Odborné články

Šírime povedomie o informačnej bezpečnosti

Správa informačnej bezpečnosti v malej a stredne veľkej spoločnosti

PETER DEKÝŠ, ČLÁNOK UVEREJNENÝ V ČASOPISE EFOCUS, MAREC 2010

V súčasnosti sú organizácie závislé od informácií, ktoré spracúvajú. Preto by mala byť informačná bezpečnosť predmetom záujmu každej firmy alebo organizácie štátnej, či verejnej správy. Efektívne riadenie informačnej bezpečnosti umožňuje efektívne rozloženie výdavkov na informačnú bezpečnosť. 

Malé a stredne veľké spoločnosti (ďalej len „SMB“) tvoria špecifické prostredie z pohľadu presadzovania a riadenia informačnej bezpečnosti. Rozdiely oproti veľkým spoločnostiam sú uvedené dole, pričom tieto rozdiely sú tým väčšie, čím je spoločnosť menšia:

  • Žiadny alebo minimálny bezpečnostný tím
  • Rozpočet na bezpečnosť je súčasťou rozpočtu na IT alebo nie je tvorený vôbec
  • Rozsah finančných, časových a ľudských zdrojov pridelených na informačnú bezpečnosť je nižší. Kvôli minimalizácii výdavkov je potrebné využívať open-source projekty.
  • Riadenie bezpečnosti  býva vykonávané oddelením IT

Vytvorenie pozície zodpovednej za riadenie informačnej bezpečnosti prináša organizáciám posun od náhodného reagovania na vzniknuté problémy a bezpečnostné incidenty k systematickému riadeniu a účelnému vynakladaniu výdavkov na informačnú bezpečnosť. Názov tejto pozície sa v rôznych publikáciách líši, preto budeme ďalej v článku používať názov Chief Information Security Officer (ďalej len „CISO“).

Riadenie bezpečnosti a rola CISO

V rámci informačnej bezpečnosti je potrebné aj v SMB organizácii vykonávať širokú škálu činností, ktoré môže ale aj nemusí vykonávať priamo CISO:

  • Riadiť bezpečnostné riziká, čo znamená pravidelne vykonávať analýzu rizík a primerane reagovať na zistené riziká. 
  • Vykonávať publikačnú činnosť; vydávať, revidovať a aktualizovať interné predpisy, ktoré vytvárajú firemnú kultúru vo vzťahu k informačnej bezpečnosti. V niektorých prípadoch býva táto činnosť minimalizovaná na dokumenty požadované zákonom na ochranu osobných údajov.
  • Vzdelávať zamestnancov v oblasti informačnej bezpečnosti a prevádzkovať program budovania povedomia o informačnej bezpečnosti. Opäť v niektorých prípadoch minimalizované na zaškolenie oprávnených osôb v zmysle zákona na ochranu osobných údajov.
  • Riadiť a implementovať projekty v rámci informačnej bezpečnosti, ktoré sú odvodené z reakcie na zistené riziká. CISO môže vystupovať v role projektového manažéra, bezpečnostného špecialistu alebo nemusí byť vôbec zahrnutý v implementácii daného projektu.
  • Prevádzkovať bezpečnostné technológie. Najmä v menších firmách môže CISO vystupovať aj ak bezpečnostný administrátor, ktorý prevádzkuje bezpečnostné technológie a pomáha ostatným členom IT personálu aplikovať bezpečnostné opatrenia na systémoch mimo jeho správy.
  • Zisťovať a reportovať stav bezpečnosti a akutálne potreby vedeniu spoločnosti. SMB organizácie si zriedkakedy môžu dovoliť pravidelný celoplošný bezpečnostný audit. Preto je CISO nútený siahnuť po iných metrikách bezpečnosti – logy, výstupy z IDS a VA nástrojov, tickety na helpdesku,…
  • Riešiť bezpečnostné incidenty v spolupráci so všetkými dotknutými organizačnými jednotkami.

