Darbuotojų gyvavimo ciklo apsauga: išsamus ISVS grįstas požiūris pagal ISO 27001:2022, NIS2, DORA ir GDPR

Kaip vienas praleistas darbo santykių nutraukimo žingsnis sukėlė krizę: įspėjimas CISO

Pirmadienio rytą Sarah, sparčiai augančios finansinių technologijų įmonės informacijos saugumo vadovę (CISO), sukrėtė aukšto prioriteto įspėjimas: bandymas iš kūrimo serverio iškelti duomenis naudojant Alex prisijungimo duomenis – kūrėjo, kuris vos prieš kelias dienas buvo pateikęs prašymą išeiti iš darbo. Darbų perdavimas buvo atliktas formaliai: skubotas el. laiškas, trumpas atsisveikinimas, tačiau nei personalo, nei IT procesuose nebuvo įrašų, patvirtinančių, kad Alex prieiga buvo visiškai atšaukta. Ar jis tiesiog pasiėmė asmeninį kodą, ar tai buvo pramoninis šnipinėjimas?

Skubus incidento suvaldymas atskleidė nepatogius faktus. Alex priėmimo metu atliktas minimalus asmens patikimumo patikrinimas buvo tik formalus langelio pažymėjimas. Jo sutartyje saugumo įsipareigojimai buvo aptarti paviršutiniškai. O išėjimo procesas? Pasenęs kontrolinis sąrašas, niekada realiai nesusietas su tikralaikėmis sistemomis. Auditoriai – pirmiausia vidaus, netrukus ir išorės – reikalavo paaiškinimų. Reguliavimo institucijos taip pat galėjo būti visai netoli.

Tai nebuvo vien Alex klausimas. Įvykis atskleidė universalią ir labai reikšmingą riziką: darbuotojų gyvavimo ciklą kaip grėsmių paviršių. Kiekvienam CISO ir atitikties vadovui iššūkis aiškus: kaip užtikrinti nepriekaištingą saugumą nuo priėmimo į darbą iki išėjimo, kiekviename etape, ir būti pasirengus tai pagrįsti audito metu?

Kodėl darbuotojų gyvavimo ciklas dabar yra jūsų saugumo perimetras

Šiuolaikinės įmonės susiduria su sudėtingu reguliacinių iššūkių rinkiniu – ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST SP 800-53 ir COBIT, ir tai tik keli pavyzdžiai. Susikirtimo taškas? Jūsų žmonės. Kiekvienas etapas – atranka, priėmimas į darbą, darbo santykių laikotarpis, vaidmens pakeitimas, išėjimas – sukuria atskiras, audituojamas informacijos saugumo ir duomenų apsaugos rizikas.

Kaip išdėstyta Zenith Controls: tarpstandartinės atitikties vadove:
„Darbuotojų gyvavimo ciklas reikalauja formalių, audituojamų sąsajų tarp personalo, IT ir atitikties funkcijų. Kiekviena kontrolės priemonė turi užtikrinti identifikavimą, turto priskyrimą, politikų patvirtinimą ir savalaikį prieigos valdymą, susiejant tai su pagrindiniais pasauliniais standartais.“

Išskaidykime kiekvieną gyvavimo ciklo etapą į detalius, praktiškai taikomus veiksmus, kontrolės priemones ir realias audito įžvalgas, pasitelkdami Clarysec Zenith Blueprint, Zenith Controls ir politikų šablonus.

1. Atranka ir etapas iki įdarbinimo: pasitikėjimo sukūrimas iki pirmos darbo dienos

Saugi darbo jėga prasideda gerokai anksčiau nei pirmasis atlyginimo mokėjimas. Paviršutiniško tikrinimo nebepakanka; standartai ir reguliavimo institucijos reikalauja proporcingo, rizika grįsto patikrinimo.

Pagrindinės kontrolės priemonės ir politikų susiejimas

5.1 Priėmimo į darbą procesas 5.1.1 Naujų darbuotojų, rangovų arba trečiųjų šalių naudotojų priėmimas į darbą turi vykti pagal struktūruotą procesą, kuris apima: 5.1.1.1 Asmens patikimumo patikrinimą (kai tai leidžiama pagal teisės aktus) Priėmimo į darbą ir darbo santykių nutraukimo politika, 5.1 punktas (Priėmimo į darbą ir darbo santykių nutraukimo politika)

Veiksmai su Clarysec

• Taikykite verslo rizikai proporcingą asmens patikimumo patikrinimą, pagrįstą dokumentuotais įrodymais iki sutarties sudarymo.
• Reikalaukite skaitmeninio politikų patvirtinimo ir konfidencialumo susitarimo patvirtinimo.

