V večini varnostnih programov nastopi trenutek, ko trdo delo gradnje prepusti prostor predpostavki, da zdaj vse deluje. Politike so napisane. Kontrole implementirane. Dobavitelji so podpisali sporazume. Ocena tveganj je opravljena. ZInfV-1 skladnost je dosežena in certifikacija je v dosegu.
In potem stvari tiho začnejo drseti v ozadje. Kontrole, ki so bile ob uvedbi pravilno postavljene, so zdaj zastarele. Pravice dostopa, ki so bile ustrezne pred šestimi meseci niso bile pregledane, odkar je več zaposlenih zamenjalo vloge. Sporazumi z dobavitelji, ki so bili skrbno dogovorjeni niso bili nikoli nadzorovani. Program navzven izgleda nedotaknjen, od znotraj pa razpada.
To je operativni izziv, ki ga mora delujoč varnostni program nenehno reševati. In to je izziv, za katerega ZInfV-1 organizacije zavezuje k odgovornosti — ne le ob implementaciji, temveč vedno.
1. Vrzel med implementacijo in delovanjem
Kontrole se degradirajo. To ni napaka pri načrtovanju — to je naravna posledica sprememb. Osebje zamenja delovna mesta in s seboj odnese institucionalno znanje. Sistemi se posodabljajo na načine, ki spremenijo konfiguracije. Izjeme se naredijo pod operativnim pritiskom in nikoli pregledajo. Dodajajo se nove storitve, ki padejo zunaj obsega obstoječih kontrol.
Organizacija, ki je pred dvema letoma implementirala trdne kontrole in jih od takrat ni verificirala, ne upravlja varnostnega programa. Upravlja spomin nanj.
Operativna varnost zahteva, da se kontrole ne le vzdržujejo, temveč da se njihova neprekinjena učinkovitost aktivno preverja. To pomeni testiranje, nadzor, pregled in popravljanje — kot stalna disciplina, ne periodičen projekt. ISO 27001 to izrecno zahteva: organizacija mora načrtovati, implementirati, nadzorovati, vzdrževati in pregledovati procese, potrebne za izpolnjevanje varnostnih zahtev.
KAJ IŠČEJO REGULATORJI?
Po ZInfV-1 regulator, ki pregleda vašo varnostno držo, ne sprašuje le, ali so bile kontrole implementirane. Sprašuje, ali trenutno učinkovito delujejo. Politika nadzora dostopa, ki je bila pravilna ob implementaciji, a ni bila pregledana po večji reorganizaciji osebja, ni delujoča kontrola. Je dokumentirana namera brez tekočega učinka.
2. Upravljanje sprememb: kontrola, ki jo večina organizacij pozabi
Najpogostejši mehanizem, preko katerega kontrole odpovejo, je neupravljana sprememba. Nova storitev v oblaku se sprejme brez varnostne ocene. Sistem se migrira na novo platformo in kontrole dostopa se zgradijo od začetka brez sklicevanja na prvotno oceno tveganj. Ključni dobavitelj se zamenja, ne da bi pregledali, kakšne varnostne obveznosti je zahtevala prvotna pogodba in ali jim nova ugodi.
ISO 27001 zahteva, da organizacije nadzirajo načrtovane spremembe, pregledajo posledice nenačrtovanih sprememb, ter ukrepajo za ublažitev morebitnih neugodnih učinkov. V praksi to pomeni, da mora imeti varnost mesto pri mizi, ko se sprejemajo operativne odločitve — ne naknadna misel, ko je čas oceniti škodo.
Po ZInfV-1 je obveznost globlja: varnostni ukrepi morajo ostati sorazmerni z aktualnim profilom tveganja organizacije. Profil, ki se spreminja — z novimi storitvami, novimi dobavitelji, novimi tehnologijami, novim osebjem — zahteva, da se varnostni ukrepi ponovno ocenijo in po potrebi posodobijo.
3. Varnost dobavne verige: od klavzule do nadzora
Najpomembnejši premik v informacijski varnosti v zadnjem desetletju je bilo spoznanje, da je varnostna drža organizacije neločljiva od varnostne drže organizacij, od katerih je odvisna.
Povprečna resna kršitev se danes ne začne z neposrednim napadom na ciljno organizacijo. Zčne se pri dobavitelju — prodajalcu programske opreme z ranljivim mehanizmom posodobitve, pri ponudniku upravljanih storitev z deljenimi poverilnicami, pri podizvajalcu z neustreznimi kontrolami dostopa. Napadalec doseže tarčo skozi najšibkejsi člen verige, in najšibkejsi člen je redko največja, najbolje zaščitena organizacija v njej.
