Správa informačnej bezpečnosti v malej a stredne veľkej spoločnosti
PETER DEKÝŠ, ČLÁNOK UVEREJNENÝ V ČASOPISE EFOCUS, MAREC 2010
V súčasnosti sú organizácie závislé od informácií, ktoré spracúvajú. Preto by mala byť informačná bezpečnosť predmetom záujmu každej firmy alebo organizácie štátnej, či verejnej správy. Efektívne riadenie informačnej bezpečnosti umožňuje efektívne rozloženie výdavkov na informačnú bezpečnosť.
Malé a stredne veľké spoločnosti (ďalej len „SMB“) tvoria špecifické prostredie z pohľadu presadzovania a riadenia informačnej bezpečnosti. Rozdiely oproti veľkým spoločnostiam sú uvedené dole, pričom tieto rozdiely sú tým väčšie, čím je spoločnosť menšia:
- Žiadny alebo minimálny bezpečnostný tím
- Rozpočet na bezpečnosť je súčasťou rozpočtu na IT alebo nie je tvorený vôbec
- Rozsah finančných, časových a ľudských zdrojov pridelených na informačnú bezpečnosť je nižší. Kvôli minimalizácii výdavkov je potrebné využívať open-source projekty.
- Riadenie bezpečnosti býva vykonávané oddelením IT
Vytvorenie pozície zodpovednej za riadenie informačnej bezpečnosti prináša organizáciám posun od náhodného reagovania na vzniknuté problémy a bezpečnostné incidenty k systematickému riadeniu a účelnému vynakladaniu výdavkov na informačnú bezpečnosť. Názov tejto pozície sa v rôznych publikáciách líši, preto budeme ďalej v článku používať názov Chief Information Security Officer (ďalej len „CISO“).
Riadenie bezpečnosti a rola CISO
V rámci informačnej bezpečnosti je potrebné aj v SMB organizácii vykonávať širokú škálu činností, ktoré môže ale aj nemusí vykonávať priamo CISO:
- Riadiť bezpečnostné riziká, čo znamená pravidelne vykonávať analýzu rizík a primerane reagovať na zistené riziká.
- Vykonávať publikačnú činnosť; vydávať, revidovať a aktualizovať interné predpisy, ktoré vytvárajú firemnú kultúru vo vzťahu k informačnej bezpečnosti. V niektorých prípadoch býva táto činnosť minimalizovaná na dokumenty požadované zákonom na ochranu osobných údajov.
- Vzdelávať zamestnancov v oblasti informačnej bezpečnosti a prevádzkovať program budovania povedomia o informačnej bezpečnosti. Opäť v niektorých prípadoch minimalizované na zaškolenie oprávnených osôb v zmysle zákona na ochranu osobných údajov.
- Riadiť a implementovať projekty v rámci informačnej bezpečnosti, ktoré sú odvodené z reakcie na zistené riziká. CISO môže vystupovať v role projektového manažéra, bezpečnostného špecialistu alebo nemusí byť vôbec zahrnutý v implementácii daného projektu.
- Prevádzkovať bezpečnostné technológie. Najmä v menších firmách môže CISO vystupovať aj ak bezpečnostný administrátor, ktorý prevádzkuje bezpečnostné technológie a pomáha ostatným členom IT personálu aplikovať bezpečnostné opatrenia na systémoch mimo jeho správy.
- Zisťovať a reportovať stav bezpečnosti a akutálne potreby vedeniu spoločnosti. SMB organizácie si zriedkakedy môžu dovoliť pravidelný celoplošný bezpečnostný audit. Preto je CISO nútený siahnuť po iných metrikách bezpečnosti – logy, výstupy z IDS a VA nástrojov, tickety na helpdesku,…
- Riešiť bezpečnostné incidenty v spolupráci so všetkými dotknutými organizačnými jednotkami.
Tieto činnosti je možné vo všeobecnosti rozdeliť na:
- Činnosti súvisiace s riadením bezpečnosti; tieto činnosti zahŕňajú analýzu rizík, návrh ošetrenia zistených rizík a pravidelné reportovanie stavu.
- Ostatné činnosti, ktoré zahŕňajú tovrbu firemnej bezpečnostnej kultúry pomocou interných štandardov a vzdelávania, implementáciu projektov, prevádzku bezpečnostných opatrení a riešenie bezpečnostných incidentov.
Všetky tieto činnosti nemusí nutne vykonávať priamo CISO, ale môžu byť pokryté viacerými rolami v rámci organizácie alebo zabezpečované externými službami. Rozdelenie náplne práce CISO medzi viaceré osoby však prináša riziko, že v prípade nejasného zadefinovania zodpovedností v konečnom dôsledku nebude za informačnú bezpečnosť zodpovedný nikto [1]. Pokiaľ má CISO efektívne riadiť bezpečnosť je vhodné, aby bol zodpovedný za výkon činností súvisiach s riadením bezpečnosti a mal právomoc vynútiť ich vykonanie prostredníctvom manažmentu spoločnosti v potrebnom čase, rozsahu a kvalite, v prípade, že ich sám nevykonáva. Pridelenie ostatných činností medzi zodpovednosti CISO je prínosom pri budovaní jednotnej bezpečnostnej stratégie a architektúry SMB organizácie, nie je však nevyhnutne potrebné pre riadenie bezpečnosti. Závisí však od požiadaviek každej SMB organizácie, či CISO bude zodpovedať za vykonávanie všetkých spomínaných činností, ich časti alebo budú do jeho zodpovednosti zahrnuté aj iné činnosti mimo vymenovaných (napr. je osobou poverenou dohľadom nad ochranu osobných údajov). Prieskum stavu informačnej bezpečnosti za rok 2008 [2] uvádza nasledovné znalosti a schopnosti, ktoré sú pri role CISO najviac cenené (uviedlo viac než 20% respondentov), čo reflektuje požiadavku na náplň roly CISO:
- znalosť problematiky informačnej bezpečnosti,
- technologické znalosti IS / IT,
- flexibilita a konštruktívny prístup k riešeniu problémov,
- schopnosť efektívnej komunikácie s vedením organizácie,
- analytické schopnosti a
- manažérske schopnosti.
Po odstránení počiatočných problémov sa rozsah činností zníži na udržiavanie dosiahnutej úrovne bezpečnosti.
Odkazy:
[1] ISO/IEC 13335-2:1997
[2] Prieskum stavu informačnej bezpečnosti za rok 2008
[3] ISO/IEC 27002