Tieto činnosti je možné vo všeobecnosti rozdeliť na:

  • Činnosti súvisiace s riadením bezpečnosti; tieto činnosti zahŕňajú analýzu rizík, návrh ošetrenia zistených rizík a pravidelné reportovanie stavu. 
  • Ostatné činnosti, ktoré zahŕňajú tovrbu firemnej bezpečnostnej kultúry pomocou interných štandardov a vzdelávania, implementáciu projektov, prevádzku bezpečnostných opatrení a riešenie bezpečnostných incidentov.

Všetky tieto činnosti nemusí nutne vykonávať priamo CISO, ale môžu byť pokryté viacerými rolami v rámci organizácie alebo zabezpečované externými službami. Rozdelenie náplne práce CISO medzi viaceré osoby však prináša riziko, že v prípade nejasného zadefinovania zodpovedností v konečnom dôsledku nebude za informačnú bezpečnosť zodpovedný nikto [1]. Pokiaľ má CISO efektívne riadiť bezpečnosť je vhodné, aby bol zodpovedný za výkon činností súvisiach s riadením bezpečnosti a mal právomoc vynútiť ich vykonanie prostredníctvom manažmentu spoločnosti v potrebnom čase, rozsahu a kvalite, v prípade, že ich sám nevykonáva. Pridelenie ostatných činností medzi zodpovednosti CISO je prínosom pri budovaní jednotnej bezpečnostnej stratégie a architektúry SMB organizácie, nie je však nevyhnutne potrebné pre riadenie bezpečnosti. Závisí však od požiadaviek každej SMB organizácie, či CISO bude zodpovedať za vykonávanie všetkých spomínaných činností, ich časti alebo budú do jeho zodpovednosti zahrnuté aj iné činnosti mimo vymenovaných (napr. je osobou poverenou dohľadom nad ochranu osobných údajov). Prieskum stavu informačnej bezpečnosti za rok 2008 [2] uvádza nasledovné znalosti a schopnosti, ktoré sú pri role CISO najviac cenené (uviedlo viac než 20% respondentov), čo reflektuje požiadavku na náplň roly CISO:

  • znalosť problematiky informačnej bezpečnosti, 
  • technologické znalosti IS / IT, 
  • flexibilita a konštruktívny prístup k riešeniu problémov, 
  • schopnosť efektívnej komunikácie s vedením organizácie, 
  • analytické schopnosti a 
  • manažérske schopnosti.

Po odstránení počiatočných problémov sa rozsah činností zníži na udržiavanie dosiahnutej úrovne bezpečnosti.


Niektoré z uvedených činností sú však nárazové (napr. vykonanie auditu alebo implementácia opatrenia) a dedikovanie zamestnanca len do role CISO môže znamenať jeho neefektívne využívanie v priebehu roka. Pokiaľ sa SMB organizácia rozhodla riadiť bezpečnosť a zriadiť rolu CISO, je veľmi pravdepodobné, že prvá analýza rizík alebo audit odkryje problémy vo všetkých oblastiach popisovaných ISO 27002 [3]. Pokiaľ organizácia dynamicky nevyrastie, bude po odstránení počiatočných problémov rozsah činností CISO znížený na udržiavanie dosiahnutej úrovne bezpečnosti. V takom prípade sú dve možnosti:

  • Kombinovať rolu CISO s inou rolou v rámci organizácie
  • Outsourcing CISO

Prístupy k obsadeniu role CISO

CISO môže byť obsadený interným zamestnancom alebo externým konzultantom. V prípade SMB organizácií s menšími kapacitnými požiadavkami na rolu CISO môže byť problém udržať a vyťažiť zamestnanca, ktorý má požadované znalosti a schopnosti uvedené vyššie. O to viac, ak má byť CISO kombináciou technika (správa bezp. technológii), manažéra (vedenie projektov, komunikácia s vedením) a odborníka na bezpečnosť (riadenie rizík, tvorba interných predpisov a vzdelávanie). Naopak výhodou je, že zamestnanec je interný a teda je viac spätý s ľuďmi v organizácii, jednoduchšie bude u nich presadzovať zásady informačnej bezpečnosti a bude citlivejšie vnímať ich potreby a problémy, nakoľko je s nimi v každodennom kontakte. Dobré vzťahy so zamestnancami spoločnosti sa však stávajú problémom v okamihu, kedy je potrebné vyvodiť zodpovednosť a sankcie za spôsobený bezpečnostný incident, alebo keď treba implementovať tvrdšie pravidlá v rámci organizácie.

