Varnostni proračuni se porabijo. Kontrole se implementirajo. Politike se pišejo. In organizacije se kljub vsemu spopadajo s kršitvami, zamujajo roke za priglasitev incidentov in ne morejo dokazati regulatorju, da so njihovi ukrepi sorazmerni.
Skoraj v vsakem primeru se pojavi isti temeljni vzrok: organizacija nikoli ni jasno identificirala, kaj varuje, pred čim to varuje in kako verjetne in resne so te grožnje dejansko. Varnost je bila reaktivna — odziv na incidente, ugotovitve revizij in priporočila prodajalcev — namesto rezultat premišljenih, na dokazih temelječih odločitev.To je problem, ki ga rešuje strukturirano upravljanje tveganj. In po ZInfV-1 je to obvezno — sorazmernih varnostnih ukrepov ni mogoče opredeliti brez verodostojne slike tveganj, ki jih utemeljuje.
1. Zakaj večina organizacij ne prepozna svojih tveganj
V skoraj vsaki organizaciji lahko vprašate, kakšno je njeno največje tveganje za informacijsko varnost, in dobili boste odgovor. Običajno bo odražal zadnji incident, ki so ga doživeli, nedavni pogovor s prodajalcem ali kontrolo, ki so jo nazadnje implementirali.
Redko bo odrazal strukturirano oceno sredstev, ki so za poslovanje najpomembnejša, realnih groženj, ki jim ta sredstva grozijo, ranljivosti, ki te grožnje omogočajo, ter verjetnosti in vpliva scenarijev, ki iz te analize izhajajo.
Vrzel med samozavestnim in dobro utemeljenim odgovorom je tam, kjer živi regulatorna in operativna izpostavljenost. Organizacija, ki ne more dokazati, kako je identificirala svoja tveganja, ne more dokazati, da so njeni varnostni ukrepi sorazmerni z njimi — kar je natanko to, kar zahteva ZInfV-1.
ZAHTEVA ZINFV-1
ZInfV-1 zahteva, da bistveni in pomembni subjekti implementirajo varnostne ukrepe, sorazmerne tveganjem, s katerimi se soočajo. Sorazmernost ni presoja — je dokumentirana pozicija, utemeljena v formalni oceni tveganj. Regulator, ki pregleda vašo varnostno držo, bo zahteval analizo, ki utemeljuje izbrane ukrepe.
2. Ocena tveganj, ki jo večina organizacij izvaja — in zakaj ni dovolj
Mnoge organizacije izvajajo nekaj, kar imenujejo ocena tveganj. Običajno vključuje delavnico, preglednico tveganj, ocenjenih visoka/srednja/nizka, in načrt obravnave, ki se lepo ujema s kontrolami, ki jih že imajo.
Ta vaja ima vrednost. Vendar ima dve pogosti napaki, ki spodkopavata njeno koristnost kot podlago za varnostni sistem.
Napaka 1: Identifikacija tveganj brez konteksta
Ocena tveganj, ki se začne s splošnim seznamom groženj — izsiljevalska programska oprema, phishing, tveganje notranjih akterjev — namesto s specifično analizo lastnih sredstev, procesov in odvisnosti organizacije, bo producirala splošne rezultate. Splošni rezultati vodijo do splošnih kontrol. Splošne kontrole pa pustijo organizacijsko specifične vrzeli.
Napaka 2: Ocena kot projekt, ne proces
Ocena tveganj, izvedena enkrat — običajno za izpolnitev zahteve stranke, revizije ali certifikacijske vloge — in nato arhivirana, zajame trenutek v času. Pokrajina groženj se spreminja. Organizacija se spreminja. Ocena je zastarela, varnostni program pa še vedno deluje v skladu z njo..
Organizacije, ki dosledno kažejo trdno varnostno drzo, obravnavajo upravljanje tveganj kot stani proces, ne periodičen projekt. Njihov register tveganj je živi dokument, ki se formalno pregleduje v določenih intervalih in posodablja ob vsaki večji spremembi.
3. Pretvorba ocene tveganj v varnostne cilje
Ocena tveganj brez posledic je akademska vaja. Praktični namen razumevanja tveganj je sprejemanje boljših odločitev — o tem, katerim kontrolam dati prednost, kje investirati in kaj sporočiti vodstvu.
ISO 27001 zahteva, da organizacije določijo merljive cilje informacijske varnosti, ki izhajajo iz ocene tveganj. Ti cilji prevajajo sliko tveganj v specifične, časovno omejene zaveze: zmanjšanje napadalne površine za kritični sistem, doseganje definiranega časa odziva za zaznavo incidentov, dokončanje pregleda varnosti dobavne verige za ključne dobavitelje.
Cilji dajejo vodstvu tudi nekaj konkretnega za upravljanje. Uprava, ki prejme register tveganj in z njim povezane cilje — namesto splošne varnostne posodobitve — lahko sprejema smiselne odločitve o dodelitvi virov in apetitu do tveganja. To je vrsta upravljanja, ki jo ZInfV-1 pričakuje.
PRAKTIČNA OPOMBA
Varnostni cilji naj bodo SMART: specifični, merljivi, dosegljivi, relevantni za identificirana tveganja in časovno omejeni. ‘Izboljšati varnost’ ni cilj. ‘Zmanjšati povprečni čas zaznave varnostnega dogodka s 72 ur na 24 ur do Q3 z implementacijo centraliziranega nadzora dnevnikov’ je.
4. Vrzel v načrtovanju je tam, kjer se kopiči izpostavljenost po ZInfV-1
Organizaciji, ki je zavezana po ZInfV-1 in ni opravila strukturirane ocene tveganj, ne manjka le standardna zahteva. Ne morejo dokazati, da je kateri koli njihov varnostni ukrep sorazmeren — ker sorazmernost zahteva dokumentirano izhodišče tveganj za primerjavo.
Praktično: verjetno varujejo napačne stvari. Brez trenutne, na dokazih utemeljene slike tveganj sledi varnostna investicija navadam, odnosom s prodajalci in preteklim incidentom namesto dejanski izpostavljenosti. Kontrole, ki so na papirju najimpresivnejše, pogosto niso tiste, ki naslavljajo največja tveganja.
Pravilno načrtovanje — strukturirana ocena tveganj, vzdrževan register tveganj, dokumentirane odločitve o obravnavi in merljivi varnostni cilji — ni skladnostna formalnost. Je temelj, ki naredi vsak drug element varnostnega programa smiseln in zanesljiv.
NISTE PREPRIČANI, KATERA SO VAŠA NAJVEČJA TVEGANJA?
Večina organizacij ni — dokler opravi pregleda pravilno. Organizacijam pomagamo izvajati strukturirane ocene tveganj, utemeljene v njihovem specifičnem kontekstu, ustvarjati registre tveganj, ki zdržijo regulatorni nadzor, in pretvoriti ugotovitve o tveganjih v varnostne cilje, ki jih vodstvo lahko dejansko upravlja. Naša brezplačna Ocena zrelosti informacijske varnosti je koristno izhodišče. In če želite spregovoriti o tem, kaj bi prava ocena tveganj pomenila za vašo organizacijo, ponujamo brezplačno 30-minutno posvetovanje.
Serija se nadaljuje — nasledji teden: Podpora (ISO 27001, poglavje 7)