No atbilstības līdz noturībai: kā CISO var novērst pārvaldības plaisu
Trauksme plkst. 3.00: pārvaldības kļūme, kas maskējas kā tehnisks incidents
Mariju, strauji augoša finanšu tehnoloģiju uzņēmuma CISO, nakts vidū pamodināja P1 brīdinājums. Produkcijas datubāze, kurai bija jābūt izolētai, veidoja savienojumu ar nezināmu ārēju IP adresi. Viņas drošības operāciju centra (SOC) komanda jau bija iesaistījusies un izsekoja savienojumu līdz nepareizi konfigurētam mākoņkrātuves konteineram, ko mārketinga analītikas komanda bija izveidojusi, testējot jaunu klientu segmentācijas rīku. Tūlītējais kaitējums tika ierobežots, taču pēcincidenta izvērtējums atklāja daudz bīstamāku problēmu — tā nebija saistīta ne ar ugunsmūriem, ne ar ļaunatūru.
Mārketinga vadītājam, kurš pasūtīja rīku, nebija formālas drošības pārraudzības. DevOps inženieris, kurš izveidoja vidi, apgāja standarta drošības pārbaudes, lai iekļautos saspringtā termiņā. Lai gan konteinerā esošie dati bija anonimizēti, tie bija pietiekami sensitīvi, lai iedarbinātu līgumos noteiktās paziņošanas klauzulas ar vairākiem būtiskiem klientiem.
Pamatcēlonis nebija tehniska ievainojamība. Tā bija katastrofāla pārvaldības kļūme. Marijai bija politikas, rīki un spēcīga komanda. Viņai trūka pārvaldības ietvara, kas būtu dzīvs, praktiski piemērots un saprotams arī ārpus drošības struktūrvienības. Uzņēmums bija atbilstošs tikai dokumentos; tā ISO/IEC 27001:2022 sertifikāts joprojām spoži karājās pie sienas, taču praksē uzņēmums nebija noturīgs.
Tieši šajā kritiskajā plaisā paklūp daudzas organizācijas un to CISO. Tās sajauc pārvaldības artefaktus — politikas un kontrolsarakstus — ar pašu pārvaldību. Šajā rakstā izskaidrots, kur šāda domāšana kļūdās, un sniegta konkrēta ceļkarte, kā “atbilstību uz papīra” pārvērst ilgtspējīgā organizācijas kontrolē, izmantojot Clarysec integrēto rīkkopu.
Aiz dokumentu mapes: pārvaldība kā darbība
Pārāk ilgi pārvaldība ir uztverta kā lietvārds — statiska dokumentu kopa serverī. Patiesa informācijas drošības pārvaldība tomēr ir darbība. Tā ir nepārtraukta vadības rīcība, ar kuru drošība tiek virzīta, uzraudzīta un atbalstīta kā organizācijas pamatfunkcija. Tas nozīmē izveidot sistēmu, kurā ikviens — no valdes līmeņa līdz izstrādes komandai — saprot savu lomu organizācijas informācijas aktīvu aizsardzībā.
Ietvari no ISO/IEC 27001:2022 līdz NIS2 sākas ar šo pamatpatiesību: pārvaldība ir vadības, nevis tehniska funkcija. Saskaņā ar ISO/IEC 27014:2020 augstākajai vadībai ir jāizveido informācijas drošības stratēģija, kas saskaņota ar organizācijas mērķiem. Šai stratēģijai jānodrošina, ka drošības prasības atbilst gan iekšējām, gan ārējām vajadzībām, tostarp juridiskajām, regulatīvajām un līgumiskajām saistībām. Lai to apstiprinātu, vadībai jāpasūta neatkarīgi auditi, jāveicina kultūra, kas aktīvi atbalsta drošību, un jānodrošina mērķu, lomu un resursu savstarpēja koordinācija.
Problēma ir tā, ka šis “tonis no augšas” bieži nepārvēršas darbībā operatīvajā līmenī. Tieši šeit kļūst būtisks viskritiskākais un nereti pārprastākais kontroles pasākums — vadības pienākumi.
Kaskādes efekts: kāpēc drošība nedrīkst apstāties pie CISO
Lielākais atteices punkts jebkurā informācijas drošības pārvaldības sistēmā ir pieņēmums, ka CISO vienpersoniski atbild par drošību. Patiesībā CISO ir diriģents, bet katras struktūrvienības vadītāji ir orķestra mūziķi. Ja viņi nespēlē savu partiju, rezultāts ir troksnis, nevis harmonija.
