Korporativno upravljanje sigurnošću informacijskog sustava I. UVOD Provizorno upravljanje informacijskom sigurnošću ograničeno na tehnologiju i IT procese ne može se nositi sa širokim područjem utjecaja sigurnosti u većim organizacijama. Procesi upravljanja sigurnošću trebaju biti planirani, učinkoviti i nadzirani, rizici predviđeni a odgovornosti i uloge utvrđene i delegirane. To sustain enterprise security, the organization must move toward a proces upravljanja sigurnošću koji je strateško usmjren, sustavan, ponovljiv, koji učinkovito koristi raspoložive resurse i konzistentno postiže ciljeve [Caralli]. A.Korporativno upravljanje sigurnošću (CSG) Duže je vrijeme poznat pojam korporativnog upravljanja (corporative governance) a široko su poznati i principi korporativnog upravljanja kao npr. OECD Principles of Corporate Governance 2004. Također se taj pojam može primijeniti i kod upravljanju sigurnošću s tim da je sama operacionalizacija drugačija u većoj mjeri. Sam se pojam korporativnog upravljanja sigurnošću definira kao „[...] the process of establishing and maintaining a framework and supporting management structure and processes to provide assurance that information security strategies are aligned with and support business objectives, are consistent with applicable laws and regulations through adherence to policies and internal controls and provide assignment of responsibility all in an effort to manage risk [Information Security Handbook: A Guide for Managers, Bowen, NIST] Organizacijom upravljanja sigurnošću na korporativnoj razini viši menedžemnt i Uprava dokazuju brigu za sigurnost na svim razinama u organizaciji te visoku razinu integracije sigurnosti podataka i IT sustava u strukturu upravljanja i odlučivanja. Takvim se upravljanjem na sigurnost promatra kao poslovni kriterij i zahtjev koji je neposredno povezan s strateškim poslovnim ciljevima, zadacima, planovima upravljanja rizikom, zahtjevima za sukladnošću i politikama na krovnoj razini. Središnje osobine programa korporativnog upravljanja sigurnošću nužno uključuju upravljačku strukturu, komunikaciju, tijek i način izvješćivanja te definirane odgovornosti i uloge. Procesi koje pri tom treba uspostaviti su brojni a posebno podrazumijevaju i prihvaćanje određenog odnosa i stava (kulture) prema sigurnosti. Ona se može postići promoviranjem jasne ideje o značaju sigurnosti počevši od vrha organizacije (glavnim politikama i pravilnicima informacijske sigurnosti) koje se treba prenijeti na sve razine. Na kraju, ali ne i najmanje važan, proces je unutarnje revizije koja predstavlja neovisno tijelo koje nadgleda i prati provedbu plana sigurnosti. Koristi su mnogostruke iako ih nije lako dokazati jer su brojene međuzavisnosti CSG-a s ostalim elementima u organizaciji. Uobičajeno se navode. - smanjenje neizvjesnosti u obavljanju poslovnih operacija - spuštanje sigurnosnih rizika na definiranu prihvatljivu razinu spuštanje sigurnosnih rizika na definiranu prihvatljivu razinu - usaglašavanje s politikom sigurnost - optimiziranje alokacije resursa - izbjegavanje mogućnosti donošenja kritičnih odluka ne temelju krivih informacija - izrada podloge za učinkovito upravljanje rizikom, poboljšanje procesa - poboljšan odgovor na incidente u okviru postojećih resursa i informacija - uspostava odgovornosti za očuvanje sigurnosti informacija tijekom kritičnih poslovnih aktivosti (kao što su pripajanje, ponovna uspostava poslovnih procesa ili odaziv na zahtjeve regulatora) - Smanjenje gubitaka od incidenta i jamstvo da ostvareni sigurnosni incidenti nisu katastofalni - poboljšani ugled na tržištu koji rezultira povećanom vrijednošću organizacije - upravljanje vanjskim I unutarnjim zahtjevima Više je međunarodnih standarda među kojima se mogu naći elementi korporativnog upravljanja sigurnošću. Kao glavni izvori informaicja ističu se COBIT model (Cobit 4.1. Framework), ISO (27000 family of security standards, ISO/IEC 38500:2008 - Corporate governance of information technology), ITCGI (The Information Security Governance: Guidance for Information Security Managers), CMU (Governing for Enterprise Security), NIST (SP 800-53 