Rola CISO môže byť obsadená internými zamestnancami v pozíciach:

  • Vedúci IT – výhodou je znalosť IT a manažérske schopnosti. Nevýhodou môžu byť chýbajúce znalosti riešenia bezpečnostných problémov mimo IT – napr. v oblasti personálnej a fyzickej bezpečnosti. Navyše takýto človek je v prvom rade Vedúcim IT a až potom CISO. Nakoľko pri SMB organizáciách je predpoklad, že vedúci IT má v tíme viacerých špecialistov, nie je prevádzka bezpečnostných technológií problémom.
  • IT špecialista – výhodou IT špecialistov je hlboká znalosť IT a rýchle pochopenie možností technických bezpečnostných opatrení. Nedostatkom môžu byť chýbajúce manažérske schopnosti a komunikácia, či už pri vzdelávaní zamestnancov alebo vo vzťahu s vedením organizácie a podcenenie významu organizačných a personálnych opatrení.
  • Bezpečnostný administrátor  - podobná možnosť ako IT špecialista s hlbokou znalosťou bezpečnostných technológií. Rovnako nedostatkom môžu byť chýbajúce manažérske schopnosti a komunikácia ako aj podcenenie organizačných a personálnych opatrení.
  • Dedikovaný manažér bezpečnosti – podobná možnosť ako vedúci IT, avšak dedikovaný len na riadenie bezpečnosti. Nevýhodou môžu byť chýbajúce znalosti a skúsenosti s prevádzkou bezpečnostných technológií a využiteľnosť dedikovaného manažéra aj mimo nárazových činností.
  • Finančný riaditeľ – výhodou tejto možnosti je priamy kontakt na vrcholový manažment. V prípade, že organizácia riadi napr. finančné riziká, má finančný riaditeľ dobré predpoklady na riadenie bezpečnostných rizík. Nevýhodou môže byť chýbajúca znalosť prostredia IT a bezpečnostných technológií, najmä v prípade, kedy CISO zodpovedá aj za prevádzku bezpečnostných technológií.
  • Neobsadené – najhoršia z možností, ktorá znamená, že za riadenie informačnej bezpečnosti nie je zodpovedný nikto. 

V prípade personálneho sourcingu CISO sú zodpovednosti a právomoci stanovené zmluvou. Tá by mala zaručiť, že CISO je využívaný podľa potrieb organizácie na dohodnuté aktivity a za prijateľnú cenu. Zmluvne by mala byť zadefinovaná zodpovednosť za vykonávanie riadiacich činností ako boli načrtnuté vyššie. Zaradenie ostatných činností je možné realizovať napr. možnosťou voliteľne dopĺňať činnosti CISO podľa aktuálnej potreby. Pokrytie požiadaviek SMB organizácie zo strany sourcingovej firmy by malo byť samozrejmosťou, namä čo sa týka skúseností, vedomostí a schopností outsourcovaného CISO. Odpadajú problémy s nárazovými činnosťami, nakoľko pri flexibilnej zmluve nie je problém doobjednať činnosti CISO. Avšak to, že CISO nie je súčasťou organizácie, môže priniesť problémy s orientáciou v kultúre spoločnosti, problémy so spoluprácou s organizačnými jednotkami v rámci spoločnosti a viazanie činností a zodpovedností na uzavretú zmluvu.

