Ako je vaša organizacija upravo završila samoprocjenu ili pripremu za regulatorni pregled, vrlo je vjerojatno da ste došli do iste točke kao i mnogi drugi subjekti – imate popis zahtjeva, nekoliko otvorenih nesukladnosti i pitanje što dalje. Upravo tu plan mjera za kibernetičku sigurnost prestaje biti formalnost i postaje operativni dokument koji upravi, IT-u, usklađenosti i internim kontrolama daje zajednički smjer.
Problem u praksi nije nedostatak svijesti o rizicima. Problem je to što se sigurnosne aktivnosti često vode parcijalno, kroz odvojene alate, timove i incidente, bez jedinstvenog okvira koji povezuje regulatorne obveze, procjenu rizika, rokove i odgovornosti. Zato dobar plan ne počinje popisom tehnologija, nego jasnim odgovorom na tri pitanja: koje obveze morate ispuniti, koje slabosti morate zatvoriti i kojim redoslijedom to ima poslovnog smisla napraviti.
Što je plan mjera za kibernetičku sigurnost
Plan mjera za kibernetičku sigurnost je strukturirani dokument kojim organizacija definira koje će organizacijske, tehničke i procesne mjere uvesti, unaprijediti ili formalizirati kako bi smanjila kibernetički rizik i zadovoljila relevantne regulatorne zahtjeve. Njegova vrijednost nije u tome da bude opširan, nego da bude provediv i dokaziv.
To znači da svaka mjera mora imati razlog, vlasnika, rok, očekivani rezultat i način provjere. Ako u plan stavite “poboljšati upravljanje pristupima”, a ne navedete na koje sustave se to odnosi, tko je odgovoran, kako se mjeri provedba i koji dokaz ćete čuvati, niste izradili plan nego podsjetnik.
Za regulirane subjekte to je posebno važno jer se od njih ne očekuje samo da imaju sigurnosne kontrole, nego i da mogu pokazati kako su do njih došli, na temelju kojih procjena i u kojem roku su uklonili uočene nedostatke. Drugim riječima, plan mora biti koristan i operativi i reviziji.
Kada je potreban plan mjera za kibernetičku sigurnost
Najčešće se izrađuje nakon samoprocjene usklađenosti, interne revizije, procjene rizika, vanjskog audita ili nakon incidenta koji je pokazao da postoje praznine u kontrolama. No najbolji trenutak za izradu plana nije tek nakon problema. Najviše koristi daje kada služi kao radni alat za upravljanje usklađenošću kroz godinu.
U organizacijama koje podliježu ZKS-u, podzakonskim zahtjevima i širem okviru NIS2 obveza, plan mjera ima dodatnu funkciju. On povezuje regulatorni tekst s konkretnim operativnim zadacima. Uprava tako ne dobiva apstraktno izvješće o stanju sigurnosti, nego pregled što se mora napraviti, koliko je to hitno i kakav rizik ostaje ako se mjera odgodi.
Tu nastaje i prva važna nijansa. Nije svaka identificirana slabost jednako kritična i nije svaka mjera jednako hitna. Organizacija s ograničenim resursima mora postaviti prioritete. Plan koji pokušava sve riješiti odjednom obično završi bez stvarnog napretka.
Kako postaviti plan mjera bez administrativnog viška
Dobar plan se gradi odozgo prema dolje i odozdo prema gore istovremeno. Odozgo prema dolje zato što mora odražavati regulatorne i poslovne prioritete. Odozdo prema gore zato što se mjere moraju moći provesti unutar stvarnih kapaciteta timova, budžeta i tehnologije.
Počnite od obveza, ne od alata
Prvi korak je mapiranje primjenjivih zahtjeva. To uključuje zakonske i regulatorne obveze, interne politike, ugovorne zahtjeve i rezultate prethodnih procjena. Ako taj sloj nije jasan, plan će biti tehnički aktivan, ali pravno i upravljački nedorečen.
U praksi to znači da morate znati zašto određenu mjeru uvodite. Je li riječ o upravljanju incidentima, kontinuitetu poslovanja, sigurnosti dobavnog lanca, upravljanju pristupima, segmentaciji mreže, enkripciji, edukaciji korisnika ili dokumentiranju kontrola? Tek nakon toga dolazi pitanje alata i implementacije.
Grupirajte mjere po područjima rizika
Plan je pregledniji kada se mjere grupiraju prema logici upravljanja rizikom, a ne prema organizacijskoj strukturi. Primjerice, jedna cjelina može obuhvaćati upravljanje identitetima i pristupima, druga otkrivanje i odgovor na incidente, treća upravljanje ranjivostima i zakrpama, a četvrta upravljanje dobavljačima i trećim stranama.
Takav pristup pomaže jer mnoge nesukladnosti nisu izolirane. Slaba kontrola pristupa često je povezana s nedostatkom evidencija, neformalnim procesima odobravanja i nejasnim vlasništvom nad sustavima. Ako to rješavate odvojeno, trošite više vremena i dobivate slabiji rezultat.
Odredite prioritete prema učinku i izvedivosti
Ovdje mnoge organizacije pogriješe. Prioritet ne smije ovisiti samo o tome koliko je neka mjera tehnički zanimljiva ili koliko je glasno zagovara jedan tim. Potrebno je procijeniti regulatorni učinak, rizik za poslovanje, vjerojatnost iskorištavanja slabosti i kompleksnost provedbe.
