Už parašo ribų: kodėl vadovybės įsipareigojimas yra svarbiausia saugumo kontrolės priemonė

Vadovas vaiduoklis ir neišvengiama audito nesėkmė

Įsivaizduokite situaciją, kuri valdybų posėdžių salėse pasitaiko dažniau, nei norėtųsi pripažinti.

Aleksas, naujai paskirtas CISO, ateina į ketvirtinį valdybos posėdį. Jis parengė keturiasdešimties skaidrių pristatymą apie pažeidžiamumų taisymą, ugniasienės prieinamumą ir naujausius sukčiavimo apsimetant simuliacijos rezultatus. Generalinis direktorius, išsiblaškęs dėl susijungimo aptarimo, žvilgteli į ekraną, linkteli ir sako: „Panašu, kad IT tai valdo. Pasirūpink mūsų saugumu, Aleksai.“ Posėdis pereina prie pardavimų rodiklių.

Po šešių mėnesių organizacija patiria išpirkos reikalaujančios kenkėjiškos programinės įrangos ataką. Atkūrimas vyksta lėtai, nes verslo padaliniai niekada nebuvo išbandę veiklos tęstinumo planų. Gresia didelės reguliacinės baudos. Kai išorės auditorius atvyksta įvertinti jų ISO/IEC 27001:2022 atitikties, pirmasis klausimas nėra apie ugniasienę. Jis skamba taip: „Ar galiu pasikalbėti su generaliniu direktoriumi apie jo vaidmenį informacijos saugumo valdymo sistemoje (ISVS)?“

Generalinis direktorius sutrinka. „Tam ir pasamdžiau Aleksą.“

Auditas neišlaikytas. Ne dėl technologijų, o dėl esminio 5.1 punkto „Lyderystė ir įsipareigojimas“ nesupratimo.

Šiuolaikinėje atitikties aplinkoje vadovas vaiduoklis — lyderis, kuris pasirašo čekius, bet ignoruoja strategiją — yra viena didžiausių rizikų organizacijos saugumo būklei. Clarysec nuolat mato šį atotrūkį. Saugumas dažnai izoliuojamas kaip techninė problema, užuot jį priėmus kaip verslo būtinybę. Šis straipsnis padės panaikinti šį atotrūkį pasitelkiant Zenith Blueprint, mūsų Zenith Controls analizę ir realius politikų pavyzdžius, kad vadovybė iš pasyvios auditorijos taptų ISVS varomąja jėga.

Už parašo ribų: kaip atrodo tikra saugumo lyderystė

Lengva supainioti parašą ant politikos su tikru įsipareigojimu. Tačiau tvirta lyderystė, kurios reikalauja ISO/IEC 27001:2022 5.1 punktas, reiškia, kad vadovai ir valdybos nariai aktyviai tvirtina ISVS, ją remia ir aprūpina ištekliais, o vėliau prisiima atsakomybę už jos nuolatinį veiksmingumą. Standartas aiškus: aukščiausioji vadovybė negali deleguoti atskaitomybės.

Clarysec patirtis rodo, kad tvirta aukščiausiosios vadovybės lyderystė nėra vien ISO kontrolinio sąrašo punktas. Tai variklis, kuriantis saugumo kultūrą, veiksmingumą ir pasirengimą auditui. Tikras įsipareigojimas įrodomas šiais veiksmais:

• ISVS patvirtinimas: užtikrinama, kad informacijos saugumo politika būtų suderinta su organizacijos strategine kryptimi.
• Išteklių suteikimas: jei rizikos vertinimas parodo naujos priemonės, specializuotų mokymų ar papildomo personalo poreikį, vadovybė privalo tai finansuoti.
• Sąmoningumo skatinimas: kai generalinis direktorius apie saugumą kalba visuotiniame darbuotojų susirinkime, tai turi didesnį svorį nei šimtas IT skyriaus el. laiškų.
• ISVS integravimas į verslo procesus: saugumo peržiūros turi būti standartinė projektų valdymo, tiekėjų įtraukimo ir produktų kūrimo dalis, o ne vėlyvas priedas.

