Od skladnosti do odpornosti: kako lahko vodje informacijske varnosti zaprejo vrzel v upravljanju
Opozorilo ob treh zjutraj: prikrita odpoved upravljanja
Mario, vodjo informacijske varnosti v hitro rastočem fintech podjetju, je iz spanja zdramilo opozorilo P1. Produkcijska podatkovna baza, domnevno izolirana, je komunicirala z neznanim zunanjim naslovom IP. Njena ekipa SOC je že ukrepala in povezavo izsledila do napačno konfiguriranega objektnega vsebnika za shranjevanje v oblaku, ki ga je ustvarila ekipa za marketinško analitiko pri testiranju novega orodja za segmentacijo strank. Neposredna škoda je bila zajezena, vendar je pregled po incidentu razkril veliko nevarnejšo težavo, ki ni imela nič skupnega s požarnimi zidovi ali zlonamerno programsko opremo.
Vodja marketinga, ki je naročil orodje, ni imel formalnega varnostnega nadzora. Inženir DevOps, ki je vzpostavil okolje, je zaradi kratkega roka obšel standardna varnostna preverjanja. Podatki v vsebniku so bili sicer anonimizirani, vendar dovolj občutljivi, da bi lahko sprožili pogodbena določila o obveščanju pri več ključnih strankah.
Temeljni vzrok ni bila tehnična ranljivost. Šlo je za katastrofalno odpoved upravljanja. Maria je imela politike, orodja in sposobno ekipo. Manjkal pa ji je okvir upravljanja, ki bi bil živ, uveljavljen in razumljen tudi zunaj oddelka za varnost. Njeno podjetje je bilo skladno na papirju, njegov certifikat ISO/IEC 27001:2022 pa je še vedno visel na steni, vendar v praksi ni bilo odporno.
To je kritična vrzel, pri kateri se spotaknejo številne organizacije in njihovi vodje informacijske varnosti. Artefakte upravljanja, torej politike in kontrolne sezname, zamenjujejo z upravljanjem samim. Ta članek pojasnjuje, kje se takšno razmišljanje zalomi, in podaja konkreten načrt za preoblikovanje skladnosti na papirju v trajen poslovni nadzor z uporabo integriranega nabora orodij Clarysec.
Onkraj fascikla: upravljanje kot dejanje
Upravljanje se je predolgo obravnavalo kot samostalnik, kot statična zbirka dokumentov, shranjenih na strežniku. Pravo upravljanje informacijske varnosti pa je dejanje. Gre za neprekinjen sklop aktivnosti, s katerimi vodstvo usmerja, spremlja in podpira varnost kot temeljno poslovno funkcijo. Gre za vzpostavitev sistema, v katerem vsi, od uprave do razvojne ekipe, razumejo svojo vlogo pri varovanju informacijskih sredstev organizacije.
Okviri od ISO/IEC 27001:2022 do NIS2 izhajajo iz istega dejstva: upravljanje je funkcija vodstva, ne tehnična naloga. Po ISO/IEC 27014:2020 mora najvišje vodstvo vzpostaviti strategijo informacijske varnosti, usklajeno s cilji organizacije. Ta strategija mora zagotoviti, da varnostne zahteve izpolnjujejo notranje in zunanje potrebe, vključno z zakonskimi, regulativnimi in pogodbenimi obveznostmi. Za potrditev tega mora vodstvo naročati neodvisne presoje, spodbujati kulturo, ki aktivno podpira varnost, ter zagotoviti usklajenost ciljev, vlog in virov.
Težava je v tem, da se ta »ton z vrha« pogosto ne prevede v ukrepanje na operativni ravni. Tu nastopi najpomembnejša in pogosto napačno razumljena kontrola: odgovornosti vodstva.
Kaskadni učinek: zakaj se varnost ne sme ustaviti pri vodji informacijske varnosti
Največja posamezna točka odpovedi v katerem koli sistemu upravljanja informacijske varnosti (ISMS) je predpostavka, da je za varnost odgovoren izključno vodja informacijske varnosti. V resnici je vodja informacijske varnosti dirigent, vodje posameznih poslovnih enot pa so glasbeniki. Če ne odigrajo svojega dela, rezultat ni harmonija, temveč hrup.