Tieši to ISO/IEC 27001:2022 risina kontrolē 5.4 “Vadības pienākumi”. Šī kontrole nosaka, ka informācijas drošības pienākumi ir jāpiešķir un jāpiemēro visā organizācijā. Kā mūsu Zenith Blueprint: auditora 30 soļu ceļkarte uzsver 23. solī, šīs kontroles mērķis ir nodrošināt, ka drošības vadība kaskadējas caur visiem organizācijas līmeņiem.
“Galu galā kontrole 5.4 nostiprina principu, ka drošības līderība neapstājas pie CISO. Tai ir jāizplatās caur visiem operatīvās vadības līmeņiem, jo jūsu IDPS panākumi vai neveiksme bieži nav atkarīga no politikām vai rīkiem, bet gan no tā, vai vadītāji aktīvi veicina drošību savās atbildības jomās.” Zenith Blueprint
Marijas gadījumā mārketinga vadītājs uztvēra drošību kā šķērsli, nevis kopīgu atbildību. DevOps inženieris redzēja termiņu, nevis pienākumu ievērot pienācīgu rūpību. Dzīvs pārvaldības ietvars būtu iestrādājis drošības kontrolpunktus projekta uzsākšanas procesā un DevOps komandas veiktspējas rādītājos. Tas pārvērš pārvaldību no atbilstības sloga par rīku katastrofu novēršanai.
No teorijas uz praksi: pārvaldības veidošana ar praktiski piemērojamām politikām
Politika plauktā ir artefakts; politika, kas integrēta ikdienas darbībā, ir kontroles pasākums. Lai pārvaldību ieviestu operatīvajā darbībā, organizācijām nepieciešama nepārprotama pienākumu definīcija. Mūsu Governance Roles & Responsibilities Policy ir izstrādāta tieši šim nolūkam. Viens no tās pamatmērķiem ir:
“Uzturēt pārvaldības modeli, kas nodrošina pienākumu nodalīšanu, novērš interešu konfliktus un nodrošina neatrisinātu drošības jautājumu eskalāciju.” Pārvaldības lomu un pienākumu politika
Šis formulējums pārvērš augsta līmeņa principu konkrētā, auditējamā prasībā. Tas izveido daudzslāņainu pārskatatbildības ietvaru, kur katrs vadības līmenis ir dokumentēti atbildīgs par savu drošības programmas daļu. Mazākām organizācijām Governance Roles & Responsibilities Policy - SME to vienkāršo, 4.3.3. punktā tieši nosakot, ka katram darbiniekam “nekavējoties jāziņo ģenerāldirektoram par incidentiem un atbilstības jautājumiem”. Šāda skaidrība novērš neskaidrību un pilnvaro ikvienu rīkoties.
Atgriezīsimies pie Marijas incidenta un aplūkosim, kā viņa varētu izmantot Clarysec rīkkopu, lai pārbūvētu pārvaldības pieeju un reaktīvu kļūmi pārvērstu proaktīvā, noturīgā sistēmā.
Politika kā pamats: Vispirms viņa ieviestu Pārvaldības lomu un pienākumu politiku. Sadarbībā ar personāla vadības funkciju viņa integrētu konkrētus drošības pienākumus visu vadītāju amata aprakstos — no mārketinga līdz finansēm. Tādējādi drošība kļūst par formālu viņu amata pienākumu daļu, nevis par pēcdomu.
“Kā” definēšana: Pēc tam viņa izmantotu politiku, lai izveidotu skaidru procesu. Politikas 7.2.2. punkts nosaka: “Ar pārvaldību saistītie riski ir jāpārskata IDPS vadības komitejai un jāvalidē iekšējo auditu laikā.” Tas izveido formālu forumu, kurā mārketinga vadītāja jaunais projekts tiktu pārskatīts pirms jebkādas mākoņvides izveides, novēršot sākotnējo nepareizo konfigurāciju.
Savstarpējās atbilstības analītikas izmantošana: Lai izprastu jaunā pārvaldības modeļa pilnu tvērumu, Marija izmantotu Zenith Controls: savstarpējās atbilstības ceļvedi. Šis resurss parāda, ka “vadības pienākumi” (ISO 5.4) nav izolēts uzdevums, bet centrāls mezgls, kas savieno citus kritiskus kontroles pasākumus. Piemēram, tas atklāj tiešo saikni starp 5.4 un 5.8 (“Informācijas drošība projektu vadībā”), nodrošinot, ka vadība sniedz nepieciešamo pārraudzību drošības iestrādei visās jaunajās iniciatīvās.