Recommended Security Controls for Federal Information Systems and Organizations) i dr. Svi se oni susreću s istim pitanjem: kako pokrenuti, organizirati te primjeniti resurse i kompetencije radi upravljanja korporativnim sigurnosnim rizicima, a da program sigurnosti bude usklađen s strateškim ciljevima, zahtjevima za sukladnost i tehnološkom arhitekturom. Rješenja navedenih problema su brojna. Corporate Governance Task Force vrlo detaljno popisuje uloge i odgovornosti za sigurnost, ITCGI popisuje principe korporativnog upravljanja sigurnošću (posebno kroz COBIT framework), te ulogu uprave i izvršnog menadžmenta, SEI procese korporativnog upravljanja sigurnošću koje je potrebno uspostaviti, NIST tehnološki neovisan opći katalog sigurnosnih kontrola. Radi nemogućnosti detaljnijeg opisivanja karakteristika koje popisuju navedene reference u nastavku se opisuju osnovni principi CSG koji su uglavnom jedinstveni, neovisno o njihovom izvoru. To su: Strategic aligment Strateško usklađivanje informacijske sigurnosti radi podrške poslovnim ciljevima je najviši cilj koji je u praksi teško postići. No, bez takve povezanosti i poslovnim ciljevima kao referencom svaka će inicijativa biti neprimjerena i loše vođena pa čak i ako se striktno pridržava najbolje prakse. Osim toga povezanost s poslovnim ciljevima osigurava bolje upravljanje sredstvima i omogućuje analize troškovi/ulaganje. Upravljanje rizicima - Veličina rizika najbolja je mjera za utvrđivanje ulaganja u sigurnost. Da bi se upravljalo i otklonilo rizike na prihvatljivu mjeru te smanjilo potencijal njihova djelovanja na informacijsku imovinu treba smanjiti vjerojatnost djelovanja rizika sigurnosti, provoditi periodične procjene rizika, definirati strategiju ovladavanja rizikom, djelovati na rizike te pratiti učinkovitost donesenih mjera. Vrijednost isporuke - Vrijednost isporuke je ostvarena kada su ulaganja u informacijsku sigurnost usmjerena na potporu organizacijskih ciljeva. Optimalna ulaganja postižu se kada su postignuti strateški ciljevi informacijske sigurnosti, a razina utvrđenog rizika ulazi u granicu prihvatljivog rizika. Za postizanje optimalne razine ulaganja treba uspostaviti isplativi akcijski plan za kritične IT rizike te osigurati minimalni poslovni utjecaj u slučaju sigurnosnih incidenata. Resource management – uz druge informacijske resurse posebno mjesto zauzima upravljanje znanjem i distribucija znanja na svim razinama u organizaciji. Procesi sigurnosti se trebaju provoditi na način da ne povećavaju administraciju, moraju biti dobro dokumentirani, a rješenja problema referencirana i dostupna radi usvajanja novih znanja. Integracija sigurnosti u životni ciklus razvoja - Kriteriji sigurnosti trebaju biti dotaknuti kroz životni ciklus, bilo procesa, bilo novog proizvoda. To podrazumijeva razumijevanje utjecaja na sigurnost od strane vlasnika procesa, razmatranje utjecaja rizika nematerijalnih resursa na sigurnost. Osiguranje mjerljivih pokazatelja, mjerenje i revizija Da bi se mogao pratiti napredak tijekom vremenskog perioda, sigurnost treba biti opisana mjerljivim ciljevima koji su integrirani u strateške i operativne planove, a njihovo ispunjavanje se nadzire kontrolom i mjerenjem. Mjerenje, praćenje i izvještavanje o informacijskoj sigurnosti i kvaliteti provođenja procesa osigurava postizanje ciljeva organizacije. Važnost ljudskog potencijala - ljudski resursi temelj su svakog programa informacijske sigurnosti. Namjerno ili slučajno djelovanje zaposlenika može utjecati na realizaciju poslovnih ciljeva i strategije odnosno na smanjenje poslovnih performansi, što u konačnici izaziva nezadovoljstvo svih zainteresiranih strana (dioničari odnosno vlasnici organizacije, djelatnici i ugovorni suradnici, državne institucije itd.). Resource Management Human Resources IT & Data Live Cycle Management Strategic aligment Security Governance System Performance Management Risk management Value Delivery II. PROCESI SUSTAVA KORPORATIVNOG UPRAVLJANJA SIGURNOŠĆU Postavlja se pitanja kako na najbolji način dekomponirati principe (slika 1) korištenjem postojećih izvora o procesima [], o ciljevima [] i outcomes [] korporativnog