Korporativno upravljanje sigurnošću informacijskog sustava

Korporativno upravljanje sigurnošću
informacijskog sustava
I. UVOD
Provizorno upravljanje informacijskom sigurnošću
ograničeno na tehnologiju i IT procese ne može se nositi
sa širokim područjem utjecaja sigurnosti u većim
organizacijama. Procesi upravljanja sigurnošću trebaju
biti planirani, učinkoviti i nadzirani, rizici predviđeni a
odgovornosti i uloge utvrđene i delegirane. To sustain
enterprise security, the organization must move toward
a proces upravljanja sigurnošću koji je strateško
usmjren, sustavan, ponovljiv, koji učinkovito koristi
raspoložive resurse i konzistentno postiže ciljeve
[Caralli].
A.Korporativno upravljanje sigurnošću (CSG)
Duže je vrijeme poznat pojam korporativnog
upravljanja (corporative governance) a široko su
poznati i principi korporativnog upravljanja kao npr.
OECD Principles of Corporate Governance 2004. Također
se taj pojam može primijeniti i kod upravljanju
sigurnošću s tim da je sama operacionalizacija drugačija
u većoj mjeri.
Sam se pojam korporativnog upravljanja sigurnošću
definira kao „[...] the process of establishing and
maintaining a framework and supporting management
structure and processes to provide assurance that
information security strategies are aligned with and
support business objectives, are consistent with
applicable laws and regulations through adherence to
policies and internal controls and provide assignment of
responsibility all in an effort to manage risk
[Information Security Handbook: A Guide for Managers,
Bowen, NIST]
Organizacijom upravljanja sigurnošću na korporativnoj
razini viši menedžemnt i Uprava dokazuju brigu za
sigurnost na svim razinama u organizaciji te visoku
razinu integracije sigurnosti podataka i IT sustava u
strukturu upravljanja i odlučivanja. Takvim se
upravljanjem na sigurnost promatra kao poslovni kriterij
i zahtjev koji je neposredno povezan s strateškim
poslovnim ciljevima, zadacima, planovima upravljanja
rizikom, zahtjevima za sukladnošću i politikama na
krovnoj razini.
Središnje
osobine
programa
korporativnog
upravljanja sigurnošću nužno uključuju upravljačku
strukturu, komunikaciju, tijek i način izvješćivanja te
definirane odgovornosti i uloge. Procesi koje pri tom
treba uspostaviti su brojni a posebno podrazumijevaju i
prihvaćanje određenog odnosa i stava (kulture) prema
sigurnosti. Ona se može postići promoviranjem jasne
ideje o značaju sigurnosti počevši od vrha organizacije
(glavnim politikama i pravilnicima informacijske
sigurnosti) koje se treba prenijeti na sve razine.
Na kraju, ali ne i najmanje važan, proces je unutarnje
revizije koja predstavlja neovisno tijelo koje nadgleda i
prati provedbu plana sigurnosti.
Koristi su mnogostruke iako ih nije lako dokazati jer su
brojene međuzavisnosti CSG-a s ostalim elementima u
organizaciji.
Uobičajeno se navode.
- smanjenje neizvjesnosti u obavljanju poslovnih
operacija
- spuštanje sigurnosnih rizika na definiranu
prihvatljivu razinu
spuštanje sigurnosnih rizika na definiranu
prihvatljivu razinu
- usaglašavanje s politikom sigurnost
- optimiziranje alokacije resursa
- izbjegavanje mogućnosti donošenja kritičnih odluka
ne temelju krivih informacija
- izrada podloge za učinkovito upravljanje rizikom,
poboljšanje procesa
- poboljšan odgovor na incidente u okviru postojećih
resursa i informacija
- uspostava odgovornosti za očuvanje sigurnosti
informacija tijekom kritičnih poslovnih aktivosti
(kao što su pripajanje, ponovna uspostava
poslovnih procesa ili odaziv na zahtjeve regulatora)
- Smanjenje gubitaka od incidenta i jamstvo da
ostvareni sigurnosni incidenti nisu katastofalni
- poboljšani ugled na tržištu koji rezultira povećanom
vrijednošću organizacije
- upravljanje vanjskim I unutarnjim zahtjevima
Više je međunarodnih standarda među kojima se mogu
naći elementi korporativnog upravljanja sigurnošću. Kao
glavni izvori informaicja ističu se COBIT model (Cobit
4.1. Framework),
ISO (27000 family of security
standards, ISO/IEC 38500:2008 - Corporate governance
of information technology), ITCGI (The Information
Security Governance: Guidance for Information Security
Managers), CMU (Governing for Enterprise Security),
NIST (SP 800-53 Recommended Security Controls for
Federal Information Systems and Organizations) i dr. Svi
se oni susreću s istim pitanjem: kako pokrenuti,
organizirati te primjeniti resurse i kompetencije radi
upravljanja korporativnim sigurnosnim rizicima, a da
program sigurnosti bude usklađen s strateškim
ciljevima, zahtjevima za sukladnost i tehnološkom
arhitekturom.