Šī proaktīvā pieeja pārvieto pārvaldību no reaktīvas pēcincidenta analīzes uz funkciju, kas atbalsta organizācijas darbību. Tā nodrošina, ka tad, kad vadītājs vēlas ieviest jaunu rīku, viņa pirmā doma nav “Kā es to dabūšu garām drošībai?”, bet gan “Ar kuru drošības komandas pārstāvi man jāsadarbojas?”
Auditors nāk: kā pierādīt, ka pārvaldība ir reāla
Pieredzējis auditors ir apmācīts meklēt ieviešanas pierādījumus — konceptu, ko Zenith Blueprint sauc par politikas saskaņu ar “realitāti”. Kad auditors vērtē jūsu pārvaldības ietvaru, viņš nelasa tikai dokumentus; viņš pārbauda organizācijas muskuļu atmiņu. Viņš meklē pierādījumus, ka pārvaldība ir dzīva, aktīva un reaģētspējīga.
Dažādi auditori pārbaudīs jūsu pārvaldības ietvaru no dažādiem skatpunktiem. Lūk, kā viņi testētu Marijas jauno, nostiprināto pārvaldības modeli:
ISO/IEC 27001:2022 auditors: Šis auditors vispirms pievērsīsies vadības apņemšanās pierādījumiem, ko prasa 5.1. punkts. Viņš pieprasīs vadības pārskata sanāksmju protokolus (9.3. punkts). Viņš meklēs darba kārtības jautājumus, kuros apspriesta drošības veiktspēja, piešķirti resursi un pieņemti lēmumi, pamatojoties uz risku novērtējumiem. Viņš vēlas redzēt, ka vadība ne tikai saņem pārskatus, bet aktīvi virza IDPS.
COBIT 2019 auditors: COBIT auditors domā uzņēmuma mērķu kategorijās. Viņš koncentrēsies uz pārvaldības mērķiem, piemēram, EDM03 (“Nodrošināta risku optimizācija”). Viņš pieprasīs valdei iesniegtos risku pārskatus un vēlēsies zināt, vai vadība seko galvenajiem drošības rādītājiem un veic korektīvās darbības, kad šie rādītāji pasliktinās. Viņa skatījumā pārvaldības mērķis ir nodrošināt, ka drošība veicina un aizsargā organizācijas vērtību.
ISACA auditors: Vadoties pēc tādiem ietvariem kā ITAF, šis auditors īpaši koncentrēsies uz “toni no augšas”. Viņš intervēs augstākos vadītājus, lai novērtētu viņu izpratni un apņemšanos. Lēna vai noraidoša vadības reakcija uz iepriekšēju audita konstatējumu ir būtisks brīdinājuma signāls, kas norāda uz vāju pārvaldības kultūru.
NIS2 vai DORA regulators: Ar tādiem regulējumiem kā NIS2 un DORA likmes ir augstākas. Šie ietvari nosaka tiešu personisku atbildību vadības struktūrām par kiberdrošības kļūmēm. Kompetentās iestādes auditors pieprasīs pierādījumus, ka valde ir apstiprinājusi kiberdrošības risku pārvaldības ietvaru, pārraudzījusi tā ieviešanu un saņēmusi specializētu apmācību. Viņš meklēs pierādījumus, ka vadība ne tikai zina par drošību, bet ir aktīvi iesaistīta un pārskatatbildīga.
Lai apmierinātu šīs dažādās audita pieejas, ar politikām vien nepietiek. Jums nepieciešams pierādījumu portfelis.
| Audita fokusa joma | Nepieciešamie pierādījumi |
|---|---|
| Augstākās vadības iesaiste | Vadības pārskata sanāksmju protokoli, apstiprināti budžeti, prezentācijas valdei un stratēģiskā komunikācija. |
| Efektivitātes pārskatīšana | Vadības lēmumu un darbību žurnāli, izsekoti mazināšanas pasākumi no risku novērtējumiem. |
| Pārskatatbildība un reakcija | RACI matricas, amata apraksti ar drošības pienākumiem, incidentu pārskati, kas apliecina eskalāciju vadībai. |
| Formāla piešķiršana | Parakstīti drošības komiteju nolikumi, formāli lomu apraksti risku īpašniekiem, ikgadēji struktūrvienību vadītāju apliecinājumi. |
Ja jūsu pierādījumi aprobežojas ar politiku PDF failiem un nav operatīvo žurnālu, audits netiks izturēts. Zenith Controls ceļvedis palīdz izveidot pareizo pierādījumu portfeli, lai demonstrētu ne tikai nodomu, bet arī reālus pierādījumus.
