Kvantitativna ocena kibernetskega tveganja za NIS2 in DORA
Sestanek organa upravljanja, na katerem »visoko tveganje« ni bilo več dovolj
Torek je, ura je 08:15. Vodja informacijske varnosti hitro rastočega finančnotehnološkega podjetja stoji pred sejno sobo organa upravljanja s tremi različicami iste zgodbe o kibernetskem tveganju.
Prva različica je znana: izsiljevalska programska oprema je »visoko« tveganje, izpad oblaka je »visoko« tveganje, kompromitacija dobavitelja je »srednje« tveganje, neustrezna uporaba privilegiranega dostopa je »visoko« tveganje. Razlaga je zagovorljiva, usklajena s trenutnim registrom tveganj in skoraj neuporabna za odločitev, ki jo mora sprejeti organ upravljanja.
Druga različica je tehnični načrt izvedbe: uvedba nespremenljivih varnostnih kopij, izboljšanje kontrol identitet, financiranje testiranja odpornosti, okrepitev spremljanja dobaviteljev in razširitev pokritosti beleženja. Smiselna je, vendar finančni direktor zastavi vprašanje, ki spremeni sestanek: »Kateri od teh ukrepov najbolj zmanjša poslovno tveganje na vloženi evro?«
Tretja različica spremeni razpravo.
Dvanajsturni izpad platforme za orkestracijo plačil je ocenjen na €620,000 bruto operativnega, pogodbenega in prihodkovnega vpliva. Trenutna pričakovana letna izpostavljenost je ocenjena na €186,000. Paket ukrepov za odpornost v vrednosti €74,000 lahko pričakovano letno izgubo zmanjša na približno €62,000. Preostala izpostavljenost je še vedno nad toleranco, ker storitev podpira kritično ali pomembno funkcijo, izpostavljenost zaradi obveščanja strank ostaja pomembna, odvisnost od tretjih oseb pa je visoka.
Organ upravljanja zdaj ne razpravlja več o barvah. Razpravlja o finančni izpostavljenosti, toleranci do tveganja, regulativni odgovornosti in naložbenih prioritetah.
To je kvantitativna ocena kibernetskega tveganja v letu 2026. Ni matematično gledališče. Ne pretvarja se, da je kibernetske dogodke mogoče napovedati s popolno natančnostjo. Je discipliniran prevod izjave »to je rdeče« v »to je verjetna finančna izpostavljenost, to je raven zaupanja, to je regulativna posledica, to je odločitev o obravnavi tveganja in to je revizijska sled dokazil«.
Za vodje informacijske varnosti, vodje skladnosti, presojevalce in lastnike podjetij ta premik v praksi postaja obvezen. ISO/IEC 27001:2022 zahteva dokumentiran, dosleden in primerljiv proces ocenjevanja in obravnave tveganj. NIS2 kibernetsko tveganje prenaša v odobritev, nadzor, usposabljanje in odgovornost organa upravljanja. DORA pri finančnih subjektih v središče postavlja upravljanje tveganj IKT, testiranje odpornosti, razvrščanje incidentov, tveganja tretjih oseb in odgovornost vodstva. NIST CSF 2.0 vodstvu daje jezik upravljanja za apetit po tveganju, določanje prioritet in nadzor. GDPR doda odgovornost, kadar so vključeni osebni podatki.
Vrzel ni v tem, da organizacije nimajo registrov tveganj. Vrzel je v tem, da številni registri tveganj ne znajo pojasniti denarja, prioritet, odgovornosti organa upravljanja ali revizijskih dokazil.
Pristop Clarysec to vrzel zapolni z združitvijo Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, politik Clarysec in Zenith Controls: The Cross-Compliance Guide Zenith Controls v en praktičen model dokazil: kvantificirati, kar je pomembno, preslikati na kontrole, prikazati, kdo je tveganje sprejel, in dokazati, da je obravnava delovala.
Zakaj kvalitativni registri tveganj niso več dovolj
Kvalitativna ocena tveganja je še vedno pomembna. Jasna matrika verjetnosti in vpliva ekipam pomaga določati prioritete, kadar so podatki nepopolni, zlasti v celotnem obsegu ISMS. Težava nastane, ko organizacija ostane samo pri tem.
Organ upravljanja lahko razume, da je tveganje »visoko«, vendar težko primerja tri »visoka« tveganja, ki tekmujejo za isti proračun. Je najvišja prioriteta scenarij izsiljevalske programske opreme, izpad oblaka, tveganje koncentracije pri dobavitelju ali šibkost privilegiranega dostopa? Odgovor je odvisen od finančne izpostavljenosti, regulativne resnosti, vpliva na stranke, pogodbenih obveznosti, kritičnosti storitve in preostalega tveganja po obravnavi.
Zato kvantitativna ocena kibernetskega tveganja najbolje deluje kot hibridni model. Ne kvantificirajte vsake manjše težave. Uporabite kvalitativno točkovanje v celotnem registru, nato pa dodajte finančno analizo za tveganja, ki zahtevajo odločitve vodstva, odobritev naložb, pogodbene ukrepe, prenos tveganja ali nadzor organa upravljanja.
