Na varnostnem portalu UpGuard so zapisali, da specializirana narava kibernetskega tveganja zahteva, da tehnične podrobnosti prevedemo v poslovne pojme. Temu namenu služijo varnostne ocene in ocene kibernetskega tveganja, podobno kot je kreditna ocena pomembna za oceno tveganosti posojila. Rešitve in merjenja s tega področja pa uporabljajo metodologije, ki se lahko med sabo zelo razlikujejo.
Sodobna različica starodavnega sporočila
Varnostna družba CyLumen navaja, da se vdori dogajajo v povprečju na vsakih 39 sekund. Nepridipravi vsak dan ustvarijo 300 kilobajtov nove zlonamerne programske opreme, hekerji pa vsako sekundo ukradejo 75 podatkovnih zapisov.
Na področju kibernetske varnosti se veliko pozornosti posveča odzivom na incidente in okrevanju po takšnih dogodkih. IT-ekipe se usposabljajo za ustrezno odzivanje s ciljem povrnitve vseh sistemov in funkcionalnosti v prvotno stanje. Njihovo hitro in učinkovito delovanje je odločilnega pomena za ohranjanje stabilnih poslovnih operacij.
Vendar veliko organizacij naredi napako, ko kibernetske napade in razkrivanje podatkov dojema kot enkratne incidente. Predvidevajo namreč, da bodo lahko potem, ko si bodo opomogle po napadu, nadaljevale delovanje kot ponavadi. V resnici pa je treba, kot opozarja UpGuard, kibernetsko varnost dojemati kot stalno dejavnost, ki temelji na resničnih, živih podatkih in jo je treba vseskozi vzdrževati in ocenjevati.
Ocenjevanje profila tveganja organizacije
Vodstva organizacij se v glavnem zavedajo pomena varnosti, vendar večinoma niso sposobna sama oceniti ravni kibernetske zaščite. Podjetja, ki pomagajo drugim organizacijam pri uvajanju in vzdrževanju varnostnih rešitev, pogosto ponujajo tudi storitev ocenjevanja oziroma merjenja delovanja sistemov kibernetske varnosti. S svojimi rešitvami in ocenami pomagajo podjetjem in ustanovam pri razkrivanju slabih varnostnih točk, ki potrebujejo več pozornosti, prenovo in morda nove naložbe. Njihove ocene temeljijo na poznavanju panoge, resničnem varnostnem okolju podjetja, pregledu omrežja in drugih dejavnikih, ki vplivajo na stanje zaščite.
Storitveno podjetje Geospatial World poudarja, da je za ocenjevanje nujno treba poznati obseg varnostnih tveganj. Zgolj večja pozornost do kibernetske varnosti ni dovolj za zaščito dragocenih podatkov, ampak je treba narediti postopek čim bolj merljiv, tako da je mogoče ocenjevati profil tveganja organizacije in ji pomagati pri izboljševanju varnosti.
Za informacijsko varnost organizacije je najboljša proaktivna strategija. Sposobnost dobrega odziva na vdor ali razkritje podatkov je sicer pomembna, vendar bi ustavitev incidenta, še preden se zgodi, dolgoročno prihranila ogromno časa, denarja in težav, ocenjuje Geospatial World.
V nadaljevanju opisujemo dva pristopa k ocenjevanju, na kateri stopnji je kibernetska varnost v podjetju.
Pregledi po standardu ISO/IEC 27001
»Da bi se strateško lotili odpravljanja tveganj kibernetske varnosti, jih moramo obravnavati kot poslovna in ne le kot IT-tveganja. Vodstvo podjetja mora pripraviti strategijo kibernetske varnosti, ki vključuje celovit pristop z upoštevanjem zrelostnega nivoja varnosti podjetja. S strategijo se optimizirajo investicije in dosežejo večji učinki na področju kibernetske varnosti,« razlaga Kristina Batistič, inženirka informacijske varnosti v podjetju Smart Com. Pojasnjuje, da je tehnologija zgolj en del, pomembni pa sta tudi preostali dve kategoriji – ljudje in procesi.
»Ena možnost za oceno nivoja kibernetske varnosti v podjetju je ocena po modelu varnostne zrelosti. Tak pregled je namenjen ustvarjanju širše slike o stanju kibernetske varnosti v podjetju za načrt investicij in pripravo strategije varnosti podjetja. Druga možnost je ocena po standardu ISO/IEC 27001, in sicer za tista podjetja, ki morajo zagotavljati skladnost s tem standardom. Smart Comovi strokovnjaki izvajamo storitve tako za oceno zrelostnega nivoja kibernetske varnosti in svetujemo pri zagotavljanju skladnosti po standardu ISO/IEC 27001,« pravi sogovornica.