Ponekad će najvrjednija mjera biti formalizacija postojećeg procesa i prikupljanje dokaza, a ne nova investicija. U drugim slučajevima tehnička kontrola, poput višefaktorske autentikacije ili centraliziranog praćenja događaja, donosi neposredno smanjenje rizika i treba ići među prve korake. Ovisi o početnom stanju organizacije.
Što svaki plan mora sadržavati
Bez obzira na sektor ili veličinu subjekta, plan mjera mora imati dovoljno detalja da se iz njega može upravljati provedbom. U suprotnom ostaje na razini dokumenta za sastanak.
Opis mjere i razlog uvođenja
Svaka mjera treba jasno opisivati što se uvodi ili mijenja i zbog čega. Nije dovoljno napisati “unaprijediti sigurnost krajnjih uređaja”. Potrebno je navesti odnosi li se to na EDR, upravljanje konfiguracijama, kontrolu privilegija, šifriranje diskova ili standardizaciju postavki.
Vlasništvo nad provedbom
Mjera bez vlasnika gotovo sigurno kasni. Vlasnik ne mora biti osoba koja sve izvršava, ali mora biti odgovoran za koordinaciju, status i dokazivanje rezultata. To može biti CISO, voditelj IT infrastrukture, compliance funkcija ili drugi odgovorni nositelj, ovisno o modelu upravljanja.
Rokovi i međuetape
Jedan krajnji rok nije dovoljan za složenije aktivnosti. Ako uvodite novu proceduru upravljanja incidentima, korisno je odvojiti izradu procedure, odobrenje, edukaciju, testiranje i početak primjene. Time uprava dobiva realniji uvid, a timovi jasniji okvir rada.
Očekivani dokaz provedbe
Ovo je dio koji se najčešće zanemaruje, a presudan je za usklađenost. Za svaku mjeru treba unaprijed odrediti što će se čuvati kao dokaz. To mogu biti politike, zapisnici, konfiguracijski ispisi, evidencije edukacija, rezultati testiranja, izvješća o zakrpama ili potvrde o provedenim pregledima pristupa.
Ako dokaz nije definiran unaprijed, često se kasnije pokušava retroaktivno sastavljati dokumentacija. To je sporije, skuplje i manje vjerodostojno.
Najčešće slabosti u planovima mjera
Prva slabost je preširok opseg. Organizacija u plan uključi sve što bi jednog dana željela imati, bez razlike između obveznih korektivnih radnji i razvojnih inicijativa. Takav dokument brzo postane nerealan.
Druga slabost je odvajanje sigurnosti od poslovnog konteksta. Ako plan ne pokazuje koje procese, sustave i regulatorne obveze štiti, teško će dobiti podršku uprave i budžet koji treba.
Treća slabost je neusklađenost između dokumentacije i stvarnog stanja. Politike postoje, ali nisu primijenjene. Kontrole su uvedene, ali nema traga odobrenju, testiranju ili praćenju učinkovitosti. To je čest izvor problema tijekom nadzora.
Četvrta slabost je tretiranje plana kao jednokratnog projekta. Kibernetička sigurnost ne stoji mirno. Mijenjaju se sustavi, dobavljači, prijetnje i regulatorna očekivanja. Plan mora imati ciklus ažuriranja, a ne samo datum izrade.
Kako plan povezati s usklađenošću i svakodnevnim radom
Najkorisniji plan je onaj koji se može koristiti i za upravljanje sigurnošću i za dokazivanje usklađenosti. To znači da mjere ne smiju živjeti u odvojenim tablicama, e-mailovima i prezentacijama. Potrebna je jedinstvena evidencija statusa, odgovornosti, pripadajućih dokaza i poveznice na zahtjeve koje mjera zatvara.
Za organizacije koje žele skratiti put od procjene do provedbe, ovdje veliku vrijednost imaju specijalizirane platforme koje objedinjavanju samoprocjenu, analizu dokumentacije, organizaciju revizijskih dokaza i izradu plana daljnjeg postupanja. ITrevizija.hr upravo tu rješava problem koji klasični GRC alati često ostavljaju otvorenim – kako brzo pretvoriti regulatorne zahtjeve u izvediv plan bez višemjesečne implementacije i administrativnog opterećenja.
No i uz dobar alat ostaje ista upravljačka disciplina. Plan mora imati vlasnika na razini organizacije, redovite preglede statusa i jasno definirane kriterije kada se mjera smatra završenom. Ako to izostane, tehnologija će samo urednije prikazivati kašnjenja.
Plan mjera za kibernetičku sigurnost nije lista želja
Vrijedi biti vrlo jasan: plan mjera za kibernetičku sigurnost nije zbirka dobrih namjera. To je dokument kojim organizacija pokazuje da razumije svoje obveze, zna gdje su joj slabosti i ima kontroliran način da ih ukloni. Kad je dobro postavljen, on smanjuje rizik, ubrzava internu koordinaciju i olakšava komunikaciju s upravom, revizijom i regulatorom.
Najveća korist ipak nije u samom dokumentu. Korist je u tome što organizacija iz reaktivnog pristupa prelazi u model u kojem su prioriteti jasni, odgovornosti raspoređene, a dokazi uredno prikupljeni. U području kibernetičke sigurnosti to je razlika između improvizacije i upravljanja.