Clarysecova korporativna Politika upravljanja tveganj Politika upravljanja tveganj to izrecno podpira. V razdelku »Zahteve za izvajanje politike«, klavzula 6.2.3, določa:
»Glede na kategorijo tveganja in razpoložljivost informacij se lahko uporabijo kvalitativne in kvantitativne metode."
Ta klavzula je pomembna, ker preprečuje pogosto napako: lažno natančnost. Zrele organizacije finančnega modeliranja ne vsiljujejo vsakemu manjšemu tveganju. Uporabijo ga tam, kjer ga odločitev zahteva.
Za mala in srednja podjetja lahko osnova ostane preprosta. Clarysecova Politika upravljanja tveganj za mala in srednja podjetja Politika upravljanja tveganj - MSP, razdelek »Zahteve upravljanja«, klavzula 5.1.2, določa:
»Vsak vnos tveganja mora vključevati: opis, verjetnost, vpliv, oceno, lastnika in načrt obravnave tveganja."
Izboljšava ni zamenjava te strukture. Izboljšava je obogatitev najpomembnejših vnosov s finančnimi ocenami, zlasti kadar so vključeni izpadi, regulirane storitve, osebni podatki, odvisnost od oblaka, zunanje izvajanje IKT ali kritične obveznosti do strank.
Premik v upravljanju: kibernetsko tveganje je zdaj gradivo za organ upravljanja
Kvantifikacija kibernetskega tveganja ni le finančna vaja. Je dokazilo upravljanja.
Po ISO/IEC 27001:2022 mora organizacija določiti kontekst, zainteresirane strani, zakonske in pogodbene zahteve, obseg, vmesnike in odvisnosti. Opredeliti mora proces ocenjevanja tveganj informacijske varnosti, ki daje dosledne, veljavne in primerljive rezultate. Prepoznati mora tveganja za zaupnost, celovitost in razpoložljivost, določiti lastnike tveganj, oceniti posledice in verjetnost, določiti ravni tveganja in tveganja prednostno razvrstiti. Nato mora izbrati možnosti obravnave tveganj, določiti kontrole, jih primerjati s Prilogo A, pripraviti izjavo o uporabnosti, pridobiti odobritev lastnika tveganja in hraniti dokumentirane informacije.
To pomeni, da register tveganj ni zasebna preglednica ekipe za informacijsko varnost. Je zapis ISMS, ki povezuje vodstvo, izbiro kontrol, odgovornost za obravnavo tveganj in vodstveni pregled.
NIS2 pričakovanja še povečuje. Organi upravljanja bistvenih in pomembnih subjektov morajo odobriti ukrepe za obvladovanje kibernetskih tveganj, nadzirati njihovo izvajanje in se usposabljati, da lahko razumejo tveganja in ocenjujejo prakse kibernetske varnosti. NIS2 Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe ob upoštevanju najsodobnejših rešitev, stroškov izvajanja, izpostavljenosti tveganju, velikosti subjekta, verjetnosti, resnosti ter družbenega in gospodarskega vpliva.
Prav besedna zveza »družbeni in gospodarski vpliv« je točka, kjer finančna kvantifikacija kibernetskega tveganja postane posebej uporabna. Ponudnik, ki podpira oblak, podatkovne centre, DNS, storitve zaupanja, upravljane storitve, upravljane varnostne storitve, digitalno infrastrukturo, spletne tržnice ali druge zajete sektorje, bo morda moral pokazati ne le, da kontrole obstajajo, temveč tudi, zakaj so sorazmerne izpostavljenosti.
Za finančne subjekte se DORA uporablja od 17. januarja 2025 in je sektorsko specifična ureditev digitalne operativne odpornosti. Zajema upravljanje tveganj IKT, poročanje o večjih incidentih, povezanih z IKT, testiranje digitalne operativne odpornosti, izmenjavo informacij o kibernetskih grožnjah, tveganja tretjih oseb na področju IKT in nadzor kritičnih ponudnikov IKT-storitev tretjih oseb. Za finančne subjekte, ki so hkrati opredeljeni po nacionalnem prenosu NIS2, DORA za relevantne zadeve obvladovanja tveganj IKT in poročanja o incidentih deluje kot sektorsko specifičen pravni akt Unije.
V praksi finančnotehnološko podjetje ne potrebuje petih nepovezanih okvirov tveganj. Potrebuje en integriran model tveganj, ki prikazuje, kateri režim se uporablja, katere odvisnosti obstajajo, kakšna finančna izpostavljenost je verjetna ter kako je vodstvo obravnavo odobrilo in spremljalo.
