Ji turi kaskadiškai pereiti per kiekvieną operacinio valdymo sluoksnį, nes jūsų ISVS sėkmė ar nesėkmė dažnai priklauso ne nuo politikų ar priemonių, o nuo to, ar vadovai aktyviai remia saugumą savo atsakomybės srityse.“ Zenith Blueprint
Marios atveju rinkodaros vadovas saugumą laikė kliūtimi, o ne bendra atsakomybe. DevOps inžinierius matė terminą, o ne pareigą elgtis rūpestingai. Gyva valdysenos sistema būtų įtraukusi saugumo kontrolinius taškus į projekto inicijavimo procesą ir DevOps komandos veiklos rodiklius. Taip valdysena iš atitikties naštos virsta priemone katastrofai išvengti.
Nuo teorijos prie praktikos: valdysenos kūrimas per veiksmingas politikas
Politika lentynoje yra artefaktas; į kasdienę veiklą integruota politika yra kontrolės priemonė. Kad valdysena veiktų praktiškai, organizacijoms reikia aiškiai apibrėžtų pareigų. Mūsų Governance Roles & Responsibilities Policy sukurta būtent tam. Vienas pagrindinių jos tikslų yra:
„Palaikyti valdysenos modelį, kuris užtikrina pareigų atskyrimą, pašalina interesų konfliktus ir sudaro sąlygas eskaluoti neišspręstas saugumo problemas.“ Valdysenos vaidmenų ir atsakomybių politika
Šis teiginys aukšto lygio principą paverčia konkrečiu, audituojamu reikalavimu. Jis sukuria sluoksniuotos atskaitomybės sistemą, kurioje kiekvienas valdymo lygmuo dokumentuotai atsako už savo saugumo programos dalį. Mažesnėms organizacijoms Governance Roles & Responsibilities Policy - SME tai supaprastina: 4.3.3 punkte tiesiogiai nustatyta, kad kiekvienas darbuotojas „privalo nedelsdamas pranešti generaliniam direktoriui apie incidentus ir atitikties problemas“. Toks aiškumas pašalina neapibrėžtumą ir suteikia visiems įgaliojimus veikti.
Grįžkime prie Marios incidento ir pažiūrėkime, kaip ji galėtų pasitelkti Clarysec priemonių rinkinį, kad iš naujo suformuotų savo valdysenos požiūrį ir reaktyvią nesėkmę paverstų proaktyvia, atsparia sistema.
Politika kaip pagrindas: pirmiausia ji įdiegtų Valdysenos vaidmenų ir atsakomybių politiką. Bendradarbiaudama su žmogiškųjų išteklių skyriumi, ji įtrauktų konkrečias saugumo pareigas į visų vadovų — nuo rinkodaros iki finansų — pareigybių aprašymus. Taip saugumas taptų formalia jų vaidmens dalimi, o ne vėliau prisimenamu aspektu.
„Kaip“ apibrėžimas: tada ji naudotų politiką aiškiam procesui nustatyti. Politikos 7.2.2 punkte nurodyta: „Su valdysena susijusias rizikas turi peržiūrėti ISVS valdymo komitetas ir jos turi būti patvirtintos vidaus auditų metu.“ Tai sukuria formalią erdvę, kurioje naujas rinkodaros vadovo projektas būtų buvęs peržiūrėtas prieš sukuriant bet kokią debesijos aplinką, taip užkertant kelią pradinei netinkamai konfigūracijai.
Kryžminės atitikties žvalgybos panaudojimas: kad suprastų visą naujojo valdysenos modelio taikymo sritį, Maria pasitelktų Zenith Controls: kryžminės atitikties vadovą. Šis išteklius rodo, kad „Vadovybės atsakomybės“ (ISO 5.4) nėra izoliuota užduotis, o centrinis mazgas, susiejantis kitas kritines kontrolės priemones. Pavyzdžiui, jis atskleidžia tiesioginį ryšį tarp 5.4 ir 5.8 („Informacijos saugumas projektų valdyme“), užtikrinant, kad vadovybė vykdytų būtiną priežiūrą saugumui įtvirtinti visose naujose iniciatyvose.
