5 zásad pre riadenie a presadzovanie informačnej bezpečnosti v organizácii
BARBORA NETOLICKÁ, CISA, CISSP, ČLÁNOK UVEREJNENÝ V ČASOPISE INFOWARE, FEBRUÁR 2012
V oblasti informačnej bezpečnosti existuje viacero štandardov, ktoré obsahujú odporúčania a popis dobrej praxe, ako informačnú bezpečnosť riadiť a aké bezpečnostné opatrenia v organizácii implementovať. Čo je ale to kľúčové, čo musí organizácia urobiť, aby tieto odporúčania v praxi naozaj fungovali? Na čo sa musí organizácia zamerať, aby mohla vyhlásiť, že bezpečnosť naozaj riadi a nie len slepo implementuje štandardy? Odpovede na tieto otázky sumarizuje 5 zásad pre riadenie a presadzovanie informačnej bezpečnosti:
1. Podpora vedenia organizácie
Prvým predpokladom pre úspešné riadenie bezpečnosti je, aby bola bezpečnosť podporovaná a presadzovaná vedením organizácie (vlastníkmi alebo vrcholovým manažmentom) a teda bola primárne riadená „zhora“. Tento predpoklad sa ale v mnohých organizáciách zdá byť nedosiahnuteľným cieľom. V praxi sa stretávame skôr s opačným prístupom, kedy je bezpečnosť presadzovaná „zdola“ (často z pozície IT oddelení) a podpora manažmentu je mnohokrát postavená na základe aktuálneho výskytu nejakého bezpečnostného incidentu (v tomto prípade je pozitívne aspoň to, že sme sa o incidente dozvedeli, veľakrát ich totiž pri nefunkčnom riadení bezpečnosti ani nezaregistrujeme). V tejto situácii sú argumenty pre nákup bezpečnostnej technológie, prípadne implementáciu bezpečnostných opatrení presvedčivé a manažment ich určite počúva. Je to niečo hmatateľné, kedy manažment vidí, čo sa stalo, ako to ohrozilo organizáciu. Manažment vníma a chápe, že sa táto udalosť môže kedykoľvek v budúcnosti opakovať. Podpora manažmentu je v tejto chvíli ale tiež úzko zameraná na daný problém a žiaľ netrvá dlho. Bezpečnostný incident časom odznie a aj argumenty sním spojené, ktoré sa manažmentu predkladali, strácajú význam. Docieliť stav slušného riadenia informačnej bezpečnosti bez toho, aby sme sa museli spoliehať na argumenty súvisiace s konkrétnym bezpečnostným incidentom a „hasiť iba čiastkové problémy, sa dá iba s podporou vedenia organizácie. Úsilie musí byť smerované na predchádzanie bezpečnostným incidentom, ktoré môžu ohroziť fungovanie organizácie. V tomto smere je pre vedenie organizácie dôležité vnímať bezpečnosť v spojitosti s misiou, víziami a strategickými cieľmi organizácie a vedomie priamej zodpovednosti manažmentu za prípadné straty spôsobené nepokrytím rizika. Významnú úlohu hrá v tomto smere napr. dokument „Bezpečnostná politika“, pomocou ktorého sa dajú jednak definovať ciele v oblasti bezpečnosti v súlade so strategickými cieľmi organizácie a tak isto získať formálny záväzok manažmentu pre podporu a budúce vynakladanie zdrojov do bezpečnosti.
2. Určiť role a zodpovednosti
Pokiaľ chceme bezpečnosť riadiť, musíme mať jasne určené role a zodpovednosti spojené s jej riadením. Ďalším predpokladom pre úspešné riadenie bezpečnosti je, že zamestnanci poznajú a uvedomujú si svoju rolu v procese riadenia informačnej bezpečnosti. To sa dá vcelku jednoducho aplikovať v organizáciách, ktoré majú priamo alokované pracovné pozície pre riadenie bezpečnosti. Pokiaľ tomu tak nie je, hľadajú sa v organizácii vhodní zamestnanci na zodpovedajúcich pracovných pozíciách, ktorí by činnosti spojené s riadením bezpečnosti vykonávali popri svojich bežných pracovných aktivitách. Tu nastáva otázka žiaducej kombinácie rôznych rolí (pracovných povinností, zodpovedností a odborných zručností) zamestnanca, ako aj prijateľnosť takejto kombinácie z pohľadu možného konfliktu záujmov. Okrem toho sa tiež často stáva, že sa zamestnanci prideleniu role a s ňou spojenej zodpovednosti bránia. Zamestnanci veľakrát nemajú predstavu, čo výkon danej role predstavuje, koľko času im výkon novej role popri ich bežných činnostiach zaberie a tak isto nemajú predstavu, za čo všetko budú zodpovední a aké kompetencie budú mať. Preto je pri prideľovaní rolí a zodpovedností veľmi dôležitá komunikácia s príslušným zamestnancom (vysvetlenie, čo výkon danej role predstavuje a za čo by mal byť zodpovedný) a významná je aj formalizácia tohto kroku (napr. záznamom o pridelení role v organizačnej štruktúre podniku). Pokiaľ budú zamestnancovi jasne vysvetlené zodpovednosti a činnosti, ktoré bude pri výkone pridelenej role realizovať, môže to pozitívne ovplyvniť jeho prístup k prebratiu zodpovednosti a vykonávaniu činností určených touto rolou. A hlavne vie, čo sa od neho v tejto oblasti očakáva.