Záver

Riadenie bezpečnosti je potrebné zveriť do rúk skúsenej osobe, ktorá dokáže pretaviť aj menšie zdroje, ktoré má SMB organizácia k dispozícii, do efektívneho bezpečnostného programu. To či bude pre rolu CISO zriadená špecifická pozícia, jeho zodpovednosť bude pridelená niektorému zo zamestnancov alebo outsourcovaná, závisí od požiadaviek spoločnosti. Kladné a záporné stránky týchto prístupov zhrnuté v Tabuľke 1 je potrebné brať ako orientačné. Riaditeľ IT môže mať záľubu v tvorbe interných predpisov alebo bezpečnostný administrátor v školení zamestnancov. To akú kvalitu, skúsenosti a efektivitu pri vykonávaní zverených činnosti CISO prinesie, vždy závisí od konkrétneho človeka, ktorý je do tejto pozície vybraný. 

Zhrnutie kladných a záporných stránok obsadenia roly CISO: 

Niektoré z uvedených činností sú však nárazové (napr. vykonanie auditu alebo implementácia opatrenia) a dedikovanie zamestnanca len do role CISO môže znamenať jeho neefektívne využívanie v priebehu roka. Pokiaľ sa SMB organizácia rozhodla riadiť bezpečnosť a zriadiť rolu CISO, je veľmi pravdepodobné, že prvá analýza rizík alebo audit odkryje problémy vo všetkých oblastiach popisovaných ISO 27002 [3]. Pokiaľ organizácia dynamicky nevyrastie, bude po odstránení počiatočných problémov rozsah činností CISO znížený na udržiavanie dosiahnutej úrovne bezpečnosti. V takom prípade sú dve možnosti:

  • Kombinovať rolu CISO s inou rolou v rámci organizácie
  • Outsourcing CISO

Prístupy k obsadeniu role CISO

CISO môže byť obsadený interným zamestnancom alebo externým konzultantom. V prípade SMB organizácií s menšími kapacitnými požiadavkami na rolu CISO môže byť problém udržať a vyťažiť zamestnanca, ktorý má požadované znalosti a schopnosti uvedené vyššie. O to viac, ak má byť CISO kombináciou technika (správa bezp. technológii), manažéra (vedenie projektov, komunikácia s vedením) a odborníka na bezpečnosť (riadenie rizík, tvorba interných predpisov a vzdelávanie). Naopak výhodou je, že zamestnanec je interný a teda je viac spätý s ľuďmi v organizácii, jednoduchšie bude u nich presadzovať zásady informačnej bezpečnosti a bude citlivejšie vnímať ich potreby a problémy, nakoľko je s nimi v každodennom kontakte. Dobré vzťahy so zamestnancami spoločnosti sa však stávajú problémom v okamihu, kedy je potrebné vyvodiť zodpovednosť a sankcie za spôsobený bezpečnostný incident, alebo keď treba implementovať tvrdšie pravidlá v rámci organizácie.

Rola CISO môže byť obsadená internými zamestnancami v pozíciach:

