Samoprocjena kibernetičke sigurnosti postaje obvezan ili preporučen korak za sve veći broj organizacija, osobito onih koje spadaju u obveznike Zakona o kibernetičkoj sigurnosti i NIS2 regulative. Iako koncept samoprocjene na prvi pogled djeluje jednostavno – organizacija sama procjenjuje razinu implementacije sigurnosnih mjera – u praksi se često javlja jedno ključno pitanje:
Kako provesti procjenu u organizaciji koja ima velik broj IT sustava, aplikacija i infrastrukture?
U takvim okruženjima česta je pogreška pokušati procijeniti cjelokupni IT krajolik organizacije, što brzo dovodi do zbunjenosti, nedosljednih odgovora i procjene koja ne odražava stvarne sigurnosne prioritete.
Ključ uspješne samoprocjene nalazi se u razumijevanju zašto je organizacija uopće kategorizirana kao obveznik kibernetičke sigurnosti.
Polazište samoprocjene: kritični poslovni proces
Organizacije nisu obveznici regulative zato što imaju IT sustave, već zato što obavljaju određeni poslovni proces koji je važan za društvo ili gospodarstvo.
Primjeri takvih procesa uključuju:
- pružanje zdravstvenih usluga
- distribuciju električne energije
- obradu financijskih transakcija
- upravljanje vodoopskrbom
- pružanje elektroničkih komunikacijskih usluga
Zbog toga prvi korak u samoprocjeni treba biti jasno definiranje poslovnog procesa zbog kojeg je organizacija kategorizirana kao važan ili ključan subjekt.
Identifikacija IT sustava koji podržavaju proces
Nakon što je kritični proces identificiran, potrebno je odrediti koji IT sustavi omogućuju njegovo funkcioniranje.
U velikim organizacijama to može uključivati:
- ključne poslovne aplikacije
- OT sustave
- baze podataka
- mrežnu i serversku infrastrukturu
- identitetne sustave i upravljanje pristupima
- cloud servise
- integracijske sustave
Važno je razumjeti da nisu svi sustavi jednako važni za samoprocjenu.
Primjerice, bolnica može imati desetke IT sustava, ali za procjenu kibernetičke sigurnosti ključni su oni koji direktno podržavaju pružanje zdravstvene usluge, dok administrativni sustavi imaju manju kritičnost, ali također mogu biti izuzetno važni.
Fokus procjene na sustave koji podržavaju uslugu
Kod provođenja samoprocjene pitanja treba promatrati kroz perspektivu IT sustava koji podržavaju kritični poslovni proces.
To znači procjenjivati sigurnosne mjere na sustavima koji:
- omogućuju pružanje usluge
- podržavaju ključne operacije
- predstavljaju važnu integracijsku ili komunikacijsku točku
Najčešća pogreška u samoprocjeni
Jedna od najčešćih pogrešaka je pokušaj procjene svih IT sustava u organizaciji istovremeno. Tada se pojavljuju dileme poput:
- „Neki sustavi imaju višefaktorsku autentikaciju, a neki nemaju.“
- „Sigurnosni nadzor postoji samo na dijelu infrastrukture.“
Takve situacije otežavaju davanje jasnog odgovora.
Ispravan pristup je promatrati svako pitanje kroz kontekst rizika i utjecaja potencijalnih incidenata u sustavima koji omogućuju pružanje regulirane usluge.
Samoprocjena kao alat za upravljanje rizicima
Kada se provodi na pravilan način, samoprocjena kibernetičke sigurnosti nije samo regulatorna obveza. Ona pomaže organizacijama da:
- identificiraju najkritičnije IT sustave
- razumiju stvarne sigurnosne rizike
- usmjere ulaganja u najvažnije sigurnosne mjere
U složenim organizacijama to znači fokusirati procjenu na kritične poslovne procese i sustave koji ih podržavaju, umjesto gubljenja fokusa.
Takav pristup čini samoprocjenu jasnijom, točnijom i mnogo korisnijom za donošenje sigurnosnih odluka.
AI platforma ITrevizija.hr u cjelosti je izgrađena upravo kako bi vam olakšala ovaj postupak i omogućila brzo i bezbolno dostizanje i održavanje zadovoljavajuće razine kibernetičke otpornosti i potpunu usklađenost za Zakonom o kibernetičkoj sigurnosti.