ZInfV-1 to izrecno naslavlja. Bistveni in pomembni subjekti morajo upravljati varnostna tveganja v dobavnih verigah in odnosih z dobavitelji, vključno z ocenjevanjem varnostne drže svojih dobaviteljev, z uvajanjem varnostnih zahtev v pogodbe in z verificiranjem skladnosti. Standardna klavzula o varnosti dobaviteljev, ki nikoli ni bila nadzorovana, ni skladnost. Je pravna zaščita, ki ustvarja videz skrbnega pregleda brez vsebine.
OBVEZNOST DOBAVNE VERIGE PO ZINFV-1
Člen 21 ZInfV-1 izrecno zahteva, da bistveni in pomembni subjekti obravnavajo varnost v dobavni verigi. To je aktivna, stalna obveznost — ne enkratna pogodbena vaja. Regulatorji, ki pregledujejo varnost dobavne verige, bodo želeli videti dokazila o oceni, nadzoru in odzivu, ne le standardno pogodbeno klavzulo.
4. Odzivanje na incidente: kontrola, ki je pomembna le, ko jo potrebujete
Zmogljivost odzivanja na incidente, ki nikoli ni bila preizkušena, ni zmogljivost. Je načrt. In ko pride do resničnega incidenta — ob nepredvidljivem času, pod resničnim pritiskom, z nepopolnimi informacijami — razlika med načrtom in zmogljivostjo postane takoj očitna.
Operativno odzivanje na incidente zahteva več kot dokumentiran postopek. Zahteva, da vpleteni poznajo svoje vloge, da so komunikacijske verige aktualne, da so potrebna orodja in dostopi na voljo, in da je bil postopek dovolj vajan, da prvi resnični incident ni hkrati prvi primer sledenja postopku pod pritiskom.
Po ZInfV-1 ima operativna razsežnost odzivanja na incidente specifično časovno omejitev: 72-urno okno za priglasitev incidentov na SI-CERT. Organizacija, ki ne more zaznati, oceniti in sprožiti priglasitve v tem oknu — ker zmogljivost zaznavanja ne deluje, proces ocenjevanja ni bil preizkušen ali komunikacijska veriga ni bila vzpostavljena — ni v položaju, da izpolni svoje zakonske obveznosti. Načrt je obstajal. Zmogljivost ni.
5. Operativna varnost ni projekt — je praksa
Skupna nit vseh operativnih varnostnih izzivov — preverjanje kontrol, upravljanje sprememb, nadzor dobavne verige, odzivanje na incidente — je, da zahtevajo stalno pozornost, ne periodičnih prizadevanj.
Organizacije, ki varnost obravnavajo kot projekt — nekaj, kar se naredi, dokonča in arhivira — ugotovijo, da se njihov program med pregledi degradira. Kontrole zdrsijo. Dobavitelji se spremenijo. Osebje se zamenja. Slika tveganj se razvija. In vrzel med tem, za kaj je bil program zasnovan, in tem, kar trenutno dela, se tiho širi.
Organizacije, ki vzdržujejo trdno varnostno držo, jo obravnavajo kot prakso — nabor disciplin, ki so vgrajene v način delovanja organizacije, se redno pregledujejo in se odzivajo na spremembe. To je tisto, kar ISO 27001 naslavlja z nenehnim izboljševanjem. In to je tisto, kar ZInfV-1 naslavlja, ko zahteva, da ukrepi ostanejo sorazmerni skozi čas.
Doseganje te točke — od varnosti, ki temelji na projektih, do varnosti, ki temelji na praksi — je ena najbolj pomembnih sprememb, ki jih organizacija lahko naredi. Je tudi ena najtežjih brez izkušene zunanje podpore, saj hkrati zahteva spremembe upravljanja, procesov in kulture.
ALI VAŠ VARNOSTNI PROGRAM ŠE VEDNO DELUJE — ALI JE LE ŠE VEDNO PRISOTEN?
Obstaja razlika med programom, ki je bil pravilno zgrajen, in tistim, ki trenutno pravilno deluje. Organizacijam pomagamo oceniti operativno učinkovitost njihovih kontrol, zgraditi nadzor varnosti dobavne verige, ki presega standardne pogodbene klavzule, in vzpostaviti prakse, ki vzdržujejo varnostni program, usklajen z resničnimi tveganji. Preverite svojo varnostno držo v naši brezplačna oceni zrelosti, ali pa nas kontaktirajte neposredno – z veseljem pomagamo!
Serija se nadaljuje — naslednji teden: Vrednotenje uspešnosti in izboljševanje (ISO 27001, poglavji 9 in 10)