Toks proaktyvus požiūris perkelia valdyseną nuo reaktyvios analizės po incidento prie verslą įgalinančios funkcijos. Jis užtikrina, kad vadovui norint paleisti naują priemonę pirmoji mintis būtų ne „Kaip tai prastumti pro saugumą?“, o „Su kuo iš saugumo komandos turiu bendradarbiauti?“
Auditorius jau pakeliui: kaip įrodyti, kad jūsų valdysena reali
Patyręs auditorius ieško įgyvendinimo įrodymų — tai Zenith Blueprint vadina politikos suderinimu su „realybe“. Vertindamas jūsų valdysenos sistemą auditorius ne tik skaito dokumentus; jis tikrina organizacijos „raumenų atmintį“. Jis ieško įrodymų, kad valdysena yra gyva, aktyvi ir reaguojanti.
Skirtingi auditoriai jūsų valdysenos sistemą tikrins iš skirtingų perspektyvų. Taip jie vertintų naująjį, sustiprintą Marios valdysenos modelį:
ISO/IEC 27001:2022 auditorius: šis auditorius tiesiogiai pereis prie vadovybės įsipareigojimo įrodymų, kurių reikalaujama 5.1 punkte. Jis prašys vadovybės peržiūros posėdžių protokolų (9.3 punktas). Jis ieškos darbotvarkės klausimų, kuriuose buvo aptartas saugumo veiksmingumas, paskirstyti ištekliai ir priimti sprendimai remiantis rizikos vertinimais. Auditorius norės matyti, kad vadovybė ne tik gauna ataskaitas, bet ir aktyviai nukreipia ISVS.
COBIT 2019 auditorius: COBIT auditorius mąsto organizacijos tikslų kategorijomis. Jis sutelks dėmesį į valdysenos tikslus, tokius kaip EDM03 („Užtikrintas rizikos optimizavimas“). Jis prašys parodyti valdybai pateiktas rizikos ataskaitas ir norės žinoti, ar vadovybė stebi pagrindinius saugumo rodiklius ir imasi korekcinių veiksmų, kai šie rodikliai blogėja. Jam valdysena reiškia užtikrinimą, kad saugumas įgalintų ir apsaugotų verslo vertę.
ISACA auditorius: vadovaudamasis tokiomis sistemomis kaip ITAF, šis auditorius ypač daug dėmesio skirs „tonui iš viršaus“. Jis kalbins vyresniuosius vadovus, kad įvertintų jų supratimą ir įsipareigojimą. Lėtas arba atmestinas vadovybės atsakas į ankstesnę audito išvadą yra rimtas pavojaus signalas, rodantis silpną valdysenos kultūrą.
NIS2 arba DORA reguliuotojas: taikant tokius reglamentus kaip NIS2 ir DORA, rizika didesnė. Šios sistemos nustato tiesioginę asmeninę atsakomybę valdymo organams už kibernetinio saugumo nesėkmes. Kompetentingos institucijos auditorius reikalaus įrodymų, kad valdyba patvirtino kibernetinio saugumo rizikos valdymo sistemą, prižiūrėjo jos įgyvendinimą ir gavo specializuotus mokymus. Jis ieškos įrodymų, kad vadovybė ne tik žino, bet ir aktyviai dalyvauja bei yra atskaitinga.
Norint patenkinti šiuos skirtingus audito metodus, nepakanka pateikti vien politikų. Reikia įrodymų portfelio.
| Audito dėmesio sritis | Reikalingi įrodymai |
|---|---|
| Aukščiausiosios vadovybės įsitraukimas | Vadovybės peržiūros posėdžių protokolai, patvirtinti biudžetai, valdybos pristatymai ir strateginė komunikacija. |
| Veiksmingumo peržiūros | Vadovybės sprendimų veiksmų žurnalai, stebimi pagal rizikos vertinimus nustatyti rizikos mažinimo veiksmai. |
| Atskaitomybė ir reagavimas | RACI matricos, pareigybių aprašymai su saugumo pareigomis, incidentų ataskaitos, rodančios eskalavimą vadovybei. |
| Formalus priskyrimas | Pasirašyti saugumo komitetų nuostatai, formalūs rizikos savininkų vaidmenų aprašymai, metiniai padalinių vadovų patvirtinimai. |
Jei jūsų įrodymai apsiriboja politikų PDF failais ir nėra operacinių žurnalų, audito nepraeisite. Zenith Controls vadovas padeda surinkti tinkamą portfelį, kad parodytumėte įrodymus, o ne vien ketinimus.
