Od súladu k odolnosti: ako môžu CISO preklenúť medzeru v správe a riadení
Upozornenie o 3:00 ráno: skryté zlyhanie správy a riadenia
Mariu, CISO rýchlo rastúcej fintech spoločnosti, prebudilo upozornenie P1. Produkčná databáza, ktorá mala byť izolovaná, komunikovala s neznámou externou IP adresou. Jej tím SOC už incident riešil a vystopoval spojenie k nesprávne nakonfigurovanému bucketu v cloudovom úložisku, ktorý vytvoril tím marketingovej analytiky pri testovaní nového nástroja na segmentáciu zákazníkov. Bezprostredné škody sa podarilo obmedziť, no analýza po incidente odhalila oveľa nebezpečnejší problém, ktorý nesúvisel ani s firewallmi, ani s malvérom.
Marketingový manažér, ktorý nástroj objednal, nemal formálne nastavený bezpečnostný dohľad. DevOps inžinier, ktorý prostredie vytvoril, obišiel štandardné bezpečnostné opatrenia, aby stihol napätý termín. Údaje v buckete boli síce anonymizované, ale stále dostatočne citlivé na to, aby aktivovali zmluvné oznamovacie doložky voči viacerým kľúčovým klientom.
Koreňovou príčinou nebola technická zraniteľnosť. Išlo o závažné zlyhanie správy a riadenia. Maria mala politiky, nástroje aj talentovaný tím. Chýbal jej však rámec správy a riadenia, ktorý by bol živý, presadzovaný a pochopený aj mimo bezpečnostného oddelenia. Jej spoločnosť bola v súlade na papieri, jej certifikát ISO/IEC 27001:2022 stále visel na stene, ale v praxi nebola odolná.
Práve v tejto kritickej medzere zlyháva mnoho organizácií aj ich CISO. Zamieňajú si artefakty správy a riadenia, teda politiky a kontrolné zoznamy, so samotnou správou a riadením. Tento článok vysvetľuje, kde je takýto spôsob uvažovania nesprávny, a poskytuje konkrétny plán na premenu súladu na papieri na trvalé riadenie organizácie pomocou integrovaného súboru nástrojov Clarysec.
Za hranicou šanónu: správa a riadenie ako činnosť
Správa a riadenie sa príliš dlho vnímali ako podstatné meno, teda statická zbierka dokumentov uložených na serveri. Skutočná správa a riadenie informačnej bezpečnosti je však činnosť. Ide o priebežný súbor krokov, ktorými vedenie usmerňuje, monitoruje a podporuje bezpečnosť ako kľúčovú funkciu organizácie. Cieľom je vytvoriť systém, v ktorom každý, od rokovacej miestnosti predstavenstva až po vývojový tím, rozumie svojej úlohe pri ochrane informačných aktív organizácie.
Rámce od ISO/IEC 27001:2022 po NIS2 vychádzajú z tejto skutočnosti: správa a riadenie je manažérska funkcia, nie technická. Podľa ISO/IEC 27014:2020 musí vrcholový manažment vytvoriť stratégiu informačnej bezpečnosti zosúladenú s cieľmi organizácie. Táto stratégia musí zabezpečiť, aby bezpečnostné požiadavky spĺňali interné aj externé potreby vrátane zákonných, regulačných a zmluvných záväzkov. Na potvrdenie tohto stavu musí vedenie zadávať nezávislé audity, podporovať kultúru, ktorá aktívne posilňuje bezpečnosť, a zabezpečiť, aby boli ciele, roly a zdroje dobre koordinované.
Problém je v tom, že tento „tón zhora“ sa často nepremietne do konania na prevádzkovej úrovni. Tu vstupuje do hry najkritickejšie a často nesprávne chápané opatrenie: zodpovednosti manažmentu.
Kaskádový efekt: prečo sa bezpečnosť nemôže zastaviť pri CISO
Najväčším jednotlivým bodom zlyhania v každom systéme manažérstva informačnej bezpečnosti (ISMS) je predpoklad, že za bezpečnosť zodpovedá výlučne CISO. V skutočnosti je CISO dirigentom, ale manažéri jednotlivých organizačných jednotiek sú hudobníkmi. Ak nehrajú svoju časť, výsledkom je hluk, nie harmónia.