3. Stanoviť si ciele a priority
Každá spoločnosť by mala mať jasnú predstavu čo a prečo chce riešiť v oblasti bezpečnosti. Toto poznanie umožňuje organizácii zacieliť svoje aktivity a zdroje v rámci bezpečnosti tam, kam je treba. Organizácia tým pádom schopná investovať do oblastí, ktoré sú naozaj kritické a neplytvá finančnými prostriedkami a úsilím na riešenie marginálnych problémov. V tomto smere sa zdá byť často podceňovaný význam analýzy rizík, ktorá sa veľakrát považuje za formalitu vyžadovanú niektorým zo štandardov alebo legislatívou. Pritom práve analýza rizík je dôležitý nástroj na to, aby organizácia dokázala určiť a oddeliť kritické oblasti (procesov, systémov) od oblastí, ktorým v danú chvíľu nemusí venovať príliš veľkú pozornosť. Pri zohľadnení hodnoty aktív, kritickosti rizík, nákladov na implementáciu opatrenia a jeho časovej náročnosti sa vie organizácia rozhodnúť, ako sa s identifikovaným rizikom vysporiada (odstráni riziko, zníži riziko na akceptovateľnú úroveň alebo riziko akceptuje) a dokáže si vytvoriť reálny plán implementácie bezpečnostných opatrení na určité časové obdobie. Organizácia tak vie presne určiť čo chce dosiahnuť a vie, prečo to chce dosiahnuť. Dá sa tým eliminovať (v praxi často krát vyskytujúce sa) vynakladanie prostriedkov a zdrojov do nesystémových opatrení.
4. Zainteresovať všetky relevantné strany a budovať bezpečnostné povedomie
Pre dosiahnutie dobrého stavu bezpečnosti je potrebná koordinácia riadenia bezpečnosti a komunikácie bezpečnostných pravidiel a opatrení naprieč celou organizáciou. Pri koordinácii riadenia bezpečnosti by mal hrať vo väčších organizáciách významnú úlohu orgán, ktorý je zložený z vedúcich zamestnancov vybraných organizačných celkov, a ktorý sa systematicky zaoberá otázkami bezpečnosti v organizácii. „Bezpečnostný výbor“ dáva jeho členom možnosť vyjadriť sa k otázkam bezpečnosti, platným alebo navrhovaným bezpečnostným opatreniam, zároveň ale preberá istú vopred definovanú zodpovednosť za riadenie bezpečnosti. Ustanovenie tohto orgánu a jeho činnosť umožňuje podporiť zásadu o prístupe k riadeniu bezpečnosti „zhora – dole“.
S touto zásadou súvisí aj komunikácia bezpečnostných pravidiel ďalej jednotlivým zamestnancom a zvyšovanie ich bezpečnostného povedomia. Vo všeobecnosti, veľká časť rizík a výskyt bezpečnostných incidentov predstavuje ľudskú chybu: nepozornosť, nedbalosť alebo jednoducho nevedomosť. Každý zamestnanec by mal byť informovaný o svojich povinnostiach a presne vedieť, prečo je potrebné dodržiavať isté pravidlá. Je na organizácii (a pre jej dobro), aby tieto pravidlá jasne stanovila a hlavne vhodným spôsobom komunikovala svojim zamestnancom.
5. Kontrolovať a zlepšovať stav bezpečnosti
V každom procese riadenia je dobré a potrebné sa v pravidelných intervaloch ubezpečiť, že sa uberáme správnym smerom. Organizácia by sa mala teda aj v oblasti bezpečnosti vedieť zastaviť a zhodnotiť stav, v akom sa práve nachádza. Kontroly by mala v tejto oblasti zamieriť zvlášť na to, či sa jej darí implementovať navrhnuté opatrenia, či implementované opatrenia správne fungujú a či zamestnanci rešpektujú stanovené pravidlá a riadia sa nimi. Iba priebežnou kontrolou dosiahne organizácia to, že pozná aktuálny stav v oblasti bezpečnosti a vie, ako tento stav neustále zlepšovať. Dôležité pre organizáciu je v tomto okamihu prijať fakt, že riešenie bezpečnosti nie je jednorazová akcia s konečným stavom a termínom, ale systém, ktorý vyžaduje neustále kontrolovanie a zlepšovanie. Tak ako sa neustále vyvíja samotná organizácia, prostredie v ktorom pôsobí a technológie, ktoré používa, menia a vyvíjajú sa aj požiadavky na bezpečnosť jednotlivých aktív organizácie.
Implementácia vyššie uvedených zásad do riadiacich a rozhodovacích procesov pomôže organizáciám lepšie sa orientovať v otázkach bezpečnosti, umožní im efektívnejšie vynakladať úsilie a finančné prostriedky do bezpečnosti a prispeje k zavedeniu funkčného systému riadenia informačnej bezpečnosti.
Barbora Netolická, CISA, CISSP
Autorka pracuje ako konzultantka bezpecnosti IS spolocnosti ESET, spol. s r.o.