Rješenja navedenih problema su brojna. Corporate
Governance Task Force vrlo detaljno popisuje uloge i
odgovornosti za sigurnost, ITCGI popisuje principe
korporativnog upravljanja sigurnošću (posebno kroz
COBIT framework), te ulogu uprave i izvršnog
menadžmenta, SEI procese korporativnog upravljanja
sigurnošću koje je potrebno uspostaviti, NIST tehnološki
neovisan opći katalog sigurnosnih kontrola.
Radi
nemogućnosti
detaljnijeg
opisivanja
karakteristika koje popisuju navedene reference u
nastavku se opisuju osnovni principi CSG koji su
uglavnom jedinstveni, neovisno o njihovom izvoru. To
su:
Strategic
aligment
Strateško
usklađivanje
informacijske sigurnosti radi podrške poslovnim
ciljevima je najviši cilj koji je u praksi teško postići. No,
bez takve povezanosti i poslovnim ciljevima kao
referencom svaka će inicijativa biti neprimjerena i loše
vođena pa čak i ako se striktno pridržava najbolje
prakse. Osim toga povezanost s poslovnim ciljevima
osigurava bolje upravljanje sredstvima i omogućuje
analize troškovi/ulaganje.
Upravljanje rizicima - Veličina rizika najbolja je mjera za
utvrđivanje ulaganja u sigurnost. Da bi se upravljalo i
otklonilo rizike na prihvatljivu mjeru te smanjilo
potencijal njihova djelovanja na informacijsku imovinu
treba smanjiti vjerojatnost djelovanja rizika sigurnosti,
provoditi periodične procjene rizika, definirati strategiju
ovladavanja rizikom, djelovati na rizike te pratiti
učinkovitost donesenih mjera.
Vrijednost isporuke - Vrijednost isporuke je ostvarena
kada su ulaganja u informacijsku sigurnost usmjerena
na potporu organizacijskih ciljeva. Optimalna ulaganja
postižu se kada su postignuti strateški ciljevi
informacijske sigurnosti, a razina utvrđenog rizika ulazi
u granicu prihvatljivog rizika. Za postizanje optimalne
razine ulaganja treba uspostaviti isplativi akcijski plan za
kritične IT rizike te osigurati minimalni poslovni utjecaj u
slučaju sigurnosnih incidenata.
Resource management – uz druge informacijske
resurse posebno mjesto zauzima upravljanje znanjem i
distribucija znanja na svim razinama u organizaciji.
Procesi sigurnosti se trebaju provoditi na način da ne
povećavaju administraciju, moraju biti dobro
dokumentirani, a rješenja problema referencirana i
dostupna radi usvajanja novih znanja.
Integracija sigurnosti u životni ciklus razvoja - Kriteriji
sigurnosti trebaju biti dotaknuti kroz životni ciklus, bilo
procesa, bilo novog proizvoda. To podrazumijeva
razumijevanje utjecaja na sigurnost od strane vlasnika
procesa, razmatranje utjecaja rizika nematerijalnih
resursa na sigurnost.
Osiguranje mjerljivih pokazatelja, mjerenje i revizija Da bi se mogao pratiti napredak tijekom vremenskog
perioda, sigurnost treba biti opisana mjerljivim ciljevima
koji su integrirani u strateške i operativne planove, a
njihovo ispunjavanje se nadzire kontrolom i mjerenjem.
Mjerenje, praćenje i izvještavanje o informacijskoj
sigurnosti i kvaliteti provođenja procesa osigurava
postizanje ciljeva organizacije.
Važnost ljudskog potencijala - ljudski resursi temelj su
svakog programa informacijske sigurnosti. Namjerno ili
slučajno djelovanje zaposlenika može utjecati na
realizaciju poslovnih ciljeva i strategije odnosno na
smanjenje poslovnih performansi, što u konačnici
izaziva nezadovoljstvo svih zainteresiranih strana
(dioničari odnosno vlasnici organizacije, djelatnici i
ugovorni suradnici, državne institucije itd.).
Resource
Management
Human
Resources
IT & Data Live
Cycle
Management
Strategic
aligment
Security
Governance
System
Performance
Management
Risk
management
Value
Delivery
II. PROCESI SUSTAVA KORPORATIVNOG
UPRAVLJANJA
SIGURNOŠĆU
Postavlja se pitanja kako na najbolji način
dekomponirati principe (slika 1) korištenjem postojećih
izvora o procesima [], o ciljevima [] i outcomes []
korporativnog upravljanja sigurnošću. Dvije su osnovne
mogućnosti: kombiniranjem više postojećih rezultata,
prihvaćanje jednog i detaljnom analizom razvoj procesa.