To natančno obravnava ISO/IEC 27001:2022 v kontroli 5.4, »Odgovornosti vodstva«. Ta kontrola zahteva, da so odgovornosti za informacijsko varnost dodeljene in uveljavljene v celotni organizaciji. Kot v koraku 23 poudarja naš Zenith Blueprint: 30-koračni načrt presojevalca, je namen te kontrole zagotoviti, da se varnostno vodenje kaskadno prenaša skozi vse ravni organizacije.
»Kontrola 5.4 v končni posledici potrjuje, da se varnostno vodenje ne konča pri vodji informacijske varnosti. Kaskadno se mora prenašati skozi vse ravni operativnega upravljanja, saj uspeh ali neuspeh vašega ISMS pogosto ni odvisen od politik ali orodij, temveč od tega, ali vodje dejavno zagovarjajo varnost na svojih področjih.« Zenith Blueprint
V Marijinem primeru je vodja marketinga varnost razumel kot oviro, ne kot deljeno odgovornost. Inženir DevOps je videl rok, ne dolžnosti dolžne skrbnosti. Živ okvir upravljanja bi varnostne kontrolne točke vgradil v postopek začetka projekta in v kazalnike uspešnosti ekipe DevOps. S tem se upravljanje iz bremena skladnosti spremeni v orodje za preprečevanje katastrof.
Od teorije k praksi: vzpostavljanje upravljanja z izvedljivimi politikami
Politika na polici je artefakt; politika, vključena v vsakodnevno poslovanje, je kontrola. Za operativno izvajanje upravljanja organizacije potrebujejo nedvoumno opredelitev dolžnosti. Naša Governance Roles & Responsibilities Policy je zasnovana prav za to. Eden njenih ključnih ciljev je:
»Vzdrževati model upravljanja, ki uveljavlja ločevanje dolžnosti, odpravlja nasprotja interesov in omogoča eskalacijo nerešenih varnostnih vprašanj.« Politika vlog in odgovornosti pri upravljanju
Ta izjava pretvori načelo na visoki ravni v konkretno, preverljivo zahtevo. Ustvari okvir za večplastno odgovornost, v katerem je vsaka raven vodstva evidentirana kot odgovorna za svoj del varnostnega programa. Za manjše organizacije Governance Roles & Responsibilities Policy - SME to poenostavi in v klavzuli 4.3.3 neposredno določa, da mora vsak zaposleni »incidente in vprašanja skladnosti nemudoma prijaviti generalnemu direktorju«. Takšna jasnost odpravi dvoumnost in vsakomur omogoča ukrepanje.
Vrnimo se k Marijinemu incidentu in poglejmo, kako bi lahko z naborom orodij Clarysec ponovno vzpostavila svoj pristop k upravljanju ter reaktivno odpoved spremenila v proaktiven in odporen sistem.
Politika kot temelj: Najprej bi uvedla Politiko vlog in odgovornosti pri upravljanju. V sodelovanju s kadrovsko službo bi v opise delovnih mest vseh vodij, od marketinga do financ, vključila posebne varnostne dolžnosti. Tako varnost postane formalni del njihove vloge, ne naknadna misel.
Opredelitev načina izvajanja: Nato bi politiko uporabila za vzpostavitev jasnega procesa. Klavzula 7.2.2 politike določa: »Tveganja, povezana z upravljanjem, mora pregledati usmerjevalni odbor za ISMS in jih potrditi med notranjimi presojami.« S tem bi nastal formalni forum, na katerem bi bil novi projekt vodje marketinga pregledan pred vzpostavitvijo kakršnega koli okolja v oblaku, kar bi preprečilo začetno napačno konfiguracijo.
Uporaba vpogledov iz preslikav skladnosti: Za razumevanje celotnega obsega svojega novega modela upravljanja bi Maria uporabila Zenith Controls: vodnik po preslikavah med okviri skladnosti. Ta vir pokaže, da »odgovornosti vodstva« (ISO 5.4) niso izolirana naloga, temveč osrednje vozlišče, povezano z drugimi ključnimi kontrolami. Med drugim razkrije neposredno povezavo med 5.4 in 5.8 (»Informacijska varnost pri vodenju projektov«), kar zagotavlja, da vodstvo zagotovi potreben nadzor za vgradnjo varnosti v vse nove pobude.