Grįžtamojo ryšio ciklas: incidentų pavertimas atsparumu
Galiausiai stipriausias atsparios valdysenos sistemos įrodymas yra tai, kaip organizacija reaguoja į nesėkmę. Tikras atsparumas reiškia mokymąsi, prisitaikymą ir veikimą. Kaip Zenith Blueprint nurodo aptardamas kontrolės priemonę 5.24 („Informacijos saugumo incidentų valdymo planavimas ir pasirengimas“):
„Saugios organizacijos neapibrėžia incidentų nebuvimas, o pasirengimas juos valdyti, kai jie įvyksta… Ši kontrolės priemonė skirta tobulinimui, o ne vien uždarymui. Auditoriai klaus: „Ko išmokote iš paskutinio incidento?“ Jie tikėsis matyti pagrindinės priežasties analizę, užfiksuotą įgytą patirtį ir, svarbiausia, įrodymus, kad dėl to kažkas pasikeitė.“
Marios atveju „pasikeitęs dalykas“ buvo ne tik ugniasienės taisyklė. Tai buvo valdysenos proceso įgyvendinimas, pagal kurį naujiems projektams reikėjo vadovybės patvirtinimo, aiškios RACI matricos debesijos diegimams ir privalomųjų saugumo mokymų rinkodaros komandai. Jos gebėjimas parodyti šį mokymosi ciklą galimą reikšmingą neatitiktį paverstų brandžios ir tobulėjančios ISVS įrodymu.
Čia valdysena įrodo savo vertę. Nesėkmė nebėra vien techninė problema, kurią reikia ištaisyti, — tai organizacinė pamoka, kurią reikia išmokti ir integruoti. Kaip Valdysenos vaidmenų ir atsakomybių politikoje nurodyta 9.1.1.4 skirsnyje, „reikšmingos audito išvados arba incidentai, susiję su valdysenos nesėkme“, nėra slepiami; jie peržiūrimi, eskaluojami ir dėl jų imamasi veiksmų.
Kaip įtvirtinti valdyseną: atskaitomybės vaidmuo
Net turint geriausias politikas ir vadovybės pritarimą, valdysena gali žlugti, jei už reikalavimų nesilaikymą nėra pasekmių. Iš tiesų tvirta sistema turi būti paremta sąžiningu, nuosekliu ir gerai iškomunikuotu drausminiu procesu. Tai yra ISO/IEC 27001:2022 kontrolės priemonės 6.4 „Drausminis procesas“ dėmesio sritis.
Ši kontrolės priemonė užtikrina, kad ISVS taisyklės nebūtų pasirenkamos. Ji suteikia įgyvendinimo užtikrinimo mechanizmą, kuris parodo vadovybės įsipareigojimą saugumui. Kaip išsamiai nurodyta Zenith Controls, šis procesas yra kritinė rizikos valdymo priemonė vidinėms grėsmėms ir aplaidumui valdyti. Jis veikia kartu su kitomis kontrolės priemonėmis: stebėsenos veiklos (8.16) gali nustatyti politikos pažeidimą, o drausminis procesas (6.4) apibrėžia formalų atsaką.
„Drausminės priemonės yra labiau pagrįstos, kai darbuotojai buvo tinkamai apmokyti ir supažindinti su savo atsakomybėmis. Kontrolės priemonė 6.4 remiasi 6.3 („Informacijos saugumo sąmoningumas, švietimas ir mokymas“), kad darbuotojai negalėtų teigti nežinoję pažeistų politikų.“
Auditorius tikrins, ar šis procesas vienodai taikomas visais lygmenimis, užtikrinant, kad vyresnysis vadovas, pažeidęs Švaraus stalo politiką, būtų vertinamas pagal tą patį procesą kaip ir praktikantas. Tai paskutinė grandinės jungtis, paverčianti valdyseną iš gairių į privalomą standartą.
Vieningas atitikties žemėlapis: bendras valdysenos vaizdas
Šiuolaikinės valdysenos iššūkis tas, kad ji niekada neapsiriboja viena sistema. Tokie reglamentai kaip NIS2 ir DORA vadovybės atsakomybę pakėlė nuo gerosios praktikos iki teisinio reikalavimo su asmenine atsakomybe. Atsparus CISO turi gebėti parodyti valdyseną taip, kad vienu metu patenkintų kelių auditorių reikalavimus.