ISO/IEC 27001 navaja in priporoča tri vrste pregledov: neodvisne redne preglede informacijske varnosti, preglede nad ranljivostmi v organizaciji ter pregled in testiranje aplikacij.
Kristina Batistič pojasnjuje, da se pregledajo varnostni procesi, postopki, tveganja, skladnost z varnostnimi politikami in standardi ter skladnost tehničnih kontrol z varnostnimi politikami in standardi, zahtevani po kontroli A.18.2 standarda ISO/IEC 27001.
Rezultat pregleda sta pisno poročilo, ki vsebuje strnjen povzetek za vodstvo z osnovnimi informacijami o stanju kibernetske varnosti, ter natančen pregled ugotovitev pregleda oziroma tehnično poročilo, ki podrobno opredeljuje nabor zaznanih ranljivosti z opisom, oceno posledic in možnosti zlorab ter pregledom realnih scenarijev zlorab in priporočili za odpravo. Pri pregledu ranljivosti in vdornem testiranju se pregledajo ranljivosti v omrežju in aplikacijah ter ročno preveri, ali jih je možno izkoristiti. »Redno izvajamo tudi analize in svetovanje pri zagotavljanju skladnosti informacijske infrastrukture z drugimi standardi v IT- ali OT/IoT-okoljih,« dodaja.
»V zadnjem času izstopa standard TISAX, ki je skupni mehanizem za ocenjevanje in izmenjavo rezultatov ocenjevanja informacijske varnosti v avtomobilski industriji, kjer podjetja izmenjujejo ogromno občutljivih poslovnih podatkov,« poudarja Batističeva.
V Smart Comu pomagajo pri pregledu in vzpostavitvi ter skladnosti z varnostnimi zahtevami, opredeljenimi v standardu, kar zajema različne nabore storitev (varnostni pregled OT-omrežja, segmentacija omrežja, vpeljava rešitev za zagotavljanje revizijskih sledi ...).
Metodologija določanja stopnje informacijske varnosti
»Pred štirimi leti smo vzpostavili Asistenčni kibernetski center (ICE), v katerem ponujamo vse storitve pod eno streho – zagotavljamo ustrezno strokovno podporo upravam in vodstvu družb na celotnem področju kibernetske varnosti z operativnega, procesnega, pravnega in komunikacijskega vidika,« razlaga Renato Pulko, direktor podjetja Sfera IT.
Dodaja, da je za poslovodstvo pomembno, da ima metodologijo, s katero lahko suvereno ugotovi, kakšno je trenutno stanje kibernetske varnosti v podjetju, da lahko sprejme ustrezne strateške in druge poslovne odločitve na tem področju. Poudarja, da samo obseg in primernost tehničnih varnostnih rešitev nista ne ustrezna ne zadostna kazalnika stanja kibernetske varnosti. »Učinkovita kibernetska varnost mora biti integrirana v celostno upravljanje informacijskega sistema in družbe kot celote in je razen tehnoloških rešitev sestavljena tudi iz procesov, organizacijskih struktur, politik, informacij, kulture in ljudi.«
Pulko poudarja, da so v okviru ICE razvili novi storitvi, ki sta med seboj povezani – metodologijo določanja stopnje informacijske varnosti in ICE as a Service (ICEaaS). Prva temelji na mednarodno priznanih standardih na tem področju in je izrazito praktično usmerjena. Sistem je zastavljen tako, da vodi družbo od razumevanja in zavedanja o področju kibernetske varnosti, vzpostavitve politik njenega upravljanja in obvladovanja do uvedbe organizacijskih in tehničnih kontrol ter s tem povezanega načrta za postavitev večnivojske varnostne infrastrukture. »Določitev stopnje se začne s skrbnim pregledom in določitvijo stanja na več kot sto različnih ravneh v celotnem podjetju; za manjša podjetja uporabljamo enostavnejšo metodologijo,« pravi Pulko.
Za vsako od zasnovanih stopenj so pripravili katalog produktov in storitev, ki so na voljo za enkraten nakup ali kot upravljana storitev (SECaaS oziroma ICEaaS). »Tako lahko podjetje z uporabo naše metodologije enostavno predvidi stroške za dvig stopnje kibernetske varnosti,« pojasnjuje Pulko in dodaja, da rešitve sproti prilagajajo željam in že postavljenim sistemom naročnikov. »To bo v prihodnosti postalo standard ocenjevanja poslovnih partnerjev, s katerimi sodelujemo, saj v obdobju digitalizacije postajamo čedalje bolj povezani in med seboj odvisni v celotni dobavni verigi,« še napoveduje sogovornik.