GDPR doda še eno plast. Če so vključeni osebni podatki, lahko kibernetski dogodek postane kršitev varnosti osebnih podatkov in ne zgolj operativni incident. Model tveganj mora opredeliti kontekst obdelave, vlogo upravljavca ali obdelovalca, kategorije podatkov, posebne vrste podatkov, kjer je relevantno, varnostne ukrepe, logiko presoje kršitve in posledice za obveščanje.
Od toplotne karte do evrov: praktični hibridni model
Pravo vprašanje ni: »Ali naj nadomestimo kvalitativno oceno tveganja?« Pravo vprašanje je: »Katera tveganja si zaslužijo finančno kvantifikacijo?«
Zenith Blueprint, faza upravljanja tveganj, korak 12, »Metode ocenjevanja tveganja: kvalitativne in kvantitativne«, daje pragmatičen odgovor:
»Kvantitativna ocena tveganja poskuša tveganje oceniti v številčnih izrazih (npr. pričakovana letna izguba v valuti). To pogosto vključuje:
✓ zbiranje zgodovinskih podatkov o incidentih (npr. kako pogosto pride do kršitve in kakšen je povprečen strošek); ✓ uporabo modelov, kot je pričakovana letna izguba (ALE = vpliv enkratne izgube × letna stopnja pojavnosti), ali okvirov, kot je FAIR (Factor Analysis of Information Risk), za kompleksnejšo analizo."
Isti korak opozarja, da je čista kvantitativna analiza za mala in srednja podjetja lahko težavna, ker so zgodovinski podatki lahko omejeni, proces pa zahteva veliko virov. Praktičen odgovor je »lahka kvantitativna« analiza najpomembnejših tveganj.
| Element | Praktični pomen | Primer |
|---|---|---|
| Vpliv enkratne izgube | Ocenjeni vpliv, če se scenarij zgodi enkrat | €620,000 za 12-urni izpad plačilne platforme |
| Letna stopnja pojavnosti | Ocenjena pogostost na leto | 0,3, kar pomeni približno enkrat na 3,3 leta |
| Pričakovana letna izguba | Vpliv enkratne izgube, pomnožen z letno stopnjo pojavnosti | €186,000 pričakovane letne izpostavljenosti |
| Strošek obravnave | Strošek paketa kontrol | €74,000 za preklop na rezervno okolje, spremljanje in testiranje |
| Preostala pričakovana letna izguba | Ocenjena letna izpostavljenost po obravnavi | €62,000 |
| Odločitev | Obravnavati, prenesti, izogniti se ali sprejeti | Obravnava in pregled preostalega tveganja na vodstvenem pregledu |
Številke ne potrebujejo popolnosti. Potrebujejo pojasnilo. Predpostavke o vplivu lahko vključujejo izgubo prihodkov, dobropise po SLA, nadomestila strankam, odziv na incidente, pravno svetovanje, forenzično podporo, nadure, podporo strankam, napor za regulativno obveščanje, odhode strank in vpliv na ugled. Predpostavke o pogostosti lahko izhajajo iz notranjih incidentov, poročil o izpadih dobaviteljev, obveščevalnih podatkov o grožnjah, sektorskih izkušenj, izpostavljenosti ranljivostim, ugotovitev presoje in zrelosti kontrol.
Zenith Blueprint, faza upravljanja tveganj, korak 10, »Vzpostavitev kriterijev tveganja in matrike vpliva«, pojasnjuje, zakaj mora biti model umerjen:
»Pri opredeljevanju vpliva je smiselno ravni povezati s specifičnim obsegom vašega poslovanja. Na primer: ‘velik finančni vpliv = izguba > $100k’ (prilagodite svojemu kontekstu). Upoštevajte tudi regulativni vpliv: na primer kršitev varnosti osebnih podatkov je lahko samodejno ‘velika’ ali ‘huda’ zaradi glob po GDPR in zahtev glede obveščanja, tudi če neposredna finančna izguba ni jasna."
To je most med kvalitativnim in kvantitativnim tveganjem. »Velik« postane smiseln šele, ko organizacija opredeli, kaj velik pomeni v finančnem, operativnem, pravnem in uporabniškem smislu.
Primer iz prakse: kvantifikacija tveganja izpada dobaviteljeve storitve v oblaku
Predstavljajte si ponudnika SaaS, ki zagotavlja storitve strankam iz finančnega sektorja. Odvisen je od ponudnika gostovanja v oblaku, upravljane podatkovne platforme, plačilnega prehoda in storitve za obveščanje strank. Ekipa za kvantitativno analizo izbere en scenarij:
»Daljši izpad upravljane podatkovne platforme povzroči motnjo v storitvi za stranke in zamudo pri obdelavi transakcij.«
Korak 1: opredelite tvegani scenarij in lastnika
Politika upravljanja tveganj za mala in srednja podjetja zahteva opis, verjetnost, vpliv, oceno, lastnika in načrt obravnave tveganja. Korporativna Politika upravljanja tveganj, razdelek »Zahteve upravljanja«, klavzula 5.2.2, dodaja, da register:
»vključuje lastnike tveganj, ocene vpliva in verjetnosti, načrte obravnave tveganj, roke in sklice na kontrole"
Lastnik ni »IT«. Odgovorni lastnik je lastnik storitve, ki ga podpirajo vodja informacijske varnosti, CTO, vodja skladnosti, upravljavec dobaviteljev in finance.