Presne na to reaguje ISO/IEC 27001:2022 v opatrení 5.4 „Zodpovednosti manažmentu“. Toto opatrenie vyžaduje, aby boli zodpovednosti v oblasti informačnej bezpečnosti pridelené a uplatňované v celej organizácii. Ako zdôrazňuje náš Zenith Blueprint: 30-krokový plán audítora v kroku 23, cieľom tohto opatrenia je zabezpečiť, aby sa bezpečnostné vedenie prenášalo cez všetky vrstvy organizácie.
„Opatrenie 5.4 napokon potvrdzuje, že bezpečnostné vedenie sa nezastavuje pri CISO. Musí sa prenášať cez každú vrstvu prevádzkového riadenia, pretože úspech alebo zlyhanie vášho ISMS často nezávisí od politík alebo nástrojov, ale od toho, či manažéri aktívne presadzujú bezpečnosť vo svojich vlastných oblastiach.“ Zenith Blueprint
V Mariinom prípade marketingový manažér vnímal bezpečnosť ako prekážku, nie ako spoločnú zodpovednosť. DevOps inžinier videl termín, nie povinnosť náležitej starostlivosti. Živý rámec správy a riadenia by začlenil bezpečnostné kontrolné body do procesu iniciácie projektu a do výkonnostných metrík DevOps tímu. Tým sa správa a riadenie mení zo záťaže súladu na nástroj predchádzania katastrofám.
Od teórie k praxi: budovanie správy a riadenia prostredníctvom presaditeľných politík
Politika uložená v šanóne je artefakt; politika integrovaná do každodennej prevádzky je opatrenie. Na operacionalizáciu správy a riadenia potrebujú organizácie jednoznačne definovať povinnosti. Naša Governance Roles & Responsibilities Policy je navrhnutá presne na tento účel. Jedným z jej hlavných cieľov je:
„Udržiavať model správy a riadenia, ktorý presadzuje oddelenie povinností, odstraňuje konflikty záujmov a umožňuje eskaláciu nevyriešených bezpečnostných problémov.“ Politika rolí a zodpovedností v oblasti správy a riadenia
Toto vyhlásenie premieňa princíp na vysokej úrovni na konkrétnu, auditovateľnú požiadavku. Vytvára rámec vrstvenej zodpovednosti, v ktorom je každá úroveň manažmentu formálne zodpovedná za svoju časť bezpečnostného programu. Pre menšie organizácie to Governance Roles & Responsibilities Policy - SME zjednodušuje a v kapitole 4.3.3 priamo uvádza, že každý zamestnanec „musí okamžite hlásiť incidenty a problémy so súladom generálnemu manažérovi“. Takáto jasnosť odstraňuje nejednoznačnosť a umožňuje každému konať.
Vráťme sa k Mariinmu incidentu a pozrime sa, ako by mohla použiť súbor nástrojov Clarysec na prestavbu svojho prístupu k správe a riadeniu, aby reaktívne zlyhanie zmenila na proaktívny a odolný systém.
Politika ako základ: Najskôr by implementovala Politiku rolí a zodpovedností v oblasti správy a riadenia. V spolupráci s HR by začlenila konkrétne bezpečnostné povinnosti do opisov pracovných miest všetkých manažérov, od marketingu po financie. Bezpečnosť by sa tak stala formálnou súčasťou ich roly, nie dodatočnou úvahou.
Definovanie „ako“: Následne by pomocou politiky zaviedla jasný proces. Kapitola 7.2.2 politiky uvádza: „Riziká súvisiace so správou a riadením musí preskúmať Riadiaci výbor ISMS a musia byť overené počas interných auditov.“ Tým sa vytvára formálne fórum, na ktorom by bol nový projekt marketingového manažéra preskúmaný pred vytvorením akéhokoľvek cloudového prostredia, čím by sa predišlo pôvodnej nesprávnej konfigurácii.
Využitie znalostí z mapovania naprieč rámcami súladu: Aby Maria pochopila celý rozsah svojho nového modelu správy a riadenia, konzultovala by Zenith Controls: Sprievodcu naprieč rámcami súladu. Tento zdroj ukazuje, že „zodpovednosti manažmentu“ (ISO 5.4) nie sú izolovanou úlohou, ale centrálnym uzlom prepájajúcim ďalšie kritické opatrenia. Napríklad odhaľuje priamu väzbu medzi 5.4 a 5.8 („Informačná bezpečnosť v riadení projektov“) a zabezpečuje, aby manažment poskytoval potrebný dohľad na začlenenie bezpečnosti do všetkých nových iniciatív.