Kaip nurodyta mūsų Zenith Blueprint — 30 žingsnių auditoriaus veiksmų plane — lyderystės įrodymas prasideda nuo formalaus įsipareigojimo pareiškimo, tačiau jis turi būti pagrįstas nuolatiniais ir matomais veiksmais.

Politika kaip vadovybės balsas

Pagrindinė priemonė, kuria aukščiausioji vadovybė išreiškia savo ketinimus, yra Informacijos saugumo politika. Šis dokumentas nėra techninis vadovas; tai valdysenos direktyva, nustatanti toną visai organizacijai.

Mūsų įmonėms skirtoje Informacijos saugumo politikoje tai įvardijama tiesiogiai:

„Ši politika įgyvendina ISO/IEC 27001:2022 5.2 punktą ir 5.1 punktą, išreikšdama vadovybės ketinimą, aukščiausiosios vadovybės įsipareigojimą ir saugumo veiklų suderinimą su organizacijos tikslais.“ (Skyrius „Tikslas“, politikos punktas 1.3)

Mažesnėms organizacijoms taikomas paprastesnis, tačiau tokios pat svarbos požiūris. Mūsų Informacijos saugumo politika MVĮ pabrėžia aiškią atsakomybės savininkystę:

„Priskirti aiškią atsakomybę: užtikrinti, kad už informacijos saugumą visada būtų atsakingas konkretus asmuo. Paprastai tai yra generalinis direktorius arba jo formaliai paskirtas asmuo.“ (Skyrius „Tikslai“, politikos punktas 3.1)

Dažna audito klaida — painioti politikos prieinamumą su politikos komunikavimu. Egzistuojanti, bet nežinoma politika yra nenaudinga. ISO/IEC 27001:2022 7.3 punktas ir kontrolės priemonė 6.3 reikalauja, kad politika būtų veiksmingai komunikuojama. Jei auditorius atsitiktinio darbuotojo paklausia apie įmonės saugumo poziciją ir sulaukia tuščio žvilgsnio, tai aiški 5.1 punkto nesėkmė.

Įsipareigojimo pavertimas veikla: praktinis įrankių rinkinys

Norint abstraktų įsipareigojimą paversti audituojamais veiksmais, reikalingas struktūruotas požiūris. Taip Clarysec įrankių rinkinys paverčia vadovybės įsipareigojimus praktika.

1. Formalus įsipareigojimo pareiškimas

Vieša deklaracija įtvirtina ketinimą ir paaiškina lūkesčius. Zenith Blueprint rekomenduoja ją tiesiogiai įtraukti į informacijos saugumo politiką:

„[ Org Name ] generalinis direktorius ir vadovų komanda yra visiškai įsipareigoję informacijos saugumui. Informacijos saugumą laikome esmine mūsų verslo strategijos ir veiklos dalimi. Vadovybė užtikrins, kad informacijos saugumo valdymo sistemai įgyvendinti ir nuolat tobulinti pagal ISO/IEC 27001 reikalavimus būtų suteikti pakankami ištekliai ir parama.“

Tai nėra kosmetinis veiksmas. Auditoriai kalbins aukščiausiąją vadovybę, kad patvirtintų, jog ji supranta ir remia šį pareiškimą, užduodami konkrečius klausimus apie išteklių paskirstymą ir strateginį suderinimą.

2. Aiškūs vaidmenys, atsakomybės ir įgaliojimai (5.3 punktas)

Įsipareigojimas tampa apčiuopiamas, kai jis priskiriamas žmonėms. Vadovybė privalo paskirti atskaitingus savininkus kiekvienam ISVS elementui. RACI (atsakingas, atskaitingas, konsultuojamas, informuojamas) matrica yra itin vertingas įrodymas. Nors CISO gali būti atsakingas už strategijos vykdymą, aukščiausioji vadovybė išlieka atskaitinga už riziką.