Korak 2: ocenite finančno izpostavljenost
Ekipa oceni:
- €35,000 na uro izgubljenih transakcijskih prihodkov in dobropisov po SLA
- €8,000 na uro stroškov podpore, eskalacije in obravnave incidenta
- €60,000 stroškov odprave posledic za stranke in komunikacij
- €120,000 možnega odliva strank ali komercialnega vpliva
- 10 ur kot verjeten hud izpad na podlagi zgodovine dobavitelja in pregleda arhitekture
Vpliv enkratne izgube je:
10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000
Trenutna verjetnost je ocenjena na 0,25 na leto. Pričakovana letna izguba je:
€610,000 × 0,25 = €152,500
Predlagani paket obravnave vključuje zasnovo preklopa med več regijami, preizkušeno obnovitev varnostnih kopij, pregled SLA z dobaviteljem, sintetično spremljanje, namizno vajo in posodobitev izstopnega načrta. Strošek v prvem letu znaša €82,000, ponavljajoči se stroški pa €34,000.
Po obravnavi je preostala verjetnost ocenjena na 0,10 na leto, preostali vpliv enkratne izgube pa na €350,000 zaradi hitrejše obnovitve. Preostali ALE je:
€350,000 × 0,10 = €35,000
Zmanjšanje pričakovane letne izpostavljenosti v prvem letu je približno €117,500, še preden upoštevamo regulativno odpornost, zaupanje strank in pogodbene koristi.
Korak 3: izberite obravnavo in dokumentirajte utemeljitev
Obravnava tveganja ni vedno zgolj zmanjševanje tveganja. Clarysecova Politika upravljanja tveganj za mala in srednja podjetja, razdelek »Zahteve za izvajanje politike«, klavzula 6.1.3, določa:
»Prenos: uporabite pogodbe, sporazume o ravni storitev ali zavarovanje za zunanji prenos tveganja."
Za ta scenarij organizacija izbere mešano obravnavo: zmanjšanje s tehnično odpornostjo, delni prenos prek SLA in pogodbenih pravnih sredstev ter sprejem preostalega tveganja z odobritvijo vodstva.
Korak 4: preslikajte obravnavo v izjavo o uporabnosti
Korporativna Politika upravljanja tveganj, razdelek »Uskladitev z izjavo o uporabnosti (SoA)«, klavzula 6.5.1, določa:
»Odločitve o kontrolah, ki izhajajo iz procesa obravnave tveganj, morajo biti odražene v SoA."
Tu finančni model postane revizijsko ustrezen. Scenarij izpada dobavitelja se poveže s kontrolami Priloge A ISO/IEC 27001:2022 za dobavitelje, oblak, neprekinjenost, incidente in motnje. Poveže se tudi z varnostjo dobavne verige in neprekinjenim poslovanjem po NIS2, tveganji tretjih oseb na področju IKT in testiranjem odpornosti po DORA, varnostjo in presojo kršitve po GDPR, če so prizadeti osebni podatki, ter z izidi upravljanja, dobavne verige, odziva in obnovitve po NIST CSF.
Zenith Blueprint, faza upravljanja tveganj, korak 13, »Načrtovanje obravnave tveganj in izjava o uporabnosti«, pojasnjuje sledljivost:
»SoA je dejansko povezovalni dokument: vašo oceno in obravnavo tveganj poveže z dejanskimi kontrolami, ki jih imate. Ko jo izpolnite, hkrati preverite, ali ste katero od kontrol spregledali."
Močna utemeljitev SoA bi lahko glasila: »Uporabno, ker izpad upravljane podatkovne platforme vpliva na kritično storitev za stranke, odvisnost od tretjih oseb na področju IKT, pogodbene obveznosti do strank, zaveze glede neprekinjenosti in morebitno razpoložljivost osebnih podatkov. Kontrole so izbrane za zmanjšanje kvantificirane pričakovane letne izpostavljenosti €152,500 in podporo preostalemu tveganju, ki ga je odobrilo vodstvo.«
Korak 5: eskalirajte glede na pragove
Korporativna Politika upravljanja tveganj, razdelek »Zahteve upravljanja«, klavzula 5.6, zahteva:
»Matrika pooblastil za tveganja mora jasno opredeliti pragove za eskalacijo najvišjemu vodstvu ali organu upravljanja."
Pričakovana letna izpostavljenost €152,500 lahko preseže toleranco lokalnega vodstva. Tudi tveganje nižje vrednosti lahko zahteva eskalacijo, če vpliva na kritično ali pomembno funkcijo, sproži pričakovanja po DORA, vključuje osebne podatke, ogroža obveznosti do strank ali ustvarja odgovornost organa upravljanja po NIS2.