Atgriezeniskās saites cikls: incidentu pārvēršana noturībā
Galu galā spēcīgākais pierādījums noturīgam pārvaldības ietvaram ir tas, kā organizācija reaģē uz kļūmēm. Patiesa noturība nozīmē mācīties, pielāgoties un rīkoties. Kā Zenith Blueprint norāda, apspriežot kontroli 5.24 (“Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās”):
“Drošu organizāciju raksturo nevis incidentu neesamība, bet gatavība tos apstrādāt, kad tie rodas… Šī kontrole ir par uzlabošanu, ne tikai slēgšanu. Auditori jautās: “Ko jūs iemācījāties no pēdējā incidenta?” Viņi sagaidīs pamatcēloņa analīzi, fiksētas gūtās mācības un, pats svarīgākais, pierādījumus, ka šī incidenta rezultātā kaut kas ir mainījies.”
Marijas gadījumā “tas, kas mainījās”, nebija tikai ugunsmūra noteikums. Tā bija pārvaldības procesa ieviešana, kas pieprasīja vadības apstiprinājumu jauniem projektiem, skaidru RACI matricu mākoņvides izvietošanai un obligātu drošības apmācību mārketinga komandai. Viņas spēja pierādīt šo mācīšanās ciklu potenciālu būtisku neatbilstību pārvērstu par pierādījumu nobriedušai un pilnveidoties spējīgai IDPS.
Tieši šeit pārvaldība apliecina savu vērtību. Kļūme vairs nav tikai tehniska problēma, kas jānovērš, bet organizācijas mācība, kas jāapgūst un jāintegrē. Kā Pārvaldības lomu un pienākumu politika nosaka 9.1.1.4. sadaļā, “būtiski audita konstatējumi vai incidenti, kas saistīti ar pārvaldības kļūmi”, netiek noklusēti; tie tiek pārskatīti, eskalēti un noved pie konkrētas rīcības.
Kā panākt, lai pārvaldība darbojas: pārskatatbildības loma
Pat ar labākajām politikām un vadības atbalstu pārvaldība var neizdoties, ja neatbilstībai nav seku. Patiesi spēcīgam ietvaram jābalstās uz taisnīgu, konsekventu un labi komunicētu disciplināro procesu. Tas ir ISO/IEC 27001:2022 kontroles 6.4 “Disciplinārais process” fokuss.
Šī kontrole nodrošina, ka IDPS noteikumi nav izvēles jautājums. Tā nodrošina piemērošanas mehānismu, kas pierāda vadības apņemšanos drošības jomā. Kā detalizēti aprakstīts Zenith Controls, šis process ir kritisks risku apstrādes pasākums iekšējo draudu un neuzmanības gadījumos. Tas darbojas kopā ar citiem kontroles pasākumiem: uzraudzības darbības (8.16) var identificēt politikas pārkāpumu, savukārt disciplinārais process (6.4) nosaka formālo reakciju.
“Disciplinārpasākumi ir labāk pamatojami, ja darbinieki ir pienācīgi apmācīti un informēti par saviem pienākumiem. Kontrole 6.4 balstās uz 6.3 (Informācijas drošības izpratne, izglītošana un apmācība), lai nodrošinātu, ka personāls nevar atsaukties uz nezināšanu par pārkāptajām politikām.”
Auditors pārbaudīs, vai šis process tiek konsekventi piemērots visos līmeņos, nodrošinot, ka augstākās vadības pārstāvim, kurš pārkāpj tīrā galda politiku, piemēro to pašu procesu, ko praktikantam. Tā ir pēdējā saite ķēdē, kas pārvaldību no vadlīnijām pārvērš piemērojamā standartā.
Vienotā atbilstības karte: viens skats uz pārvaldību
Mūsdienu pārvaldības spiedienu nosaka tas, ka tā nekad neatrodas tikai vienā ietvarā. Tādi regulējumi kā NIS2 un DORA ir pacēluši vadības atbildību no labās prakses līdz juridiskam pienākumam ar personisku atbildību. Noturīgam CISO jāspēj demonstrēt pārvaldību tā, lai vienlaikus apmierinātu vairākus auditorus.