Mūsų Valdysenos vaidmenų ir atsakomybių politika MVĮ formalizuoja šią architektūrą:

„Ši politika nustato, kaip organizacijoje priskiriamos, deleguojamos ir valdomos informacijos saugumo valdysenos atsakomybės, siekiant užtikrinti visišką atitiktį ISO/IEC 27001:2022 ir kitiems reguliavimo įpareigojimams.“ (Skyrius „Tikslas“, politikos punktas 1.1)

3. Išteklių paskirstymas: pinigai, žmonės ir priemonės

ISVS be išteklių yra tik popierinė veikla. Aukščiausioji vadovybė turi įrodyti įsipareigojimą skirdama apčiuopiamą biudžetą saugumo iniciatyvoms, nustatytoms rizikos vertinimų metu — nesvarbu, ar tai būtų naujos technologijos, patalpų atnaujinimai, ar specializuoti mokymai. Kaip pažymima Zenith Blueprint, jei rizikos vertinimas parodo poreikį, tikimasi, kad vadovybė jį finansuos.

4. Nuolatinė peržiūra ir nuolatinis tobulinimas (9.3 punktas)

Vadovybės įsipareigojimas yra nuolatinė pareiga, o ne vienkartinis veiksmas. Vadovybė privalo dalyvauti formaliuose ISVS peržiūros posėdžiuose (bent kartą per metus), kad įvertintų veiksmingumą pagal tikslus, įvertintų naujas rizikas, patvirtintų reikšmingus pakeitimus ir nustatytų tobulinimo kryptis. Posėdžių protokolai, veiklos rodiklių suvestinės ir dokumentuoti tobulinimo planai yra kritiškai svarbūs įrodymai bet kuriam auditui.

5. Saugumo sąmoningumo kultūros stiprinimas

Matomas vadovybės elgesys yra galingiausia kultūros kūrimo priemonė. Kai vadovai laikosi politikų ir kalba apie saugumo svarbą, tai siunčia aiškų signalą, kad saugumas yra kiekvieno atsakomybė. Tai aiškiai reikalaujama mūsų Informacijos saugumo politikoje, kurioje teigiama, kad vadovybė „rodo pavyzdį ir skatina stiprią informacijos saugumo kultūrą“. Šis lūkestis taikomas ir vidurinės grandies vadovams, kurie turi užtikrinti politikų laikymąsi savo komandose ir integruoti saugumą į kasdienę veiklą.

Kelių atitikties sistemų ekosistema: vienas įsipareigojimas, daug įpareigojimų

Aukščiausiosios vadovybės lyderystė nėra vien ISO reikalavimas; tai universalus visų pagrindinių saugumo, privatumo ir atsparumo sistemų pagrindas. Tvirtas įsipareigojimo įrodymas pagal ISO 27001 kartu tenkina pagrindinius NIS2, DORA, GDPR, NIST ir COBIT valdysenos reikalavimus.

Mūsų Zenith Controls analizė pateikia kritinį susiejimą, parodantį, kaip vienas veiksmas atitinka kelis atitikties įpareigojimus.

Pagal NIS2 nacionalinės institucijos gali taikyti aukščiausiajai vadovybei asmeninę atsakomybę už nesėkmes. Panašiai DORA įpareigoja valdymo organą apibrėžti, patvirtinti ir prižiūrėti IRT rizikos valdymo sistemą. Kaip pabrėžiama mūsų Zenith Controls analizėje:

„NIS2 reikalauja… dokumentuotos kibernetinio saugumo rizikos valdymo sistemos, įskaitant valdysenos lygmens saugumo politikas… ISO 27001 kontrolės priemonė 5.1 tiesiogiai tai įgyvendina, reikalaudama politikos, kuri apibrėžia saugumo tikslus, vadovybės įsipareigojimą ir atsakomybių priskyrimą.“

ISO 27001 įgyvendinimas nėra vien komercinis išskirtinumas; tai gynybinė strategija prieš reguliavimo veiksmus, nukreiptus į vadovybę.

