Varnostni program ima lahko prave politike, prave kontrole in pravo oceno tveganj — in kljub temu odpove v praksi. Točka odpovedi je skoraj vedno enaka: ljudje, ki bi morali upravljati program, nimajo spretnosti, virov, informacij ali orodij, da bi to dejansko storili.
To je podporna infrastruktura, ki drži varnostni program skupaj. Ni glamurozna. Ne pojavi se v naslovih o kršitvah ali prezentacijah za upravo. Brez nje pa je vsak drug element SUIV teoretičen — in po ZInfV-1 mora delujoč program dokazati, da so ljudje in viri za njim dejansko sposobni.
1. Vprašanje virov, ki si ga nihče ne zastavi iskreno
Večina organizacij bo potrdila, če jih vprašate, ali so dodelile vire za informacijsko varnost. Imajo IT-ekipo. Morda imajo vodjo informacijske varnosti. Imajo proračun za orodja.
Manj organizacij si je zastavilo težje vprašanje: ali so ti viri dejansko zadostni za upravljanje varnostnega programa, ki ga organizacija potrebuje? Ali je vodja informacijske varnosti resnično opolnomočen in usposobljen za delo? Ali je proračun umerjen na profil tveganja, ali le enak kot lani plus inflacija?
ISO 27001 zahteva, da organizacije določijo in zagotovijo vire, potrebne za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje SUIV. Ta določitev mora biti iskrena — utemeljena v oceni tveganj, obsegu programa in dejanski sposobnosti, ki je potrebna za njegovo upravljanje. Podfinanciranje varnostnega programa ni prihranek. Po ZInfV-1 je dokumentirana napaka pri upravljanju.
POVEZAVA Z ZINFV-1
Regulatorji, ki ocenjujejo sorazmernost po ZInfV-1, bodo preučili, ali so varnostni ukrepi ustrezno financirani — ne le ali na papirju obstajajo. Organizacija, ki lahko dokazelze s tveganji umerjen proracun in varnostno funkcijo z resnicnimi pooblastili, je v bistveno boljsem polozaju kot tista, ki ne more pojasniti, kako so bili doloceni njeni viri.
2. Kompetencet: kaj vaš varnostni program dejansko zahteva?
Ljudje, odgovorni za upravljanje varnostnega programa, potrebujejo specifične, dokazljive kompetence — ne le splošne IT-spretnosti ali pripravljenost poskusiti. Ocena tveganj, odzivanje na incidente, upravljanje varnosti dobaviteljev in priprava na revizijo so discipline, ki zahtevajo usposabljanje, izkušnje in stalni razvoj.
ISO 27001 zahteva, da organizacije določijo potrebno kompetentnost za vloge, ki vplivajo na varnostno uspešnost, zagotovijo, da so osebe v teh vlogah kompetentne na podlagi izobrazbe, usposabljanja ali izkušenj, in vzdržujejo dokumentirana dokazila o tej kompetentnosti. Zadnja točka je pomembna: kompetentnosti ni mogoče predpostavljati. Dokazati jo je treba.
V praksi so vrzeli v kompetentnosti ena najpogostejših ugotovitev pri revizijah ISO 27001 in regulatornih pregledih. CISO, ki nikoli ni izvedel formalne ocene tveganj. Ekipa za odzivanje na incidente, ki ne pozna protokola. Pooblaščena oseba za varstvo podatkov in vodja infromacijske varnosti, ki delujeta v ločenih silosi in se nikoli nista uskladila pri prekrivajočih se obveznostih. To niso robni primeri — to je norma v organizacijah, ki nikoli niso formalno ocenile lastnih zmogljivosti.
3. Varnostna ozaveščenost: usposabljanje, ki dejansko spremeni vedenje
Usposabljanje za varnostno ozaveščenost je eden najpogostejših slabo obvladanih elementov varnostnega programa. Redko ga ni — letni e-učni moduli, obvezno sledenje dokončanja in s kvizom podprta certifikacija so skoraj vsesplošen pojav. Pogosto pa manjka dokazilo, da usposabljanje dejansko spremeni vedenje.
Vrzel je pomembna iz dveh razlogov. Praktično: človeska napaka ostaja najpogostejši začetni vektor napada. Regulatorno: ZInfV-1 in ISO 27001 zahtevata ne le obstoj usposabljanja, temveč da so ljudje ozaveščeni o politiki informacijske varnosti, svojem prispevku k učinkovitosti SUIV in posledicah neskladnosti. Ozaveščenost pomeni razumevanje, ne dokončanje.