Šī vienotā tabula, kas izveidota no Zenith Controls kartējumiem, parāda, ka vadības atbildības princips ir universāla prasība galvenajos ietvaros.
| Ietvars/standarts | Attiecīgais punkts/kontrole | Kā tas sasaistās ar augstākās vadības atbildību (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Punkti 5.1, 5.2, 9.3 | Pieprasa aktīvu līderību, IDPS integrāciju biznesa procesos un regulārus vadības pārskatus. |
| EU NIS2 | Article 21(1) | Vadības struktūrām jāapstiprina un jāpārrauga kiberdrošības risku pārvaldības prakse, uzņemoties personisku atbildību par kļūmēm. |
| EU DORA | Article 5(2) | Vadības struktūrai ir galīgā atbildība par organizācijas IKT risku pārvaldības ietvaru un operacionālo noturību. |
| EU GDPR | Articles 5(2), 24(1) | Pārskatatbildības princips prasa, lai pārziņi (augstākā vadība) spētu pierādīt atbilstību un ieviestu atbilstošus pasākumus. |
| NIST SP 800-53 | PM-1, PM-9 | Vadībai jāizveido drošības programmas plāns un risku izpildfunkcija vienotai pārraudzībai. |
| COBIT 2019 | EDM03 | Valdei un izpildvadībai jāizvērtē, jāvirza un jāuzrauga drošības iniciatīvas, lai nodrošinātu saskaņu ar organizācijas mērķiem. |
Secinājums ir skaidrs: visi auditori neatkarīgi no ietvara tuvojas vienai un tai pašai prasībai: “Parādiet man pārvaldību darbībā.”
Secinājums: pārvērst pārvaldību no ķeksīša par kompasu
Sāpīgā patiesība ir tāda, ka “atbilstošas” organizācijas tiek kompromitētas katru dienu. “Noturīgas” organizācijas tomēr izdzīvo un pielāgojas. Noturībai nepieciešama dziļa politiku, tehnoloģiju un patiesas augstākās vadības īpašumtiesību integrācija. Tā nav veidlapu parāde, bet kultūra, kurā drošība un organizācijas stratēģija virzās vienā ritmā.
Sāciet ar grūtajiem jautājumiem:
- Vai mūsu drošības līderība ir redzama? Vai vadītāji ārpus drošības funkcijas aktīvi piedalās riska lēmumos?
- Vai pienākumi ir skaidri? Vai katrs vadītājs var izskaidrot savus konkrētos pienākumus informācijas aizsardzībai savā atbildības jomā?
- Vai pārvaldība ir integrēta? Vai drošības apsvērumi jau no sākuma ir iestrādāti projektu vadībā, iepirkumos un personāla procesos?
- Vai mēs mācāmies no kļūdām? Vai incidents izraisa mūsu pārvaldības ietvara pārskatīšanu, nevis tikai tehnisko kontroles pasākumu pārbaudi?
Atšķirību starp incidenta pārdzīvošanu un neveiksmi regulatora pārbaudē nosaka tas, cik dziļi pārvaldība ir ieausta jūsu operāciju audumā. Tā ir kompass, kas vada organizāciju nenoteiktībā. Krīzes brīdī starp atbilstību un katastrofu stāv tikai reāla pārvaldība.
Nākamie soļi: padariet noturību izmērāmu
- Izmantojiet Zenith Blueprint, lai veiktu realitātes pārbaudi par vadības pārskatatbildību un nodrošinātu, ka drošība ir redzama visā organizācijā.
- Ieviesiet Clarysec politikas, piemēram, Pārvaldības lomu un pienākumu politiku, kā dzīvus dokumentus, kas virza apmācību, eskalāciju un korektīvās darbības.
- Izmantojiet Zenith Controls, lai nodrošinātu gatavību auditam ISO/IEC 27001:2022, NIS2, DORA un citos ietvaros, izmantojot konkrētus kartējumus un pierādījumu pakotnes.
Vai esat gatavi attīstīt pārvaldību no ķeksīša par kompasu? Rezervējiet IDPS pārvaldības pārskatu ar Clarysec un panāciet, lai jūsu augstākā vadība patiešām pārņem vadību.
Atsauces:
- Zenith Blueprint: auditora 30 soļu ceļkarte
- Zenith Controls: savstarpējās atbilstības ceļvedis
- Pārvaldības lomu un pienākumu politika
- Pārvaldības lomu un pienākumu politika - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