Susieta su Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plano 1 faze („Taikymo sritis ir kontekstas“), 3 faze („Žmogiškųjų išteklių saugumas“), 9 žingsniu: „Formalios naujų darbuotojų patikrinimo procedūros“.

2. Priėmimas į darbą: prieigos susiejimas su vaidmeniu ir kiekvieno turto įrašymas

Priėmimas į darbą yra pagrindinis rizikos atsiradimo lūžio taškas. Prastai valdoma paskyrų suteikimo procedūra ir neaiški turto savininkystė sudaro sąlygas duomenų nutekėjimui, kartais net po kelerių metų.

Kontrolės priemonės ir įgyvendinimas

„Visas personalui priskirtas aparatinis ir programinis turtas privalo būti registruojamas, stebimas ir reguliariai peržiūrimas dėl atitikties Turto valdymo politikai.“
Turto valdymo politika, 5.2 skyrius (Turto valdymo politika)

Geroji praktika su Clarysec

• Paleiskite priėmimo į darbą darbo eigą, kuri fiksuoja:
  • naudotojo paskyros sukūrimą su patvirtinimo įrašu;
  • turto priskyrimus (aparatinė įranga, programinė įranga, tapatybės kortelės), susietus su darbuotojo profiliu;
  • kelių veiksnių autentifikavimą ir paslapčių valdymą;
  • vaidmenimis grįstus politikų ir mokymų reikalavimus.
• Pridėkite visus įrašus prie naudotojo ir vaidmens, kaip numatyta Zenith Blueprint, 12 žingsnyje: Tapatybės ir prieigos priskyrimas.

3. Vaidmens pakeitimas: rizikos valdymas vidinio mobilumo metu

Vidiniai paaukštinimai, perkėlimai ir funkcijų pokyčiai yra vienas pagrindinių prieigos teisių kaupimosi veiksnių. Be griežto proceso privilegijuotos teisės ir turto išskaidymas silpnina net brandžiausias saugumo programas.

Kontrolės priemonės ir audito lentelė

„Kiekvieną kartą pasikeitus darbuotojo vaidmeniui arba padaliniui, jo prieigos teisės ir turto priskyrimai turi būti formaliai pakartotinai įvertinti ir atnaujinti, o nebereikalinga prieiga – panaikinta.“
Prieigos kontrolės politika, 6.4 skyrius (Prieigos kontrolės politika)

Įgyvendinimas naudojant Clarysec

• Personalo funkcija inicijuoja rizikos vertinimą ir prieigos peržiūrą kiekvieno vidinio perkėlimo atveju.
• IT ir vadovybė kartu patvirtina arba atšaukia privilegijas; visi pakeitimai registruojami žurnaluose ir susiejami su naudotojo atitikties profiliu.
• Zenith Controls tai išskiria A.7.2 („Naudotojų atsakomybės“) ir A.8.2 („Darbo santykių pakeitimas“) kontekste.
• Kiekvienas atnaujinimas yra įrodymas būsimam auditui.

4. Darbo santykių laikotarpis: gyvos žmogiškosios ugniasienės palaikymas

Ilgiausias ir kritiškiausias rizikos laikotarpis yra tęstiniai darbo santykiai. Be prasmingo informuotumo, stebėsenos ir griežto reagavimo organizacijos „žmogiškoji ugniasienė“ neišvengiamai nesuveiks.

Informuotumas, stebėsena ir politikų taikymas

„Visas personalas privalo dalyvauti kasmetiniuose saugumo mokymuose, o mokymų baigimo įrašus turi saugoti personalo funkcija ir stebėti atitikties funkcija.“
Informacijos saugumo informuotumo ir mokymo politika, 7.2 skyrius (Informacijos saugumo informuotumo ir mokymo politika)

Kaip Clarysec sustiprina procesą

• Įpareigokite kasmetinius (arba dažnesnius) saugumo informuotumo mokymus ir vaidmenimis grįstus mokymus, sekamus mokymosi valdymo sistemoje, integruotoje su prieigos valdymu.
• Vykdykite imituotas duomenų viliojimo kampanijas ir matuokite reakciją; rezultatus susiekite su konkretaus darbuotojo profiliu, kad būtų užtikrintas nuolatinis tobulinimas.
• Nuolatiniam tobulinimui naudokite Zenith Blueprint, 19 žingsnį: Informuotumo mokymai.