Preslikava čez več skladnostnih režimov: eno kvantificirano tveganje, več obveznosti
Kvantificiranega kibernetskega tveganja ne bi smeli kopirati v pet ločenih preglednic skladnosti. Postati mora en objekt tveganja z več pogledi skladnosti.
| Vidik skladnosti | Kaj mora kvantificirano tveganje prikazati | Artefakt dokazil |
|---|---|---|
| ISO/IEC 27001:2022 | Kriterije tveganja, lastnika, verjetnost, posledico, obravnavo, sprejem preostalega tveganja, preslikavo SoA in operativna dokazila | Register tveganj, načrt obravnave tveganj, SoA, vodstveni pregled, revizijski zapisi |
| NIS2 | Ustrezne in sorazmerne ukrepe, odobritev in nadzor organa upravljanja, vidike incidentov in neprekinjenosti, ukrepe dobavne verige | Zapisniki organa upravljanja, zapisi o usposabljanju, odobritve obravnave tveganj, delovni tok incidentov |
| DORA | Upravljanje tveganj IKT, kritične ali pomembne funkcije, odvisnosti od tretjih oseb na področju IKT, testiranje, razvrščanje incidentov in strategijo odpornosti | Okvir upravljanja IKT-tveganj, register informacij, rezultati testiranja, razvrstitev incidentov, izstopni načrt |
| GDPR | Obseg osebnih podatkov, varnostne ukrepe, posledice kršitve, odgovornost upravljavca ali obdelovalca, kontekst zakonite obdelave | Povezava z evidenco dejavnosti obdelave, DPIA, kjer je relevantna, presoja kršitve, varnostna dokazila |
| NIST CSF 2.0 | Apetit po tveganju, standardizirano določanje prioritet, upravljanje, tveganje dobaviteljev, izide zaznavanja, odziva in obnovitve | Trenutni in ciljni profili, akcijski načrt, POA&M, zapisi o tveganjih dobaviteljev |
| COBIT 2019 | Cilje upravljanja, spremljanje uspešnosti, optimizacijo tveganj, odločitve o virih in zagotovilo | Poročanje o upravljanju, metrike uspešnosti kontrol, poročila o zagotovilu |
NIS2 Article 21 je posebej relevanten, ker vključuje analizo tveganj, varnostne politike, obravnavanje incidentov, neprekinjeno poslovanje, varnostno kopiranje, obnovitev po nesreči, krizno upravljanje, varnost dobavne verige, varen razvoj, obravnavanje ranljivosti, oceno učinkovitosti, kibernetsko higieno, usposabljanje, kriptografijo, kadrovsko varnost, nadzor dostopa, upravljanje sredstev in avtentikacijo.
DORA uvaja podobno disciplino za finančne subjekte, vendar s sektorsko specifičnim poudarkom. Zahteva notranji okvir upravljanja in kontrol za tveganja IKT, pri čemer je organ upravljanja končno odgovoren. Pričakuje odobritev in nadzor politik IKT, vlog, strategije digitalne operativne odpornosti, tolerance do tveganj IKT, načrtov neprekinjenosti in odziva, načrtov presoj, proračunov, usposabljanja, politik za tretje osebe na področju IKT in kanalov poročanja.
DORA daje kvantitativni oceni tveganja tudi neposreden operativni sprožilec: razvrščanje incidentov. Večje incidente, povezane z IKT, je treba razvrstiti po merilih, kot so prizadete stranke, nasprotne stranke in transakcije, trajanje, izpad, geografska razširjenost, izgube podatkov, ki vplivajo na razpoložljivost, avtentičnost, celovitost ali zaupnost, kritičnost prizadetih storitev in gospodarski vpliv. Če model tveganj že ocenjuje izpad, vpliv na stranke, vpliv na podatke in gospodarsko izgubo, podpira razvrščanje incidenta, ko pride do dejanskega dogodka.
Preslikava kontrol, zaradi katere je odgovornost organa upravljanja preverljiva
V Zenith Controls Clarysec preslika ISO/IEC 27002:2022 kontrolo 5.4, »Odgovornosti vodstva«, kot upravljavsko sidro za odgovornost pri informacijski varnosti. Vodnik jo obravnava kot preventivno kontrolo, ki podpira zaupnost, celovitost in razpoložljivost, je usklajena s konceptom kibernetske varnosti »Identify«, pri čemer je upravljanje operativna zmožnost, upravljanje in ekosistem pa varnostni področji.