Tento proaktívny prístup posúva správu a riadenie z reaktívnej analýzy po incidente na funkciu, ktorá podporuje činnosť organizácie. Zabezpečuje, aby prvou otázkou manažéra pri spustení nového nástroja nebolo „Ako to dostanem cez bezpečnosť?“, ale „S kým z bezpečnostného tímu mám spolupracovať?“
Audítor prichádza: ako preukázať, že vaša správa a riadenie je skutočná
Skúsený audítor je vyškolený hľadať dôkazy o implementácii, teda koncept, ktorý Zenith Blueprint nazýva zosúladením politiky s „realitou“. Keď audítor posudzuje váš rámec správy a riadenia, nečíta iba dokumenty; testuje organizačnú pamäť vašej spoločnosti. Hľadá dôkazy, že správa a riadenie je živá, aktívna a schopná reagovať.
Rôzni audítori budú váš rámec správy a riadenia preverovať z rôznych uhlov. Takto by testovali Mariin nový a robustný model správy a riadenia:
Audítor ISO/IEC 27001:2022: Tento audítor pôjde priamo po dôkazoch záväzku vedenia vyžadovaných kapitolou 5.1. Vyžiada si zápisnice zo zasadnutí preskúmania manažmentom (kapitola 9.3). Bude hľadať body programu, v ktorých sa diskutovalo o výkonnosti bezpečnosti, prideľovali zdroje a prijímali rozhodnutia na základe posúdení rizík. Chce vidieť, že vedenie správy iba neprijíma, ale aktívne usmerňuje ISMS.
Audítor COBIT 2019: Audítor COBIT uvažuje v kategóriách podnikových cieľov. Zameria sa na ciele správy a riadenia, ako je EDM03 („Zabezpečená optimalizácia rizík“). Vyžiada si rizikové správy predkladané predstavenstvu a bude chcieť vedieť, či manažment sleduje kľúčové bezpečnostné ukazovatele a prijíma nápravné opatrenia, keď majú tieto ukazovatele negatívny trend. Z jeho pohľadu je správa a riadenie o tom, aby bezpečnosť umožňovala a chránila hodnotu organizácie.
Audítor ISACA: Tento audítor, vedený rámcami ako ITAF, sa výrazne zameriava na „tón zhora“. Uskutoční rozhovory s vrcholovými lídrami, aby posúdil ich porozumenie a záväzok. Pomalá alebo odmietavá reakcia manažmentu na predchádzajúce auditné zistenie je významným varovným signálom slabej kultúry správy a riadenia.
Regulátor NIS2 alebo DORA: Pri predpisoch ako NIS2 a DORA sú stávky vyššie. Tieto rámce ukladajú riadiacim orgánom priamu a osobnú zodpovednosť za zlyhania kybernetickej bezpečnosti. Audítor z príslušného orgánu bude požadovať dôkazy, že predstavenstvo schválilo rámec riadenia kybernetických rizík, dohliadalo na jeho implementáciu a absolvovalo špecializované školenie. Hľadá dôkaz, že manažment si riziká nielen uvedomuje, ale je aktívne zapojený a preukázateľne zodpovedný.
Na uspokojenie týchto rozdielnych auditných prístupov nestačí predložiť iba politiky. Potrebujete portfólio dôkazov.
| Oblasť zamerania auditu | Požadované dôkazy |
|---|---|
| Zapojenie vrcholového manažmentu | Zápisnice zo zasadnutí preskúmania manažmentom, schválené rozpočty, prezentácie pre predstavenstvo a strategická komunikácia. |
| Preskúmania účinnosti | Evidencia rozhodnutí manažmentu a nadväzujúcich opatrení, sledované zmierňujúce opatrenia z posúdení rizík. |
| Zodpovednosť a reakcia | Matice RACI, opisy pracovných miest s bezpečnostnými povinnosťami, správy o incidentoch preukazujúce eskaláciu na manažment. |
| Formálne pridelenie zodpovedností | Podpísané štatúty bezpečnostných výborov, formálne opisy rolí vlastníkov rizík, ročné vyhlásenia vedúcich oddelení. |
Ak vaše dôkazy pozostávajú iba z PDF súborov politík a neexistujú žiadne prevádzkové záznamy, auditom neprejdete. Sprievodca Zenith Controls vám pomôže zostaviť správne portfólio na preukázanie dôkazov, nielen zámerov.