Tak proaktiven pristop premakne upravljanje iz reaktivne analize po incidentu v funkcijo, ki omogoča poslovanje. Zagotovi, da se vodja ob uvedbi novega orodja najprej ne vpraša »Kako to spravim mimo varnosti?«, temveč »S kom iz varnostne ekipe moram sodelovati?«
Presojevalec prihaja: kako dokazati, da je vaše upravljanje resnično
Izkušen presojevalec je usposobljen za iskanje dokazil o izvedbi, kar Zenith Blueprint imenuje uskladitev politike z »resničnostjo«. Ko presojevalec ocenjuje vaš okvir upravljanja, ne bere le dokumentov; preizkuša organizacijski mišični spomin. Išče dokazila, da je upravljanje živo, aktivno in odzivno.
Različni presojevalci bodo vaš okvir upravljanja preverjali z različnih zornih kotov. Tako bi preverili Marijin novi, robustni model upravljanja:
Presojevalec ISO/IEC 27001:2022: Ta presojevalec bo najprej zahteval dokazila o zavezanosti vodstva, kot jo zahteva klavzula 5.1. Zahteval bo zapisnike vodstvenih pregledov (klavzula 9.3). Preveril bo točke dnevnega reda, pri katerih so bili obravnavani uspešnost varnosti, dodelitev virov in odločitve na podlagi ocen tveganj. Želel bo videti, da vodstvo poročil ne le prejema, temveč ISMS aktivno usmerja.
Presojevalec COBIT 2019: Presojevalec COBIT razmišlja v okviru ciljev podjetja. Osredotočil se bo na cilje upravljanja, kot je EDM03 (»Zagotovljena optimizacija tveganj«). Zahteval bo poročila o tveganjih, predstavljena upravnemu odboru, in želel vedeti, ali vodstvo spremlja ključne varnostne kazalnike ter sprejema korektivne ukrepe, kadar se kazalniki poslabšujejo. Zanj upravljanje pomeni zagotavljanje, da varnost omogoča in varuje poslovno vrednost.
Presojevalec ISACA: Ta presojevalec, ki ga usmerjajo okviri, kot je ITAF, je posebej pozoren na »ton z vrha«. Z višjim vodstvom bo opravil intervjuje, da oceni njihovo razumevanje in zavezanost. Počasen ali odklonilen odziv vodstva na prejšnjo revizijsko ugotovitev je pomemben opozorilni znak, ki kaže na šibko kulturo upravljanja.
Regulator NIS2 ali DORA: Pri predpisih, kot sta NIS2 in DORA, so vložki višji. Ti okviri organom upravljanja nalagajo neposredno osebno odgovornost za odpovedi kibernetske varnosti. Presojevalec pristojnega organa bo zahteval dokazila, da je upravni odbor odobril okvir upravljanja tveganj kibernetske varnosti, nadziral njegovo izvajanje in prejel specializirano usposabljanje. Iskal bo dokazila, da vodstvo ni le seznanjeno, temveč aktivno vključeno in odgovorno.
Za izpolnitev teh različnih pristopov k presoji morate predložiti več kot le politike. Potrebujete portfelj dokazil.
| Področje presoje | Zahtevana dokazila |
|---|---|
| Vključenost najvišjega vodstva | Zapisniki vodstvenih pregledov, odobreni proračuni, predstavitve upravnemu odboru in strateška komunikacija. |
| Pregledi učinkovitosti | Dnevniki ukrepov iz odločitev vodstva, spremljani ukrepi za ublažitev iz ocen tveganj. |
| Odgovornost in odziv | Matrike RACI, opisi delovnih mest z varnostnimi dolžnostmi, poročila o incidentih, ki izkazujejo eskalacijo do vodstva. |
| Formalna dodelitev | Podpisani ustanovni akti varnostnih odborov, formalni opisi vlog lastnikov tveganj, letne potrditve vodij oddelkov. |
Če vaša dokazila obsegajo le datoteke PDF s politikami in nobenih operativnih dnevnikov, presoje ne boste uspešno prestali. Vodnik Zenith Controls vam pomaga sestaviti pravi portfelj za prikaz dokazil, ne le namere.