Vprašanje ni, ali je vaše osebje dokončalo usposabljanje. Vprašanje je, ali bi prepoznalo ciljni phishing e-mail, vedelo, koga poklicati ob sumu incidenta, in razumelo, zakaj obstajajo politike, ki jih prosimo, da jih upoštevajo.
4. Dokumentacija: vrzel med napisanim in operativnim
Varnostni program generira dokumentacijo — politike, postopke, registre tveganj, zapise odločitev in pregledov. ISO 27001 zahteva specifičen nabor dokumentiranih informacij; ZInfV-1 zahteva zmožnost dokazati varnostne ukrepe regulatorju. Oboje ustvarja močno spodbudo, da imamo stvari zapisane.
Kar nobeden od standardov ne preprečuje — in kar praksa pogosto producira — je dokumentacija, ki zadovolji revizijo, ne pa operacije. Politike, pisane v splošnem jeziku, ki jih nihče ne bere. Postopki odzivanja na incidente, ki so bili zadnjič preizkušeni pred tremi leti in niso bili posodobljeni glede na nove sisteme, novo osebje ali nove regulatorne obveznosti. Registri tveganj, ki se izvozijo v PDF pred revizijo in ne odprejo do naslednje.
Test, ali dokumentacija deluje, je preprost: ali bi ob dejanskem incidentu ob 23. uri v petek ekipa na klicu vedela, kje najti postopek odzivanja na incidente, mu zaupala, da odraža resničnost, in mu lahko sledila pod pritiskom? če je odgovor negotov, je dokumentacija revizijska, ne operativna.
5. Komunikacija: kdo ve kaj, in kdaj
Varnost je odvisna od tega, ali informacije dosežejo prave ljudi ob pravem času. Oseba, ki opazi anomalijo, a ne ve, komu jo prijaviti. Dobavitelj, ki je utrpel kršitev, a nima jasnega kanala za obvestiti stranke. Nov zaposleni, ki ne ve, da obstaja politika čiste mize.
ISO 27001 zahteva, da organizacije določijo notranjo in zunanjo komunikacijo, relevantno za SUIV — kaj je treba sporočiti, komu, kdaj, kdo to stori in po katerih kanalih. To ni birokratska vaja. To je mehanizem, ki zagotavlja, da varnostni program deluje kot sistem, ne kot zbirka izoliranih kontrol.
Po ZInfV-1 komunikacija dobi specifično regulatorno razsežnost: obveznost priglasitve incidenta SI-CERT v roku 72 ur zahteva ne le postopek, temveč živo komunikacijsko verigo — ljudi, ki poznajo svojo vlogo, aktualne stike in proces, ki je praktičen, ne le teoretičen.
6. Kaj ustrezna podpora dejansko pomeni — in kaj stane, če jo zamudimo
Podporna infrastruktura varnostnega programa je nevidna, ko deluje, in katastrofalna, ko ne deluje. Ko pride do kršitve in ekipa za odzivanje na incidente ne pozna postopka, ko regulator zahteva dokazila o kompetentnosti in jih ni, ko osebje poroča, da ni vedelo, kaj storiti — vrzel je neposredno sledljiva do neustrezne podpore.
Pravilna vzpostavitev podporne infrastrukture zahteva iskreno oceno tega, kar program dejansko potrebuje, v primerjavi s tem, kar je trenutno vzpostavljeno. Zahteva odločitve o investiciji v usposabljanje, vzdrževanje dokumentacije in načrtovanje komunikacije, ki se zdijo nizkoprioritene — dokler incident ne naredi, da so kritične.
Zahteva tudi priznavnje, kdaj notranje zmogljivosti niso zadostne in je zunanja podpora pravi odgovor — bodisi specializirano usposabljanje, program varnostne ozavešćenosti, pregled dokumentacije ali upravljana storitev, ki zagotavlja kompetentnost, ki je organizacija nima interno.
ALI VAŠ VARNOSTNI PROGRAM DEJANSKO PODPIRA VAŠE DELOVANJE?
Večina vrzeli v varnostnih programih niso vrzeli v politiki — so vrzeli v zmogljivosti za upravljanje tega, kar politika opisuje. Organizacijam pomagamo oceniti, kje te vrzeli zmogljivosti so, zgraditi usposabljanje in dokumentacijo, ki jih zapira, in zagotoviti, da podporna infrastruktura zdrži pod resničnim pritiskom — vključno z regulatornim pregledom po ZInfV-1. Poskusite našo brezplačno oceno informacijske varnosti, ali nas kontaktirajte direktno!
Serija se nadaljuje — naslednji teden: Delovanje (ISO 27001, poglavje 8)