Ši suvienodinta lentelė, parengta pagal Zenith Controls susiejimus, rodo, kad vadovybės atsakomybės principas yra universalus reikalavimas pagrindinėse sistemose.
| Sistema / standartas | Susijęs punktas / kontrolės priemonė | Kaip tai siejasi su vadovų atsakomybe (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | 5.1, 5.2, 9.3 punktai | Reikalaujama aktyvios lyderystės, ISVS integravimo į verslo procesus ir reguliarių vadovybės peržiūrų. |
| ES NIS2 direktyva | Article 21(1) | Valdymo organai turi patvirtinti ir prižiūrėti kibernetinio saugumo rizikos valdymo praktikas, o už nesėkmes jiems taikoma asmeninė atsakomybė. |
| ES DORA reglamentas | Article 5(2) | Valdymo organas prisiima galutinę atsakomybę už subjekto IRT rizikos valdymo sistemą ir operacinį atsparumą. |
| ES GDPR | Articles 5(2), 24(1) | Atskaitomybės principas reikalauja, kad duomenų valdytojai (vyresnioji vadovybė) pagrįstų atitiktį ir įgyvendintų tinkamas priemones. |
| NIST SP 800-53 | PM-1, PM-9 | Vadovybė turi nustatyti saugumo programos planą ir sukurti rizikos vadovavimo funkciją vieningai priežiūrai. |
| COBIT 2019 | EDM03 | Valdyba ir vadovybė turi vertinti, nukreipti ir stebėti saugumo iniciatyvas, kad užtikrintų suderinimą su verslo tikslais. |
Išvada aiški: visi auditoriai, nepriklausomai nuo taikomos sistemos, artėja prie to paties reikalavimo: „Parodykite valdyseną veikloje.“
Išvada: valdysenos pavertimas iš žymimo langelio į kompasą
Skaudi tiesa ta, kad „atitinkančios reikalavimus“ organizacijos pažeidžiamos kasdien. Tačiau „atsparios“ organizacijos išgyvena ir prisitaiko. Atsparumui reikia gilios politikos, technologijų ir tikros aukščiausiosios vadovybės atsakomybės integracijos. Tai ne formų paradas, o kultūra, kurioje saugumas ir verslo strategija juda išvien.
Pradėkite nuo sudėtingų klausimų:
- Ar mūsų saugumo lyderystė matoma? Ar ne saugumo funkcijos vadovai aktyviai dalyvauja rizikos sprendimuose?
- Ar atsakomybės aiškios? Ar kiekvienas vadovas gali įvardyti konkrečias savo pareigas saugant informaciją savo atsakomybės srityje?
- Ar valdysena integruota? Ar saugumo aspektai nuo pradžių įtraukti į mūsų projektų valdymo, pirkimų ir žmogiškųjų išteklių procesus?
- Ar mokomės iš klaidų? Ar įvykus incidentui peržiūrime valdysenos sistemą, o ne tik technines kontrolės priemones?
Skirtumą tarp incidento suvaldymo ir nesėkmės priežiūros institucijų akivaizdoje lemia tai, kaip giliai valdysena įausta į jūsų veiklą. Ji yra kompasas, vedantis organizaciją per neapibrėžtumą. Krizės akimirką tarp atitikties ir katastrofos stovi tik reali valdysena.
Kiti veiksmai: padarykite atsparumą išmatuojamą
- Naudokite Zenith Blueprint vadovybės atskaitomybės realumo patikrai atlikti ir užtikrinti, kad saugumas būtų matomas visame versle.
- Įgyvendinkite Clarysec politikas, pvz., Valdysenos vaidmenų ir atsakomybių politiką, kaip gyvus dokumentus, kurie skatina mokymus, eskalavimą ir korekcinius veiksmus.
- Pasitelkite Zenith Controls, kad būtumėte pasirengę auditui pagal ISO/IEC 27001:2022, NIS2, DORA ir kitus reikalavimus, turėdami konkrečius susiejimus ir įrodymų paketus.
Esate pasirengę savo valdyseną paversti iš žymimo langelio į kompasą? Užsisakykite ISVS valdysenos peržiūrą su Clarysec ir iš tikrųjų perduokite vykdomajai komandai valdymo svertus.
Nuorodos:
- Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas
- Zenith Controls: kryžminės atitikties vadovas
- Valdysenos vaidmenų ir atsakomybių politika
- Valdysenos vaidmenų ir atsakomybių politika - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
