U mnogim organizacijama kibernetička sigurnost se i dalje doživljava kao tehnički problem IT odjela. Međutim, novi Zakon o kibernetičkoj sigurnosti (ZKS) i prateća uredba (NIS2) jasno poručuju nešto drugo: kibernetička sigurnost je pitanje upravljanja organizacijom.
Zato prva mjera u okviru upravljanja kibernetičkim sigurnosnim rizicima nosi naziv:
Mjera 1 – Predanost i odgovornost osoba odgovornih za provedbu mjera.
Drugim riječima, regulator želi biti siguran da uprava organizacije razumije kibernetičke rizike i aktivno sudjeluje u njihovom upravljanju.
U ovom članku objašnjavamo kako napraviti samoprocjenu Mjere 1 i provjeriti koliko je vaša organizacija usklađena s regulatornim zahtjevima.
Zašto je ova mjera toliko važna
Većina sigurnosnih incidenata ne nastaje zato što nedostaje tehnologija, nego zato što:
- sigurnost nije strateški prioritet
- nema dovoljno resursa
- odgovornosti nisu jasno definirane
- uprava nije uključena u odlučivanje o sigurnosti
Zato regulator od organizacija traži da kibernetičku sigurnost integriraju u upravljanje poslovanjem, a ne da je promatraju samo kao IT funkciju.
Mjera 1 upravo provjerava postoji li takav pristup.
Kako provesti samoprocjenu Mjere 1
Mjera 1 sastoji se od 11 podmjera koje pokrivaju ključne elemente upravljanja kibernetičkom sigurnošću.
Prilikom samoprocjene trebate provjeriti postoji li u vašoj organizaciji sljedeće.
1. Strateška politika kibernetičke sigurnosti
Prvo pitanje je vrlo jednostavno:
Postoji li dokument politike kibernetičke sigurnosti koji je usvojila uprava?
Takva politika treba jasno definirati:
- ciljeve kibernetičke sigurnosti
- mjere upravljanja sigurnosnim rizicima
- organizacijsku strukturu i odgovornosti
- procese upravljanja sigurnošću
Važno je i da se politika najmanje jednom godišnje preispituje i ažurira.
Ako takav dokument ne postoji, organizacija će vrlo teško ispuniti zahtjeve ove mjere.
2. Jesu li zaposlenici upoznati s pravilima sigurnosti
Politika sigurnosti nema vrijednost ako je nitko ne poznaje.
Zato je potrebno osigurati da:
- zaposlenici razumiju osnovna pravila kibernetičke sigurnosti
- dobavljači i partneri znaju koje sigurnosne zahtjeve moraju poštovati
To se najčešće provodi kroz:
- edukacije zaposlenika
- onboarding treninge
- sigurnosne smjernice za dobavljače.
3. Ima li organizacija dovoljno resursa za sigurnost
Jedno od ključnih pitanja samoprocjene je:
osigurava li organizacija dovoljno resursa za kibernetičku sigurnost?
To uključuje:
- financijska sredstva
- sigurnosne alate i tehnologije
- stručne kadrove
Preporučuje se da organizacije barem jednom godišnje procijene jesu li resursi dovoljni za razinu rizika s kojom se suočavaju.
4. Jesu li jasno definirane odgovornosti
Svaka organizacija mora jasno definirati:
- tko je odgovoran za upravljanje sigurnošću
- tko provodi sigurnosne mjere
- tko upravlja incidentima
U manjim organizacijama te odgovornosti često su dio postojećih funkcija, dok veće organizacije imaju dedicirane sigurnosne timove.
Bitno je da su odgovornosti dokumentirane i svima razumljive.
5. Postoji li razdvajanje ključnih sigurnosnih uloga
U nekim situacijama potrebno je razdvojiti određene sigurnosne funkcije kako bi se izbjegao sukob interesa.
Primjerice:
- osoba koja provodi procjenu rizika
- ne bi trebala biti ista osoba koja odlučuje o mjerama za ublažavanje rizika
Takvo razdvajanje povećava objektivnost sigurnosnih odluka.
6. Postoji li osoba odgovorna za kibernetičku sigurnost
Organizacija bi trebala imenovati osobu koja je operativno odgovorna za kibernetičku sigurnost na razini cijelog subjekta.
Ta osoba mora imati:
- jasno definirane odgovornosti
- pristup upravi
- mogućnost koordinacije sigurnosnih aktivnosti.
U mnogim organizacijama tu ulogu ima CISO ili sigurnosni koordinator.
7. Izvještava li se uprava o stanju sigurnosti
Uprava ne može upravljati rizicima ako nema informacije.
Zato je potrebno osigurati redovito izvještavanje o stanju kibernetičke sigurnosti.
Takva izvješća obično uključuju:
- pregled sigurnosnih mjera
- analizu prijetnji i rizika
- preporuke za poboljšanja.
Minimalno se preporučuje godišnje izvještavanje uprave.
8. Postoje li sigurnosne metrike
Dobra sigurnost mora biti mjerljiva.
Zato organizacije trebaju definirati sigurnosne metrike, kao što su:
- broj sigurnosnih incidenata
- vrijeme reakcije na incidente
- razina usklađenosti s politikama
- broj otkrivenih ranjivosti.
Takve metrike omogućuju objektivno praćenje stanja sigurnosti.
9. Edukacija uprave o kibernetičkim rizicima
Uprava mora razumjeti poslovni utjecaj kibernetičkih prijetnji.
Zato je potrebno organizirati aktivnosti poput:
- radionica
- seminara
- sigurnosnih briefinga
- edukativnih programa.
Time se osigurava da uprava može donositi informirane strateške odluke.
10. Sudjeluje li uprava u sigurnosnim inicijativama
U zrelijim organizacijama uprava aktivno sudjeluje u sigurnosnim procesima kroz:
- sigurnosne odbore
- radne skupine
- strateške sastanke o sigurnosti.
Takav pristup pokazuje da je kibernetička sigurnost dio upravljanja organizacijom.
11. Postoji li sustav za kontinuirani nadzor sigurnosti
Naprednije organizacije koriste sustave koji omogućuju praćenje sigurnosnih događaja gotovo u stvarnom vremenu.
To uključuje:
- sustave za nadzor sigurnosti
- sigurnosne alarme
- dashboarde za praćenje sigurnosti.
Takvi sustavi omogućuju bržu reakciju na incidente i smanjenje potencijalne štete.
Kako si olakšati samoprocjenu
Ako želite provesti samoprocjenu Mjere 1 brzo i strukturirano, taj proces može biti znatno jednostavniji uz ITrevizija.hr AI platformu. Platforma vodi korisnike kroz sva pitanja samoprocjene, pomaže razumjeti zahtjeve pojedinih kontrola te automatski generira preporuke za poboljšanje razine kibernetičke sigurnosti. Na taj način organizacije mogu u kratkom vremenu dobiti jasan pregled svoje usklađenosti i konkretne korake za napredak. Ako želite saznati kako platforma funkcionira, slobodno nas kontaktirajte putem kontakt forme i rado ćemo vam pokazati kako vam može pomoći u provedbi samoprocjene.