Povratna zanka: pretvorba incidentov v odpornost
Najmočnejši dokaz odpornega okvira upravljanja je navsezadnje način, kako se organizacija odzove na odpoved. Prava odpornost pomeni učenje, prilagajanje in ukrepanje. Kot Zenith Blueprint navaja pri obravnavi kontrole 5.24 (»Načrtovanje in priprava upravljanja incidentov informacijske varnosti«):
»Varne organizacije ne opredeljuje odsotnost incidentov, temveč pripravljenost, da jih ob nastanku obvlada … Ta kontrola se nanaša na izboljševanje, ne le na zapiranje zadev. Presojevalci bodo vprašali: ‘Kaj ste se naučili iz zadnjega incidenta?’ Pričakovali bodo analizo temeljnega vzroka, zabeležene pridobljene izkušnje in predvsem dokazila, da se je zaradi tega nekaj spremenilo."
V Marijinem primeru »sprememba« ni bila le pravilo požarnega zidu. Šlo je za uvedbo procesa upravljanja, ki zahteva odobritev vodstva za nove projekte, jasno matriko RACI za uvedbe v oblaku in obvezno varnostno usposabljanje za marketinško ekipo. Njena zmožnost dokazati to učno zanko bi potencialno večjo neskladnost spremenila v dokazilo o zrelem ISMS, ki se izboljšuje.
Tu upravljanje pokaže svojo vrednost. Odpoved ni več zgolj tehnična težava, ki jo je treba odpraviti, temveč organizacijska izkušnja, ki jo je treba razumeti in vgraditi. Kot Politika vlog in odgovornosti pri upravljanju določa v razdelku 9.1.1.4, se »pomembne revizijske ugotovitve ali incidenti, ki vključujejo odpoved upravljanja«, ne pometejo pod preprogo; pregledajo se, eskalirajo in obravnavajo z ukrepi.
Kako zagotoviti trajnost upravljanja: vloga odgovornosti
Tudi ob najboljših politikah in podpori vodstva lahko upravljanje odpove, če za neskladnost ni posledic. Resnično robusten okvir mora podpirati pošten, dosleden in dobro komuniciran disciplinski postopek. To je predmet kontrole ISO/IEC 27001:2022 6.4, »Disciplinski postopek«.
Ta kontrola zagotavlja, da pravila ISMS niso izbirna. Zagotavlja mehanizem uveljavljanja, ki dokazuje zavezanost vodstva varnosti. Kot je podrobno pojasnjeno v Zenith Controls, je ta postopek ključna obravnava tveganja za notranje grožnje in malomarnost. Deluje skupaj z drugimi kontrolami: dejavnosti spremljanja (8.16) lahko zaznajo kršitev politike, disciplinski postopek (6.4) pa določa formalni odziv.
»Disciplinski ukrepi so lažje zagovorljivi, kadar so zaposleni ustrezno usposobljeni in seznanjeni s svojimi odgovornostmi. Kontrola 6.4 temelji na 6.3 (Ozaveščanje, izobraževanje in usposabljanje za informacijsko varnost), da osebje ne more trditi, da ni poznalo politik, ki jih je kršilo."
Presojevalec bo preveril, ali se ta postopek dosledno uporablja na vseh ravneh, tako da za višjega izvršnega vodjo, ki krši politiko čiste mize, velja isti postopek kot za praktikanta. To je zadnji člen v verigi, ki upravljanje iz smernic spremeni v uveljavljiv standard.
Enotni zemljevid skladnosti: enoten pogled na upravljanje
Pritisk sodobnega upravljanja izhaja iz dejstva, da nikoli ne obstaja le v enem okviru. Predpisi, kot sta NIS2 in DORA, so odgovornost vodstva povzdignili iz dobre prakse v zakonsko zahtevo z osebno odgovornostjo. Odporen vodja informacijske varnosti mora znati upravljanje dokazati tako, da hkrati zadosti več presojevalcem.