To je pomembno, ker finančna kibernetska izpostavljenost spada v odločanje vodstva. Zenith Controls povezuje ISO/IEC 27002:2022 kontrolo 5.4 z več podpornimi kontrolami:
| Razmerje kontrole ISO/IEC 27002:2022 | Zakaj je pomembno za kvantificirano tveganje |
|---|---|
| 5.2 Vloge in odgovornosti za informacijsko varnost | Lastniki tveganj, lastniki kontrol in organi za eskalacijo morajo biti opredeljeni |
| 5.1 Politike za informacijsko varnost | Odločitve o kvantificiranih tveganjih morajo biti usklajene z odobrenimi zavezami iz politik |
| 5.35 Neodvisni pregled informacijske varnosti | Neodvisni pregled daje vodstvu objektivno zagotovilo o obravnavi tveganja |
| 5.36 Skladnost s politikami, pravili in standardi za informacijsko varnost | Spremljanje skladnosti pokaže, ali obravnave delujejo, kot je predvideno |
| 5.8 Informacijska varnost pri vodenju projektov | Novi produkti in spremembe morajo zgodaj vključiti kibernetsko tveganje in finančno izpostavljenost |
Zenith Controls odgovornosti vodstva preslika tudi na klavzule ISO/IEC 27001:2022 5.1, 5.2 in 9.3, s čimer poveže voditeljstvo, politiko in vodstveni pregled. Nadalje jih preslika na klavzule ISO/IEC 27014:2020 6 in 7, ki se osredotočajo na okvire upravljanja in procese za vrednotenje, usmerjanje, spremljanje in komuniciranje informacijske varnosti.
Veriga dokazil je jasna:
- Vodstvo določi apetit po tveganju, toleranco in pragove eskalacije.
- Lastniki tveganj kvantificirajo najpomembnejša kibernetska tveganja.
- Kontrole se izberejo in odrazijo v SoA.
- Ukrepi obravnave se izvedejo in spremljajo.
- Neodvisni pregled in spremljanje skladnosti preverjata učinkovitost.
- Vodstveni pregled oceni uspešnost, incidente, rezultate presoj, vire in ukrepe izboljšav.
- Organ upravljanja prejme finančno izpostavljenost, preostalo tveganje in dokazila o odgovornosti v poslovnem jeziku.
Clarysecova Politika upravljanja tveganj za mala in srednja podjetja, razdelek »Vloge in odgovornosti«, klavzula 4.1.1, krepi to upravljavsko vlogo:
»Določa apetit organizacije po tveganju in odobri okvir za obvladovanje tveganj."
Za malo ali srednje podjetje je to lahko generalni direktor ali lastnik. Za regulirani finančni subjekt je to lahko organ upravljanja. Načelo odgovornosti je enako.
Kako bodo presojevalci in regulatorji preverjali vaše številke
Kvantitativna ocena kibernetskega tveganja ne bo presojana kot popolna aktuarska znanost. Presojana bo glede metode, doslednosti, sledljivosti, upravljanja in dokazil.
| Vidik presojevalca ali ocenjevalca | Kaj bo preverjal | Katera dokazila bo pričakoval |
|---|---|---|
| ISO/IEC 27001:2022 | Klavzula 6.1.2 ocena tveganja, klavzula 6.1.3 obravnava tveganja, odločitve SoA, odobritev lastnika tveganja in klavzula 9.3 vodstveni pregled | Kriteriji tveganja, register, načrt obravnave tveganj, SoA, odobritve, zapisniki vodstvenega pregleda |
| Pristojni organ po NIS2 | Odobritev in nadzor organa upravljanja, ukrepi iz Article 21, sorazmernost, pripravljenost na incidente in usposabljanje | Gradiva za organ upravljanja, zapisi o usposabljanju, odobritve tveganj, postopki obravnave incidentov, dokazila o neprekinjenosti |
| Nadzornik po DORA ali notranji presojevalec | Okvir upravljanja IKT-tveganj, toleranca do tveganj IKT, kritične ali pomembne funkcije, testiranje, razvrščanje incidentov in tveganja tretjih oseb na področju IKT | Register tveganj IKT, strategija odpornosti, register informacij, rezultati testiranja, izstopni načrti |
| Ocenjevalec NIST CSF 2.0 | Izidi GOVERN, vključno z GV.RM-02 apetitom po tveganju in toleranco ter GV.RM-06 standardiziranim določanjem prioritet | Trenutni profil, ciljni profil, akcijski načrt, povezava s tveganji podjetja |
| Ocenjevalec COBIT 2019 | Upravljanje korporativnega IT, optimizacija tveganj, pravice odločanja, dodeljevanje virov in zagotovilo | Poročanje o upravljanju, metrike uspešnosti, poročila o zagotovilu |
Clarysecova Politika spremljanja presoje in skladnosti za MSP Politika spremljanja presoje in skladnosti za MSP - MSP, razdelek »Zahteve upravljanja«, klavzula 5.4.3, izrecno določa revizijsko zanko:
»Ugotovitve presoje in posodobitve statusa morajo biti vključene v proces vodstvenega pregleda ISMS."
To je ključno. Če model tveganj ocenjuje €500,000 izpostavljenosti, notranja revizija pa ugotovi, da je test obnovitve spodletel, se mora preostalo tveganje spremeniti. Če izstopni načrt za dobavitelja ni preizkušen, organizacija preostalega tveganja ne sme sprejeti, kot da bi bila kontrola zrela. Če testiranje po DORA prepozna kritično vrzel, mora ta ugotovitev vplivati na obravnavo, proračun in vodstveni pregled.