Žmogiškasis veiksnys: asmens patikimumo patikrinimai kaip vadovybės sprendimas

Kuo darbuotojų asmens patikimumo patikrinimas susijęs su aukščiausiąja vadovybe? Viskuo.

Aukščiausioji vadovybė nustato organizacijos rizikos apetitą. ISO 27001:2022 kontrolės priemonė 6.1: asmens patikimumo patikrinimai yra tiesioginė operacinė šio rizikos sprendimo išraiška, nustatanti pasitikėjimo lygį, reikalingą asmenims, kad jie galėtų pasiekti įmonės turtą.

Kaip analizuojama Zenith Controls:

„NIS2 aiškiai reikalauja… žmogiškųjų išteklių saugumo priemonių, įskaitant saugumui jautrias pareigas einančio personalo patikrinimą. Kontrolės priemonė 6.1 tiesiogiai atitinka šį reikalavimą, nustatydama darbuotojų asmens patikimumo patikrinimus… Per patikrinimus organizacijos mažina vidinių grėsmių riziką ir užtikrina, kad prieigą turėtų tik patikimi asmenys.“

Ši viena kontrolės priemonė yra glaudžiai susijusi su kitomis. Ji veikia darbo sąlygas (kontrolės priemonė 6.2), tiekėjų santykius (kontrolės priemonė 5.19) ir privatumo įpareigojimus (kontrolės priemonė 5.34). Kai vadovybė spaudžia žmogiškųjų išteklių skyrių praleisti asmens patikimumo patikrinimus, kad būtų „greičiau pasamdyta“, ji aktyviai silpnina ISVS, pirmenybę teikdama greičiui, o ne deklaruotiems saugumo tikslams — tai aiškus 5.1 punkto pažeidimas.

Auditoriaus požiūris: pasirengimas klausimų sesijai

Auditoriai ne tik skaitys jūsų dokumentus; jie kalbins jūsų vadovus. Būtent čia tikro įsipareigojimo stoka tampa akivaizdi. Gerai pasirengęs CISO užtikrina, kad vadovybė galėtų užtikrintai atsakyti į sudėtingus klausimus.

Štai ko reikalaus auditoriai, vadovaudamiesi tokiais standartais kaip ISO 19011 ir ISO 27007.

Generalinis direktorius, gebantis paaiškinti, kaip saugumas įgalina verslo strategiją — saugodamas klientų pasitikėjimą, užtikrindamas paslaugų prieinamumą arba atverdamas prieigą prie rinkų — auditą išlaiko be priekaištų. Generalinis direktorius, kuris sako „tai apsaugo nuo virusų“, signalizuoja kritinę lyderystės nesėkmę.

Išvada: lyderystė yra svarbiausia kontrolės priemonė

Sudėtingame ISVS mechanizme ugniasienės gali sugesti, o programinėje įrangoje gali būti klaidų. Tačiau viena kontrolės priemonė negali žlugti — tai lyderystė. Aukščiausiosios vadovybės įsipareigojimas yra visos sistemos energijos šaltinis. Be jo politikos lieka tik popieriuje, o kontrolės priemonės tampa tik rekomendacijomis.

Vadovaudamiesi Zenith Blueprint ir naudodamiesi Zenith Controls analizės kelių atitikties sistemų įžvalgomis, galite šį įsipareigojimą dokumentuoti, įrodyti ir paversti praktika. Saugumas nėra tai, ką nusiperkate; tai yra tai, ką darote. Ir šis veikimas prasideda pačiame viršuje.

Pasirengę paversti savo vadovų komandą iš atitikties rizikos didžiausiu saugumo turtu? Susisiekite su Clarysec šiandien dėl vadovaujamo seminaro arba sužinokite, kaip mūsų Zenith sprendimų rinkinys gali supaprastinti jūsų kelią į realią, auditui atsparią saugumo valdyseną.