upravljanja sigurnošću. Dvije su osnovne mogućnosti: kombiniranjem više postojećih rezultata, prihvaćanje jednog i detaljnom analizom razvoj procesa. COBIT 4.1 Framework je na području utvrđivanja procesnih područja i IT governance dao značajne rezultata. S obzirom da je ISO 38500 Corporate IT Governance ISO 27001 Security Management COBIT 4.1 IT Governace Framework Common Security Governace principles Uzimajući u obzir mapiranje IT procesa prema principima korporativnog upravljanja IT-om [COBIT] mogu se istaknuti sljedeća procesna područja relevantna za korporativnu sigurnost. To su područja: Planiranje i organizacija procesa o Definiranje strateškog plana sigurnosti o Definiranje informacijske arhitekture o Definicija procesa, organizacija i odnosi među procesima o Razmjena ciljeva i direktiva menadžmenta o Procjena i upravljanje rizicima Podrška procesima sigurnosti o Uspostava IT sigurnosti o Upravljanje sigurnošću podataka Nadzor i vrednovanje sigurnosti Praćenje i ocjena unutarnje kontrole i nadzora Osiguranje sukladnosti s vanjskim zahtjevima Korporativno upravljanje sigurnošću S obzirom da COBIT framework za svako procesno područje definira više kontrolnih ciljeva (control objectives) potrebno je detaljnije analizirati njihovo značenje. Osnovna su prcesna područja polazište za daljnu dekompoziciju procesa na kontrolne ciljeve. Značenje relevantnih procesnih područja ukratko se pojašanjava u nastavku: 1) Define a strategic IT plan (COBIT PO1). Koordinacija između poslovnog upravljanja i upravljanja sigurnošću u smislu transformiranja poslovnih zahtjeva u servise i usluge prema klijentima te razvoja strategije koja će osigurati učinkoviti i sigurnu uslugu i funkcioniranje IT servisa. 2) Define the information architecture (COBIT PO2) .Uspostava korporativnog modela podataka koji uključuje shemu klasifikacija podataka i informacija radi osiguranja integriteta i dosljednosti cjelokupne nematerijalne informacijske imovine 3) Define the IT processes, organization and relationships. (COBIT PO4). Uspostava transparentne, fleksibilne i odgovarajuće organizacijske strukture i uspostava procesa s vlasnicima, njihovim ulogama i odgovornostima koje su integrirane u poslovne odluke i procese. 4) PO6 Communicate management aims and direction. Analiza cjelovitosti donesenih politika, procedura, smjernica i druge dokumentacije iz područja sigurnosti koje su već uključene i realizirane kroz organizaciju te dosljednost njihove provedbe. 5) PO9 Assess and manage risks. Razvoj okvira upravljanja rizikom informacijske sigurnosti koji je integriran u postojeći korporativni okvir upravljanja rizikom. Procjena rizika, djelovanje na rizike i izvješćivanje o rezidualnom riziku. 6) DS5 Ensure systems security. Pregled uspostavljenih politika sigurnosti, planova i procedura te načina nadzora, praćenja, detektiranja, izvješćivanja i rješavanja ranjivosti i incidenta. 7) DS11 Manage data. Održavanje sigurnosti podataka s naglaskom na raspoloživost i povjerljivost te cjelovitost poduzetih postupaka. 8) ME3 Ensure compliance with external requirements Identifikacija svih primjenjivih zakonskih, regulatornih i ugovornih zahtjeva i potreba za sukladnošću s istima. Optimizacija procesa odnosno kontrola s ciljem smanjivanja rizika od nesukladnosti. 9) ME2 Monitor and Evaluate Internal Control Nadzor unutarnjih kontrola za IT i vezane aktivnosti i utvrđivanje prilika za poboljšanjem. 10) ME4 Provide IT governance Način pripreme izvješća za menadžment (Upravi) u svezi strategije informacijske sigurnosti, učinkovitosti i rizika te reakcija na zahtjeve u skladu s odlukama i smjernicama Uprave. Posebno se naglašava da uspješnost posla zavisi o definiranim ulogama i odgovornostima koje ne moraju biti utvrđene prije početka projketa. Pod tim se mislim na postojanje međuorganizacijskih timova i određenih ključnih funkcija kao npr. chief risk officer-CRO, chief security officer-CSO, chief information officer-CIO, chief information security officer-CISO, Data Protection Officer (DPO) i dr. Ono što je također neophodno su jasno postavljeni ciljevi i utvrđena sredstva od strane uprave.
© Copyright 2024 Paperzz