Ta enotna tabela, izpeljana iz preslikav v Zenith Controls, prikazuje, kako je načelo odgovornosti vodstva univerzalna zahteva v glavnih okvirih.
| Okvir/standard | Ustrezna klavzula/kontrola | Kako se preslika na odgovornost izvršnega vodstva (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Klavzule 5.1, 5.2, 9.3 | Zahteva aktivno vodenje, vključitev ISMS v poslovne procese in redne vodstvene preglede. |
| EU NIS2 | Article 21(1) | Organi upravljanja morajo odobriti in nadzirati prakse upravljanja tveganj kibernetske varnosti ter osebno odgovarjajo za odpovedi. |
| EU DORA | Article 5(2) | Organ upravljanja nosi končno odgovornost za okvir upravljanja IKT-tveganj subjekta in operativno odpornost. |
| EU GDPR | Articles 5(2), 24(1) | Načelo odgovornosti zahteva, da upravljavci oziroma višje vodstvo dokažejo skladnost in uvedejo ustrezne ukrepe. |
| NIST SP 800-53 | PM-1, PM-9 | Vodstvo mora vzpostaviti načrt varnostnega programa in oblikovati izvršilno funkcijo za tveganja za enoten nadzor. |
| COBIT 2019 | EDM03 | Upravni odbor in izvršno vodstvo morata ocenjevati, usmerjati in spremljati varnostne pobude, da zagotovita usklajenost s poslovnimi cilji. |
Sporočilo je jasno: vsi presojevalci, ne glede na okvir, se približujejo isti zahtevi: »Pokažite mi upravljanje v praksi.«
Zaključek: upravljanje iz potrditvenega polja v kompas
Boleča resnica je, da so »skladne« organizacije vsak dan žrtve kršitev. »Odporne« organizacije pa preživijo in se prilagodijo. Odpornost zahteva globoko integracijo politike, tehnologije in dejanskega lastništva izvršnega vodstva. Ne gre za parado obrazcev, temveč za kulturo, v kateri se varnost in poslovna strategija premikata usklajeno.
Začnite z zahtevnimi vprašanji:
- Ali je naše varnostno vodenje vidno? Ali vodje zunaj varnostne funkcije aktivno sodelujejo pri odločitvah o tveganjih?
- Ali so odgovornosti jasne? Ali zna vsak vodja pojasniti svoje konkretne dolžnosti pri varovanju informacij na svojem področju?
- Ali je upravljanje integrirano? Ali so varnostni vidiki od začetka vgrajeni v naše procese vodenja projektov, nabave in kadrovske procese?
- Ali se učimo iz napak? Ali incident sproži pregled našega okvira upravljanja, ne le tehničnih kontrol?
Razlika med tem, ali organizacija incident preživi ali odpove pod regulativnim nadzorom, je v tem, kako globoko je upravljanje vtkano v njeno poslovanje. To je kompas, ki organizacijo vodi skozi negotovost. V trenutku krize med skladnostjo in katastrofo stoji le pravo upravljanje.
Naslednji koraki: naj bo vaša odpornost merljiva
- Uporabite Zenith Blueprint za preverjanje dejanskega stanja odgovornosti vodstva in zagotovite, da je varnost vidna v celotnem poslovanju.
- Uvedite politike Clarysec, kot je Politika vlog in odgovornosti pri upravljanju, kot žive dokumente, ki usmerjajo usposabljanje, eskalacijo in odpravljanje pomanjkljivosti.
- Uporabite Zenith Controls, da zagotovite pripravljenost na presojo v okviru ISO/IEC 27001:2022, NIS2, DORA in drugih okvirov, s konkretnimi preslikavami in paketi dokazil.
Ste pripravljeni razviti upravljanje iz potrditvenega polja v kompas? Rezervirajte pregled upravljanja ISMS s Clarysec in svojo izvršno ekipo dejansko postavite za krmilo.
Viri:
- Zenith Blueprint: 30-koračni načrt presojevalca
- Zenith Controls: vodnik po preslikavah med okviri skladnosti
- Politika vlog in odgovornosti pri upravljanju
- Politika vlog in odgovornosti pri upravljanju - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
