Ko informacijski varnostni sistem odpove — ko vdor ostane neodkrit več mesecev, ko preteče rok za priglasitev incidenta, ko revizija razkrije vrzeli, ki bi jih bilo treba odpraviti že leta prej — vzrok skoraj nikoli ni tehničen. Požarni zid je verjetno ustrezen. Tudi politika je obstajala. Problem je, da ni nihče z avtoriteto varnosti postavil med organizacijske prioritete.
Poglavje 5 standarda ISO 27001 to naslavlja neposredno. Vodstvo ni le del delujočega varnostnega sistema — je predpogoj. Po ZInfV-1 pa je zavezanost vodstva zakonska obveznost z osebnimi posledicami.
1. Obveznost uprave, ne delegiranje na IT
23. člen ZInfV-1 nalaga izrecne, neprenosljive obveznosti upravljalnim organom bistvenih in pomembnih subjektov. Uprave in višji izvršni direktorji morajo osebno potrditi ukrepe za upravljanje tveganj kibernetske varnosti, nadzirati njihovo izvajanje in nosijo odgovornost za kršitve. Člani upravnih organov morajo opraviti varnostno usposabljanje.
To je pomemben premik. Po prejšnjem regulatornem režimu so bile napake pri upravljanju pretežno organizacijske odgovornosti. Po ZInfV-1 so osebne. Uprava, ki podpiše varnostno poročilo brez pregleda in razumevanja njegove vsebine, ni vzpostavila nadzora nad vrzeljo in je izpostavljena.
TEST ODGOVORNOSTI
Ko regulator pregleda vašo organizacijo, ne bo vprašal le, ali kontrole obstajajo. Vprašal bo, kdo jih je potrdil, kdo jih nadzira in kje so dokazila o aktivnem nadzoru na ravni uprave. Odgovor “Delegirali smo to na IT” ni zadovoljiv po ZInfV-1.
2. Kaj ISO 27001 in ZInfV-1 konkretno zahtevata od vodstva
Poglavje 5.1 standarda ISO 27001 namerno uporablja besedo “dokazovati”. Vodstvo mora pokazati dokazila o aktivni vpletenosti na šestih področjih:
| Vodstvo mora dokazovati, da: |
| So varnostna politika in cilji usklajeni s strateško usmeritvijo |
| So zahteve SUIV integrirane v procese organizacije |
| So na sredstva za SUIV na voljo |
| Aktivno sporočajo pomen varnosti |
| SUIV dosega postavljene cilje |
| Spodbujajo nenehno izboljševanje |
Nobeno od tega ne zahteva posebnega pododbora uprave ali velike varnostne ekipe. Zahteva, da ima varnost imenovanega, financiranega odgovornega z dostopom do vodstva — in da vodstvo poročila jemlje dovolj resno, da ukrepa.
3. Varnostna politika: instrument upravljanja ali zaveza na papirju?
Varnostna politika je najjasneši signal pristne zavezanosti vodstva. Večina organizacij jo ima. Manj jih ima tako, ki dejansko kaj pomeni.
Politika, ki je pripravi IT, enkrat podpisana in nikoli več usklajena z obveznostmi ZInfV-1 ali trenutno pokrajino groženj, ni instrument upravljanja. Je odgovornostni dokument — tak, ki ustvarja videz skladnosti, ne ponuja pa nobene operativne vsebine in nobene regulatorne zaščite.
Delujočo politika potrdi vodstvo — ne IT, ne pravna sluzba — sklicuje se na specifični regulatorni okvir, vključno z ZInfV-1, in se pregleda vsaj enkrat letno. To je dokument, ki bi ga regulator zahteval prvega — in tisti, na katerega je največ organizacij najmanj pripravljenih.
HITRA DIAGNOSTIKA
Poglejte svojo trenutno varnostno politiko. Zastavite si tri vprašanja: Ali izrecno omenja ZInfV-1 ali NIS2? Jo je potrdil član uprave ali izvršni direktor? Je bila pregledana v zadnjih 12 mesecih? Če je odgovor na katero koli od teh vprašanj ne, imate vrzel v upravljanju, ki jo bo regulator hitro odkril.
4. Vrzel v odgovornosti, ki je večina organizacij ne zazna
Najpogostejša napaka pri upravljanju varnosti ni pomanjkanje varnostnega osebja. Je predpostavka, da zaposlitev CISO-ja ali varnostnega menedžerja reši vprašanje odgovornosti. Ne reši.
Varnostni menedžer brez dostopa do uprave, proračunskih pooblastil ali zmožnosti eskalacije v strateške odločitve ne more izpolniti tega, kar zahtevata ISO 27001 in ZInfV-1 od vodstva. Odgovornost je nad njim. Ko varnostni menedžer eskalira kritično tveganje in se nič ne zgodi, je to napaka vodstva — in po ZInfV-1, je le-ta dokumentirana.
5. Vrzel v vodstvu je izpostavljenost po ZInfV-1
Organizacije, ki se borijo s skladnostjo z ZInfV-1, redko nimajo tehničnih zmogljivosti za implementacijo varnosti. So tiste, kjer vodstvo še ni razumelo — ali sprejelo — da je varnost njihova odgovornost, ne odgovornost varnostne ekipe.
Regulator bo iskal dokazila o pristnem nadzoru: dokumentirane potrditve uprave, varnostno politiko s tekočim podpisom vodstva, zapise letnih pregledov in lastnika SUIV z resničnimi pooblastili. Če teh ni, tehnične kontrole pod njimi ne bodo ustvarile zanesljive pozicije skladnosti.
Vzpostavitev pristne angažiranosti vodstva v varnostni program zahteva strukturiran pristop, jasno sporočanje osebnih obveznosti in izkušeno zunanjo podporo, ki zna prevesti regulatorne zahteve v jezik, ki je primeren za upravo.
ALI JE VAŠA UPRAVA RESNIČNO ANGAŽIRANA — ALI JE LE PODPISALA?
Med upravo, ki je potrdila varnostno politiko, in upravo, ki razume in nadzira varnostni program, ki ga upravlja, obstaja bistvena razlika. Naša brezplačna Ocena zrelosti informacijske varnosti pokriva upravljanje in vodstvo kot enega od petih ključnih področij — in vam da takojšnjo, iskreno sliko, kje stoji vaša organizacija. Deset minut. Brez obveznosti. Če rezultati sprožijo vprašanja ponujamo brezplačno 30-minutno posvetovanje.
Serija se nadaljuje — Naslednji teden: Načrtovanje (ISO 27001, poglavje 6)