Sustavno upravljanje IT sigurnosti je ključno i nikad ne prestaju prilagodbe promjenama

Budući da su ljudi najslabija karika u svijetu online sigurnosti, što struka iz svog iskustva potvrđuje, logičan je zaključak kako je došlo vrijeme da izvršni menadžment prihvati tu činjenicu u potpunosti, ističe za ICTbusiness.info Ivan Bat, viši konzultant za informacijsku sigurnost u Combisu.

Prema njegovim riječima Samo prihvaćanjem stvarnog stanja kompanije mogu osmisliti učinkovit program kibernetičke sigurnosti kao odgovor na trenutne ranjivosti, a ključno je postavljanje zaposlenika u središte zbivanja kao i usmjeravanje postojećih sigurnosnih metoda i pristupa prema njima i tako se osnažuje korporativna kultura i postiže se veća razina otpornosti kompanija.

Kako će provedba programa nultog povjerenja utjecati na velika poduzeća?

Najbržu prilagodbu programa nultog povjerenja ostvaruju tvrtke čije se poslovanje temelji na agilnom poslovanju. Ipak, pozitivne strane načela nultog povjerenja mogu se osjetiti u svakoj organizaciji, neovisno o modelu poslovanja. Sigurnost ne smije opstruirati poslovne procese i poslovne ciljeve - to je pretpostavka koja vrijedi za provedbu programa nultog povjerenja. Prilagodba naravno nije jednostavna, ali je svakako moguća uz ispravnu strategiju, pripremu i izbor ispravnih rješenja, ispravnu terminologiju i edukaciju korisnika sustava.

Koje su prednosti korištenja programa privatnosti kao konkurentske prednosti?

Program privatnosti i zaštite podataka jednostavno predstavlja bolji model poslovanja. Direktno utječe na odnose s korisnicima usluga, lojalnost i osigurava očuvanje brenda. Jednostavnije rečeno, zaštita integriteta kompanije kroz zaštitu podataka. Program pozitivno utječe na pravovremeno donošenje ključnih poslovnih odluka i povrat od investicija u rješenja.

Kako će se uloga i odgovornosti CISO-a mijenjati do 2027. godine?

Uloga i odgovornosti CISO-a ovise o dvije pretpostavke. Jedna je daljnji utjecaj CISO-a kroz menadžerske, tehničke i meke vještine, a posebno utjecaj na stupanj izolacije među timovima koja se učestalo događa i još uvijek prisutnu i ograničenu kulturu upravljanja rizicima sigurnosti u poslovnim procesima.

Druga pretpostavka je uspostava fokusa na pojedinca i razmišljanje izvan koncepta tehnologije ili sigurnosne arhitekture sustava. To su slična načela kao i kod usluge sigurnosno operativnog centra, ali opet različita u pogledu konačnog cilja. Ako postavimo koncept da je ultimativni cilj sigurnosti pravovremeno informiranje i donošenje odluka o potencijalnim rizicima na najvišim razinama, definirali smo program, ulogu i odgovornosti CISO-a u budućnosti.

Kako organizacije mogu koristiti kvantifikaciju kibernetičkog rizika kako bi potaknule donošenje poslovnih odluka?

Kvantifikacija sigurnosnog rizika udaljava od tradicionalnog dvodimenzionalnog prikaza nesigurnosti i spaja direktno mjerljive rizike s koristima učinkovitog upravljanja rizicima poput boljeg planiranja ulaganja u sigurnosna rješenja i ublažavanje rizika, bolju komunikaciju, bolju preraspodjelu resursa i usklađenost s poslovnim ciljevima, veću transparentnost i informiranost zainteresiranih strana (stakeholdera). Kvantifikacija je potreba i izbor za svaku organizaciju koja želi uspjeh na konkurentskom tržištu.

Koji su najnoviji ključni trendovi u području kibernetičke sigurnosti i kako te trendove možemo primijeniti u stvaranju boljih poslovnih praksi?

Trendovi sigurnosti u 2023. svakako naglašavaju nove načine rada. Naravno, prisutan je utjecaj ekonomskih i socijalnih trendova koji nerijetko mijenjaju načine na koji ljudi rade i vremena kada rade. Osim prihvaćanja hibridnog i rada s udaljene lokacije, pojave disperziranih ili decentraliziranih timova, dva su ključna trenda prisutna. Jedan je prebacivanje na tehnologije informacijske sigurnosti s mrežnim pristupom po načelu nultog povjerenja, a drugi je povećana prilagodba tehnologija baziranih na konceptu oblaka.

Kako organizacije mogu efikasno upravljati rizicima sigurnosti u današnjem sve složenijem kibernetičkom okruženju?

Za upravljanje rizicima sigurnosti važno je provođenje kontinuiranih provjera sustava na ranjivosti i upravljanje konfiguracijama kao osnovom sigurnosti. I uz bok tome - promicanjem kulture upravljanja rizicima i fokusiranjem na pojedinca. Najveći naglasak je na 'izvlačenju' menadžmenta i know-howa na prvu liniju obrane iz backofficea, a CISO kao predmetni stručnjak treba postati posrednik u odlučivanju o rizicima sigurnosti.