Zenith Blueprint, faza Presoja, pregled in izboljševanje, korak 28, »Vodstveni pregled«, to podpira s priporočilom vhodov za vodstveni pregled, kot so spremembe notranjih in zunanjih vprašanj, regulativne zahteve, rezultati presoj, spremljanje in merjenje, cilji, incidenti, neskladnosti, priložnosti za izboljšave in potrebe po virih. V programu kvantificiranega kibernetskega tveganja mora paket za vodstveni pregled vključevati najpomembnejše finančne izpostavljenosti, trend od zadnjega pregleda, napredek obravnave, zapadle ukrepe, preostala tveganja nad toleranco in potrebne odločitve.
Priprava paketa kibernetskih tveganj za organ upravljanja
Paket kibernetskih tveganj za organ upravljanja direktorjev ne sme preplaviti s številom ranljivosti, spremenljivkami FAIR ali identifikatorji kontrol. Kibernetsko tveganje mora prevesti v odločitve.
Za vsako najpomembnejše kvantificirano tveganje vključite:
- ime scenarija in prizadeto poslovno storitev
- kritičnost storitve ali funkcije
- oznake za osebne podatke, regulirano storitev in odvisnost od dobavitelja
- trenutno oceno vpliva enkratne izgube
- trenutno oceno letne stopnje pojavnosti
- trenutno pričakovano letno izgubo
- predpostavke in raven zaupanja
- trenutne kontrole in znane vrzeli
- možnosti obravnave in stroške
- pričakovano preostalo izpostavljenost po obravnavi
- relevantnost za ISO/IEC 27001:2022, NIS2, DORA in GDPR
- lastnika tveganja in potrebno odločitev
- sklice na SoA in politike
- rok in datum pregleda
Poenostavljen pogled za organ upravljanja je lahko takšen:
| Tvegani scenarij | Trenutni ALE | Strošek obravnave | Preostali ALE | Regulativni dejavnik | Odločitev |
|---|---|---|---|---|---|
| Izpad upravljane podatkovne platforme, ki vpliva na obdelavo transakcij | €152,500 | €82,000 | €35,000 | Tveganje IKT po DORA, obravnava tveganja po ISO, neprekinjenost pri dobavitelju | Odobriti obravnavo |
| Izsiljevalska programska oprema, ki prizadene platformo s podatki strank | €372,000 | €100,000 | €95,000 | Tveganje kršitve po GDPR, obravnavanje incidentov po NIS2, kontrole incidentov po ISO | Odobriti EDR in nespremenljive varnostne kopije |
| Kompromitacija privilegiranega dostopa v administratorski konzoli v oblaku | €260,000 | €58,000 | €72,000 | Nadzor dostopa po ISO, avtentikacija po NIS2, celovitost podatkov po DORA | Odobriti izboljšanje MFA in PAM |
| Tveganje koncentracije pri kritičnem ponudniku SaaS | €190,000 | €45,000 | €95,000 | Tveganje tretjih oseb po DORA, dobavna veriga po NIS2, kontrole dobaviteljev po ISO | Odobriti testiranje izstopnega načrta |
Številke so ocene, vendar je upravljavska vrednost dejanska. Organ upravljanja lahko primerja prioritete. Vodja informacijske varnosti lahko utemelji porabo. Finance lahko potrdijo predpostavke. Skladnost lahko odločitve poveže z obveznostmi. Presojevalci lahko sledijo revizijski sledi dokazil.
Pogoste napake pri kvantifikaciji kibernetskega tveganja
Prva napaka je lažna natančnost. Model, ki navaja izgubo €487,239.17 brez jasnih predpostavk, je manj verodostojen kot razpon z dokumentirano podlago. Kjer je primerno, uporabite razpone in predpostavke pregledujte po incidentih, presojah, spremembah dobaviteljev in večjih arhitekturnih odločitvah.
Druga napaka je upoštevanje samo tehničnih stroškov. Večji kibernetski incident lahko vključuje izgubo prihodkov, nadomestila strankam, operativno motnjo, poročanje regulatorju, pravno svetovanje, forenzično podporo, stroške komuniciranja, pogodbene sankcije, odhod strank, čas vodstva in vpliv na ugled.
Tretja napaka je ignoriranje regulativne resnosti. Kršitev varnosti osebnih podatkov je lahko velika, tudi če je neposredna operativna izguba videti skromna. Incident po DORA je lahko pomemben zaradi kritičnosti storitve, izpada, izgube podatkov ali prizadetih strank. Incident po NIS2 je lahko materialen, ker povzroči hudo operativno motnjo, finančno izgubo ali znatno škodo drugim.