COBIT 4.1 Framework je na području utvrđivanja
procesnih područja i IT governance dao značajne
rezultata. S obzirom da je
ISO 38500
Corporate IT
Governance
ISO 27001
Security
Management
COBIT 4.1
IT
Governace
Framework
Common
Security
Governace
principles
Uzimajući u obzir mapiranje IT procesa prema
principima korporativnog upravljanja IT-om [COBIT]
mogu se istaknuti sljedeća procesna područja
relevantna za korporativnu sigurnost. To su područja:
Planiranje i organizacija procesa
o Definiranje strateškog plana sigurnosti
o Definiranje informacijske arhitekture
o Definicija procesa, organizacija i odnosi među
procesima
o Razmjena ciljeva i direktiva menadžmenta
o Procjena i upravljanje rizicima
Podrška procesima sigurnosti
o Uspostava IT sigurnosti
o Upravljanje sigurnošću podataka
Nadzor i vrednovanje sigurnosti
Praćenje i ocjena unutarnje kontrole i nadzora
Osiguranje sukladnosti s vanjskim zahtjevima
Korporativno upravljanje sigurnošću
S obzirom da COBIT framework za svako procesno
područje definira više kontrolnih ciljeva (control
objectives) potrebno je detaljnije analizirati njihovo
značenje. Osnovna su prcesna područja polazište za
daljnu dekompoziciju procesa na kontrolne ciljeve.
Značenje relevantnih procesnih područja ukratko se
pojašanjava u nastavku:
1) Define a strategic IT plan (COBIT PO1). Koordinacija
između poslovnog upravljanja i upravljanja sigurnošću
u smislu transformiranja poslovnih zahtjeva u servise i
usluge prema klijentima te razvoja strategije koja će
osigurati učinkoviti i sigurnu uslugu i funkcioniranje IT
servisa.
2) Define the information architecture (COBIT PO2)
.Uspostava korporativnog modela podataka koji
uključuje shemu klasifikacija podataka i informacija radi
osiguranja integriteta i dosljednosti cjelokupne
nematerijalne informacijske imovine
3) Define the IT processes, organization and
relationships. (COBIT PO4). Uspostava transparentne,
fleksibilne i odgovarajuće organizacijske strukture i
uspostava procesa s vlasnicima, njihovim ulogama i
odgovornostima koje su integrirane u poslovne odluke i
procese.
4) PO6
Communicate management aims and
direction. Analiza cjelovitosti donesenih politika,
procedura, smjernica i druge dokumentacije iz područja
sigurnosti koje su već uključene i realizirane kroz
organizaciju te dosljednost njihove provedbe.
5) PO9
Assess and manage risks. Razvoj okvira
upravljanja rizikom informacijske sigurnosti koji je
integriran u postojeći korporativni okvir upravljanja
rizikom. Procjena rizika, djelovanje na rizike i
izvješćivanje o rezidualnom riziku.
6) DS5
Ensure systems security. Pregled
uspostavljenih politika sigurnosti, planova i procedura
te načina nadzora, praćenja, detektiranja, izvješćivanja i
rješavanja ranjivosti i incidenta.
7) DS11 Manage data. Održavanje sigurnosti podataka
s naglaskom na raspoloživost i povjerljivost te
cjelovitost poduzetih postupaka.
8) ME3 Ensure compliance with external requirements
Identifikacija svih primjenjivih zakonskih, regulatornih i
ugovornih zahtjeva i potreba za sukladnošću s istima.
Optimizacija procesa
odnosno kontrola s ciljem
smanjivanja rizika od nesukladnosti.
9) ME2 Monitor and Evaluate Internal Control Nadzor
unutarnjih kontrola za IT i vezane aktivnosti i
utvrđivanje prilika za poboljšanjem.
10) ME4
Provide IT governance Način pripreme
izvješća za menadžment (Upravi) u svezi strategije
informacijske sigurnosti, učinkovitosti i rizika te reakcija
na zahtjeve u skladu s odlukama i smjernicama Uprave.
Posebno se naglašava da uspješnost posla zavisi o
definiranim ulogama i odgovornostima koje ne moraju
biti utvrđene prije početka projketa. Pod tim se mislim
na postojanje međuorganizacijskih timova i određenih
ključnih funkcija kao npr. chief risk officer-CRO, chief
security officer-CSO, chief information officer-CIO, chief
information security officer-CISO, Data Protection
Officer (DPO) i dr. Ono što je također neophodno su
jasno postavljeni ciljevi i utvrđena sredstva od strane
uprave.