Slučka spätnej väzby: premena incidentov na odolnosť
Najsilnejším dôkazom odolného rámca správy a riadenia je napokon spôsob, akým organizácia reaguje na zlyhanie. Skutočná odolnosť znamená učiť sa, prispôsobovať sa a konať. Ako uvádza Zenith Blueprint pri rozbore opatrenia 5.24 („Plánovanie a príprava riadenia incidentov informačnej bezpečnosti“):
„Bezpečnú organizáciu nedefinuje absencia incidentov, ale pripravenosť zvládnuť ich, keď nastanú… Toto opatrenie je o zlepšovaní, nie iba o uzavretí. Audítori sa opýtajú: ‚Čo ste sa naučili z posledného incidentu?‘ Budú očakávať analýzu koreňovej príčiny, zachytené poučenia a predovšetkým dôkazy, že sa v dôsledku incidentu niečo zmenilo.“
V Mariinom prípade nebolo tým „niečím, čo sa zmenilo“, iba pravidlo firewallu. Bola to implementácia procesu správy a riadenia, ktorý vyžadoval manažérske schválenie nových projektov, jasnú maticu RACI pre cloudové nasadenia a povinné bezpečnostné školenie marketingového tímu. Jej schopnosť preukázať túto učiacu sa slučku by premenila potenciálnu významnú nezhodu na dôkaz zrelého a zlepšujúceho sa ISMS.
Tu správa a riadenie preukazuje svoju hodnotu. Zlyhanie už nie je iba technický problém na opravu, ale organizačné poučenie, ktoré sa musí osvojiť a integrovať. Ako uvádza Politika rolí a zodpovedností v oblasti správy a riadenia v časti 9.1.1.4, „významné auditné zistenia alebo incidenty zahŕňajúce zlyhanie správy a riadenia“ sa nezametajú pod koberec; preskúmavajú sa, eskalujú a riešia.
Ako zabezpečiť trvalosť správy a riadenia: úloha zodpovednosti
Aj pri najlepších politikách a podpore manažmentu môže správa a riadenie zlyhať, ak nedodržiavanie nemá následky. Skutočne robustný rámec musí byť podporený spravodlivým, konzistentným a dobre komunikovaným disciplinárnym procesom. Na to sa zameriava opatrenie 6.4 ISO/IEC 27001:2022 „Disciplinárny proces“.
Toto opatrenie zabezpečuje, že pravidlá ISMS nie sú voliteľné. Poskytuje mechanizmus presadzovania, ktorý preukazuje záväzok vedenia k bezpečnosti. Ako podrobne uvádza Zenith Controls, tento proces je kritickým ošetrením rizík vnútorných hrozieb a nedbanlivosti. Funguje v súčinnosti s ďalšími opatreniami: monitorovacie činnosti (8.16) môžu identifikovať porušenie politiky, zatiaľ čo disciplinárny proces (6.4) určuje formálnu reakciu.
„Disciplinárne opatrenia sú lepšie obhájiteľné, keď boli zamestnanci primerane vyškolení a oboznámení so svojimi zodpovednosťami. Opatrenie 6.4 sa opiera o 6.3 (povedomie, vzdelávanie a školenie v oblasti informačnej bezpečnosti), aby personál nemohol tvrdiť, že nepoznal politiky, ktoré porušil.“
Audítor overí, či sa tento proces uplatňuje konzistentne na všetkých úrovniach, teda či sa na vrcholového manažéra, ktorý poruší Politiku čistého stola, vzťahuje rovnaký proces ako na stážistu. Toto je posledný článok reťazca, ktorý mení správu a riadenie z usmernenia na presaditeľný štandard.
Zjednotená mapa súladu: jednotný pohľad na správu a riadenie
Tlak modernej správy a riadenia spočíva v tom, že nikdy nepatrí iba do jedného rámca. Predpisy ako NIS2 a DORA posunuli zodpovednosť manažmentu z úrovne osvedčeného postupu na zákonnú povinnosť s osobnou zodpovednosťou. Odolný CISO musí byť schopný preukázať správu a riadenie spôsobom, ktorý súčasne uspokojí viacerých audítorov.