Četrta napaka je neposodobljena SoA. Če odločitve o obravnavi izberejo spremljanje dobaviteljev, načrtovanje izhoda iz oblaka, zbiranje dokazil o incidentih, pripravljenost IKT za neprekinjeno poslovanje ali kontrole motenj, mora SoA odražati uporabljive kontrole in status njihove izvedbe.
Peta napaka je izključitev financ. Kvantitativna ocena kibernetskega tveganja je najmočnejša, kadar se informacijska varnost, finance, pravo, operacije, produkt in skladnost uskladijo glede predpostavk o vplivu. Vodja informacijske varnosti ne sme sam izmišljati številk o izgubi prihodkov.
Šesta napaka je obravnavanje zavarovanja kot popolnega prenosa tveganja. Zavarovanje lahko zmanjša finančni vpliv, ne odpravi pa regulativne odgovornosti, motnje storitve, škode zaupanju strank ali odgovornosti vodstva.
Kje se vključi Clarysec
Clarysec organizacijam pomaga vzpostaviti program kibernetskih tveganj, ki je dovolj praktičen za mala in srednja podjetja ter dovolj strog za regulirana okolja.
Zenith Blueprint organizacijo vodi od obsega in konteksta prek kriterijev tveganja, kvalitativne in kvantitativne presoje, načrtovanja obravnave, sledljivosti SoA, presoje, vodstvenega pregleda in izboljševanja. Zenith Controls pomaga preslikati pričakovanja kontrol ISO/IEC 27001:2022 in ISO/IEC 27002:2022 na druge okvire, presoje in obveznosti upravljanja. Politike Clarysec zagotavljajo jezik, ki ga pričakujejo presojevalci, vključno z apetitom po tveganju, matrikami pooblastil, možnostmi obravnave, evidencami skladnosti, uskladitvijo s SoA in integracijo v vodstveni pregled.
Politika pravne in regulativne skladnosti za mala in srednja podjetja Politika pravne in regulativne skladnosti - MSP, razdelek »Zahteve upravljanja«, klavzula 5.1.1, se začne s preprosto obveznostjo:
»GM mora vzdrževati preprosto, strukturirano evidenco skladnosti, ki navaja:"
Ta preprosta evidenca je pomembna. Zakonske, regulativne in pogodbene obveznosti morajo biti vidne znotraj ISMS. Za kvantitativno tveganje to pomeni, da NIS2, DORA, GDPR, pogodbe s strankami, SLA, obveznosti zunanjega izvajanja, obveznosti poročanja o incidentih in zaveze glede presoj oblikujejo vpliv, prioriteto obravnave in eskalacijo.
Korporativna Politika upravljanja tveganj, razdelek »Referenčni standardi in okviri«, klavzula 11.9.1, prav tako neposredno odraža upravljanje v slogu DORA:
»Article 5: zahteva dokumentiran okvir upravljanja IKT-tveganj, ki ga struktura te politike v celoti pokriva, vključno s preslikavo SoA in KRI."
To je Clarysecov model v enem stavku: dokumentirano upravljanje tveganj IKT, preslikano na kontrole, merjeno s kazalniki, pregledano s strani vodstva in podprto z dokazili za revizijo.
Naslednji koraki: naj bo vaš register kibernetskih tveganj za 2026 finančno zagovorljiv
Če vaš trenutni register kibernetskih tveganj še vedno navaja »visoko« brez pojasnila finančne izpostavljenosti, ekonomike obravnave ali regulativnega vpliva, v tem četrtletju začnite s petimi ukrepi:
- Izberite 5 do 10 najpomembnejših scenarijev kibernetskega tveganja glede na poslovni vpliv.
- Opredelite pragove finančnega vpliva za manjši, zmeren, velik in hud vpliv.
- Za vsak najpomembnejši scenarij ocenite vpliv enkratne izgube, letno stopnjo pojavnosti in pričakovano letno izgubo.
- Vsako odločitev o obravnavi preslikajte na kontrole ISO/IEC 27001:2022, SoA, obveznosti po NIS2 ali DORA, kjer je relevantno, posledice po GDPR in izide upravljanja po NIST CSF.
- Na vodstvenem pregledu predstavite preostalo tveganje, strošek obravnave in pragove eskalacije.
Clarysec vam lahko pomaga to pretvoriti v ponovljiv sistem dokazil z uporabo Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, korporativne Politike upravljanja tveganj Politika upravljanja tveganj, Politike upravljanja tveganj za mala in srednja podjetja Politika upravljanja tveganj - MSP ter podpornih predlog za presojo in skladnost.
Cilj ni, da bi bilo kibernetsko tveganje popolnoma predvidljivo. Cilj je, da je pojasnljivo, primerljivo, finančno smiselno in preverljivo.
Prenesite Clarysecove predloge politik za tveganja in skladnost, raziščite Zenith Blueprint ali rezervirajte Clarysecovo presojo, da svoj register kibernetskih tveganj za 2026 pretvorite v dokazila za organ upravljanja za ISO/IEC 27001:2022, NIS2, DORA in GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