  • Vedúci IT – výhodou je znalosť IT a manažérske schopnosti. Nevýhodou môžu byť chýbajúce znalosti riešenia bezpečnostných problémov mimo IT – napr. v oblasti personálnej a fyzickej bezpečnosti. Navyše takýto človek je v prvom rade Vedúcim IT a až potom CISO. Nakoľko pri SMB organizáciách je predpoklad, že vedúci IT má v tíme viacerých špecialistov, nie je prevádzka bezpečnostných technológií problémom.
  • IT špecialista – výhodou IT špecialistov je hlboká znalosť IT a rýchle pochopenie možností technických bezpečnostných opatrení. Nedostatkom môžu byť chýbajúce manažérske schopnosti a komunikácia, či už pri vzdelávaní zamestnancov alebo vo vzťahu s vedením organizácie a podcenenie významu organizačných a personálnych opatrení.
  • Bezpečnostný administrátor  - podobná možnosť ako IT špecialista s hlbokou znalosťou bezpečnostných technológií. Rovnako nedostatkom môžu byť chýbajúce manažérske schopnosti a komunikácia ako aj podcenenie organizačných a personálnych opatrení.
  • Dedikovaný manažér bezpečnosti – podobná možnosť ako vedúci IT, avšak dedikovaný len na riadenie bezpečnosti. Nevýhodou môžu byť chýbajúce znalosti a skúsenosti s prevádzkou bezpečnostných technológií a využiteľnosť dedikovaného manažéra aj mimo nárazových činností.
  • Finančný riaditeľ – výhodou tejto možnosti je priamy kontakt na vrcholový manažment. V prípade, že organizácia riadi napr. finančné riziká, má finančný riaditeľ dobré predpoklady na riadenie bezpečnostných rizík. Nevýhodou môže byť chýbajúca znalosť prostredia IT a bezpečnostných technológií, najmä v prípade, kedy CISO zodpovedá aj za prevádzku bezpečnostných technológií.
  • Neobsadené – najhoršia z možností, ktorá znamená, že za riadenie informačnej bezpečnosti nie je zodpovedný nikto. 

V prípade personálneho sourcingu CISO sú zodpovednosti a právomoci stanovené zmluvou. Tá by mala zaručiť, že CISO je využívaný podľa potrieb organizácie na dohodnuté aktivity a za prijateľnú cenu. Zmluvne by mala byť zadefinovaná zodpovednosť za vykonávanie riadiacich činností ako boli načrtnuté vyššie. Zaradenie ostatných činností je možné realizovať napr. možnosťou voliteľne dopĺňať činnosti CISO podľa aktuálnej potreby. Pokrytie požiadaviek SMB organizácie zo strany sourcingovej firmy by malo byť samozrejmosťou, namä čo sa týka skúseností, vedomostí a schopností outsourcovaného CISO. Odpadajú problémy s nárazovými činnosťami, nakoľko pri flexibilnej zmluve nie je problém doobjednať činnosti CISO. Avšak to, že CISO nie je súčasťou organizácie, môže priniesť problémy s orientáciou v kultúre spoločnosti, problémy so spoluprácou s organizačnými jednotkami v rámci spoločnosti a viazanie činností a zodpovedností na uzavretú zmluvu.

Záver

Riadenie bezpečnosti je potrebné zveriť do rúk skúsenej osobe, ktorá dokáže pretaviť aj menšie zdroje, ktoré má SMB organizácia k dispozícii, do efektívneho bezpečnostného programu. To či bude pre rolu CISO zriadená špecifická pozícia, jeho zodpovednosť bude pridelená niektorému zo zamestnancov alebo outsourcovaná, závisí od požiadaviek spoločnosti. Riaditeľ IT môže mať záľubu v tvorbe interných predpisov alebo bezpečnostný administrátor v školení zamestnancov. To akú kvalitu, skúsenosti a efektivitu pri vykonávaní zverených činnosti CISO prinesie, vždy závisí od konkrétneho človeka, ktorý je do tejto pozície vybraný. 

 

Riadenie bezp. rizík

Publikačná činnosť

Vzdelávanie

Riadenie a impl. projektov

Prevádzka bezp. technológií

Reportovanie stavu bezpečnosti

Riadenie incidentov

Vedúci IT

+--++++

IT špecialista 

----+-+

Bezpečnostný administrátor

----+-+

Manažér bezpečnosti

++++-++

Finančný riaditeľ

+--+-+-

Outsourcovaný CISO

+++++++

Legenda:
+ osoby v danej pozícií zväčša majú znalosti a skúsenosti vo vykonávaní danej činnosti alebo riadení danej oblasti
- osoby v danej pozícií väčšinou nemajú znalosti ani skúsenosti vo vykonávaní danej činnosti alebo riadení danej oblasti

Odkazy:
[1] ISO/IEC 13335-2:1997
[2] Prieskum stavu informačnej bezpečnosti za rok 2008 
[3] ISO/IEC 27002