Táto zjednotená tabuľka, odvodená z mapovaní v Zenith Controls, ukazuje, že princíp zodpovednosti manažmentu je univerzálnou požiadavkou naprieč hlavnými rámcami.
| Rámec/norma | Relevantná kapitola/opatrenie | Ako sa mapuje na zodpovednosť vrcholového vedenia (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Kapitoly 5.1, 5.2, 9.3 | Vyžaduje aktívne vedenie, integráciu ISMS do obchodných procesov a pravidelné preskúmania manažmentom. |
| Smernica EÚ NIS2 | Article 21(1) | Riadiace orgány musia schvaľovať postupy riadenia kybernetických rizík a dohliadať na ne a nesú osobnú zodpovednosť za zlyhania. |
| Nariadenie EÚ DORA | Article 5(2) | Riadiaci orgán nesie konečnú zodpovednosť za rámec riadenia rizík IKT danej entity a za prevádzkovú odolnosť. |
| Nariadenie EÚ GDPR | Articles 5(2), 24(1) | Zásada preukázateľnej zodpovednosti vyžaduje, aby prevádzkovatelia (vrcholový manažment) preukázali súlad a implementovali primerané opatrenia. |
| NIST SP 800-53 | PM-1, PM-9 | Vedenie musí ustanoviť plán bezpečnostného programu a vytvoriť výkonnú rizikovú funkciu pre jednotný dohľad. |
| COBIT 2019 | EDM03 | Predstavenstvo a vrcholový manažment musia hodnotiť, usmerňovať a monitorovať bezpečnostné iniciatívy, aby zabezpečili ich súlad s cieľmi organizácie. |
Záver je jasný: všetci audítori bez ohľadu na rámec sa zbiehajú pri tej istej požiadavke: „Ukážte mi správu a riadenie v praxi.“
Záver: premena správy a riadenia zo zaškrtávacieho políčka na kompas
Nepríjemná pravda je, že „súladné“ organizácie čelia bezpečnostným incidentom každý deň. „Odolné“ organizácie však prežijú a prispôsobia sa. Odolnosť vyžaduje hlbokú integráciu politiky, technológií a skutočného vlastníctva zo strany vrcholového vedenia. Nie je to prehliadka formulárov, ale kultúra, v ktorej bezpečnosť a stratégia organizácie postupujú v súlade.
Začnite náročnými otázkami:
- Je naše bezpečnostné vedenie viditeľné? Zúčastňujú sa manažéri mimo bezpečnostnej funkcie aktívne na rozhodnutiach o rizikách?
- Sú zodpovednosti jasné? Vie každý manažér vysvetliť svoje konkrétne povinnosti pri ochrane informácií vo svojej oblasti?
- Je správa a riadenie integrovaná? Sú bezpečnostné aspekty začlenené do riadenia projektov, obstarávania a HR procesov už od začiatku?
- Učíme sa zo svojich chýb? Keď nastane incident, spustí preskúmanie nášho rámca správy a riadenia, a nie iba technických opatrení?
Rozdiel medzi prežitím incidentu a zlyhaním pod regulačným dohľadom závisí od toho, ako hlboko je správa a riadenie votkaná do vašich prevádzkových činností. Je to kompas, ktorý vedie vašu organizáciu neistotou. V krízovom okamihu stojí medzi súladom a katastrofou iba skutočná správa a riadenie.
Ďalšie kroky: urobte svoju odolnosť merateľnou
- Použite Zenith Blueprint na overenie reality vašej zodpovednosti manažmentu a zabezpečte, aby bola bezpečnosť viditeľná naprieč organizáciou.
- Implementujte politiky Clarysec, napríklad Politiku rolí a zodpovedností v oblasti správy a riadenia, ako živé dokumenty, ktoré riadia školenia, eskaláciu a nápravu.
- Využite Zenith Controls na zabezpečenie pripravenosti na audit naprieč ISO/IEC 27001:2022, NIS2, DORA a ďalšími rámcami, s konkrétnymi mapovaniami a balíkmi dôkazov.
Ste pripravení posunúť svoju správu a riadenie zo zaškrtávacieho políčka na kompas? Objednajte si preskúmanie správy a riadenia ISMS s Clarysec a dostaňte svoj tím vrcholového vedenia skutočne do pozície, v ktorej môže riadiť smerovanie bezpečnosti.
Referencie:
- Zenith Blueprint: 30-krokový plán audítora
- Zenith Controls: Sprievodca naprieč rámcami súladu
- Politika rolí a zodpovedností v oblasti správy a riadenia
- Politika rolí a zodpovedností v oblasti správy a riadenia – MSP
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