5. Pažeidimų tvarkymas: drausminės procedūros taikymas

Joks gyvavimo ciklo valdymas nėra išsamus be aiškaus, taikomo ir audituojamo eskalavimo kelio politikų ir atsakomybės pažeidimams.

Kontrolės priemonė ir politika

• Parenkite ir dokumentuokite formalų, koordinuotą požiūrį kartu su personalo funkcija ir teisininkais.
• Aiškiai komunikuokite politiką ir eskalavimo mechanizmus, kaip reikalaujama pagal Zenith Controls ir COBIT APO07.

6. Darbo santykių nutraukimas: greitas prieigos spragų uždarymas

„Atsisveikinimo“ etapas dažnai yra ta vieta, kur gimsta CISO košmarai, tokie kaip Sarah istorija. Užsilikusios paskyros, pamirštas turtas ir nepakankama dokumentacija tampa patraukliais taikiniais vidinėms grėsmėms ir išorės užpuolikams, ypač organizacinės įtampos arba darbuotojų kaitos laikotarpiais.

Kontrolės priemonių susiejimas ir protokolas

Politikos citata:

5.3 Nutraukimo procesas
5.3.1 Gavusi pranešimą apie savanorišką arba nesavanorišką išėjimą, personalo funkcija privalo:
5.3.1.1 Pranešti įsigaliojimo datą ir statusą IT, patalpų valdymo ir saugumo funkcijoms
5.3.1.2 Inicijuoti prieigos panaikinimo, turto surinkimo ir atšaukimo darbo eigas
5.3.1.3 Užtikrinti, kad atleistas naudotojas būtų pašalintas iš platinimo sąrašų, ryšių sistemų ir nuotolinės prieigos platformų
5.3.1.4 Aukštų privilegijų arba didelės rizikos naudotojams (pvz., administratoriams, finansų darbuotojams) privalomas nedelsiamas prieigos atšaukimas (per 4 darbo valandas).
5.4 Prieigos teisių atšaukimas ir turto susigrąžinimas…."
Priėmimo į darbą ir darbo santykių nutraukimo politika, 5.1 punktas (Priėmimo į darbą ir darbo santykių nutraukimo politika)

Susietos sistemos: kodėl darbo santykių nutraukimas yra atitikties sankirta

Kaip apibendrinta Zenith Controls: „Darbo santykių nutraukimas reikalauja dokumentuotų, tikralaikių įrodymų apie prieigos teisių atšaukimą, turto grąžinimą ir duomenų ištrynimą, susietų su kelių sistemų atitiktimi.“

7. Pažangi tarpstandartinė atitiktis: NIS2, DORA, GDPR, NIST, COBIT ir kitų reikalavimų įvykdymas

Darbuotojų gyvavimo ciklas dabar yra pasaulinių, sektorinių ir nacionalinių režimų sankirtoje.

Vieningos kontrolės priemonės, vienas gyvavimo ciklo protokolas

• NIS2 (Article 21): įpareigoja personalo saugumą, kasmetinį informuotumą ir darbo santykių nutraukimo patvirtinimą.
• DORA: reikalauja turto apskaitos, rizikos ataskaitų teikimo ir trečiųjų šalių vaidmenų sekimo.
• GDPR: duomenų minimizavimas, „teisė būti ištrintam“, darbo santykių įrašų disciplina.
• NIST SP 800-53: sustiprina privilegijuotą prieigą, stebėseną ir pareigų atskyrimą.
• COBIT 2019: reikalauja turto, prieigos ir politikų gyvavimo ciklo atsekamumo.

Tik struktūruotas, kryžmiškai susietas protokolas, kurį įgalina Zenith Controls ir Zenith Blueprint, užtikrina visapusišką aprėptį ir pasirengimą auditui.

Audito realybė: ko kiekvienas auditorius ieško gyvavimo ciklo saugume

Auditoriai gyvavimo ciklo saugumą vertina per skirtingas, tačiau persidengiančias perspektyvas:

Citata iš Zenith Controls:

„Veiksmingas saugumas priklauso nuo to, kaip greitai organizacijos gali patikrinimo metu pagrįsti reikalavimus atitinkantį gyvavimo ciklo valdymą.“ (Zenith Controls)

Spąstai ir geroji praktika: praktinės pamokos iš pirmosios linijos

Spąstai

• Atsieta personalo ir IT atskaitomybė
• Priėmimas į darbą nesusietas su rizikomis arba dokumentuotas neišsamiai
• Pamirštos paskyros / turtas po išėjimo arba paaukštinimo
• Trūksta patikros arba mokymų įrodymų
• Rankiniai, nepakartojami kontrolinių sąrašų procesai

Geroji praktika su Clarysec

• Naudokite Zenith Blueprint, kad valdytumėte ir dokumentuotumėte kiekvieną gyvavimo ciklo žingsnį, susiedami jį su kontrolės priemonėmis ir įrodymais.
• Diekite Zenith Controls, kad vienoje sistemoje sujungtumėte ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST, COBIT ir kitus reikalavimus.
• Automatizuokite įrodymų rinkimą ir kryžminį susiejimą tarp IT, personalo ir atitikties funkcijų.
• Planuokite reguliarius, pagal vaidmenis pritaikytus mokymus ir imituokite realaus pasaulio grėsmes.
• Vykdykite priešauditinius savęs vertinimus naudodami Clarysec šablonus ir užverkite spragas iki auditoriams atvykstant.

Clarysec praktiškai: realistiška sistema sėkmei keliose jurisdikcijose ir pagal kelis standartus

Įsivaizduokime tarptautinį draudiką, naudojantį Clarysec ekosistemą:

• Atranka pradedama nuo rizika grįstų asmens patikimumo patikrinimų, patvirtinamų skaitmeniniais įrodymais.
• Priėmimas į darbą inicijuoja IT ir personalo prieigos suteikimą, o turtas ir mokymai susiejami su darbuotojo identifikatoriumi.
• Vaidmens pakeitimai paleidžia dinaminę darbo eigą: peržiūrimos teisės ir turtas, atnaujinama rizika.
• Mokymai sekami, užbaigimas privalomai užtikrinamas, neatitiktis pažymima tolesniems veiksmams.
• Darbo santykių nutraukimas vykdomas seka: personalo funkcija inicijuoja, IT atšaukia prieigą, turtas grąžinamas, duomenys išvalomi, viskas patvirtinama laiko žymomis pažymėtais įrodymais.
• Auditoriai pasiekia vieningą įrodymų saugyklą, kurioje užtikrinamas atsekamumas pagal kiekvieną standartą.

Tai nėra teorija – tai operacinis atsparumas, pasitikėjimas audito metu ir atitikties efektyvumas, kurį užtikrina Clarysec sprendimų rinkinys.

Kiti žingsniai: nuo reaktyvaus blaškymosi prie proaktyvios kontrolės

Sarah istorija yra aiškus įspėjimas: nekontroliuojama gyvavimo ciklo rizika yra saugumo ir atitikties katastrofa, tik laukianti progos įvykti. Organizacijos, kurios įdiegia šias kontrolės priemones, jas holistiškai susieja ir kiekvieną žingsnį pagrindžia įrodymais, pereina nuo nuolatinės audito panikos prie supaprastinto strateginio pranašumo.

Imkitės veiksmų šiandien:

• Užsisakykite individualią konsultaciją, kad suderintumėte Zenith Blueprint ir Zenith Controls su savo unikalia personalo ir IT aplinka.
• Atlikite saviaudito simuliaciją, kad atskleistumėte ir pašalintumėte gyvavimo ciklo spragas prieš kitą netikėtą atsistatydinimą ar reguliuotojo skambutį.

Clarysec: apsaugokite kiekvieną etapą, pagrįskite kiekvieną žingsnį, atlaikykite kiekvieną auditą.

Šaltiniai:

• Zenith Controls: tarpstandartinės atitikties vadovas
• Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas
• Priėmimo į darbą ir darbo santykių nutraukimo politika
• Turto valdymo politika
• Prieigos kontrolės politika
• Informacijos saugumo informuotumo ir mokymo politika
  Daugiau tarpstandartinės atitikties įžvalgų ir įrankių rasite Clarysec politikų bibliotekoje.