Kakvu ulogu igraju vanjske usluge Security Operations Center (SOC) u jačanju sigurnosti organizacija i kako se to može integrirati u poslovne prakse?

Igraju ulogu proširene momčadi, odnosno postaju dio postojećeg tima organizacije naručitelja. Svojim specifičnim znanjem, procesima i tehnologijom mogu u velikoj mjeri doprinijeti u jačanju sigurnosti informacijskih sustava. Zahtjevi poslovanja ili sigurnosti su dva glavna pokretača u svijetu sigurnosti. Usluga je koncipirana da pruža potporu u obje svrhe.

Kako poduzeća mogu razviti strategiju kibernetičke sigurnosti koja će se prilagoditi stalno mijenjajućim prijetnjama i napadima?

Potrebno je smanjiti tzv. operativno trenje i pojačati usvajanje kontrola sigurnosti. To se može provesti jedino kroz izrađene programe sigurnosti jer su očekivanja da će usvajanja novih tehnologija u organizacijama s godinama rasti, kao posljedica prilagođavanja trendovima i konkurenciji.

Koji su najveći izazovi s kojima se organizacije suočavaju prilikom stvaranja i provedbe dobrih praksi kibernetičke sigurnosti?

Najveći izazovi nastupaju prilikom razvoja višegodišnjih strategija sigurnosti. Određene aktivnosti se mogu planirati na više godina, ali iste predstavljaju zanemariv dio plana. Prvi korak koji je ujedno i najteži je određivanje i usklađivanje ciljeva poslovanja i sigurnosti. Zatim slijedi terminsko planiranje sa svim svojim rizicima pa izazovi nerijetko sežu sve do izostanka potpore izvršnog menadžmenta. Zaključak je da je potrebno usvojiti agilni pristup.

Koje su najnovije tehnologije i alati koji mogu pomoći u jačanju kibernetičke sigurnosti i kako se mogu integrirati u postojeće poslovne procese?

Najbolja su ona rješenja koja su prepoznata analizom ranjivosti sustava i koja su prikazana analizom troška i koristi, i procjenom rizika. Ako se generalizira, onda je svakako naglasak na rješenjima za štićenje i nadzor svih krajnjih točaka (engl. endpoint protection) uz enkripciju i višefaktorsku autentikaciju. Opet, to su neka od rješenja koja stavljaju djelatnike u fokus što je srž cijele priče. Naravno, potrebno je cijelu priču poduprijeti s kvalitetnim programima edukacije i osvješćivanja.

Kako organizacije mogu osigurati usklađenost s regulatornim zahtjevima u području kibernetičke sigurnosti i koje su najbolje prakse u tom smislu?

Uspostava usklađenosti sa zahtjevima sigurnosti mora biti više od ad hoc liste provjere. Kao prvi korak potrebno je osigurati nadzor nad internim i eksternim kontekstom i identificirati njegov odnos na organizaciju. Potrebno je primarno uspostaviti strategiju upravljanja usklađenošću na razini organizacije, definirati proces, uspostaviti kanale upravljanja informacijama (upravljanje promjenama u regulativi i komunikacija) i sve navedeno integrirati u rješenje za praćenje i upravljanje promjenama. Upravljanje promjenama u kontekstu kako to vidi GRC (engl. Governance, Risk Management & Compliance).

Koje su najčešće prijetnje i ranjivosti s kojima se organizacije suočavaju u području kibernetičke sigurnosti i kako se mogu učinkovito adresirati?

Prijetnje i trendove treba pratiti kako bi se odredio njihov potencijalni utjecaj na kompaniju, ali izostanak bazične higijene sustava i kontinuirane provjere na ranjivosti predstavlja uzrok problema. Bilo da je riječ o top prijetnjama poput izvlačenja osjetljivih podataka (društveni inženjering), napada ucjenjivanjem (engl. ransomware), napada zlonamjernim kodom (engl. malware), napad na opskrbni lanac (engl. supply chain attack), napad uskraćivanjem usluge (engl. distributed denial-of-service - DDoS) itd. modus operandi je uvijek isti. Automatizirana provjera na ranjivosti, penetracijsko testiranje i evaluacija, revizija koda, itd. neke su od metoda za provjeru tehničkih ranjivosti, i uz procjenu rizika pomažu u adresiranju problema. Rizik ljudskog faktora je pri tome najveći, a isti se može ublažiti kroz izradu kvalitetnih programa osvješćivanja i programa usmjerenih na posebne uloge u organizaciji.

Kako vanjske usluge SOC-a mogu pomoći organizacijama u detekciji, praćenju i odgovoru na kibernetičke prijetnje u realnom vremenu?

Usluga takvog tipa otvara prostor za dva bitna elementa. Jedan je vremenski prostor za odgovor i sprječavanje magnitude utjecaja prijetnje na kontinuitet poslovanja organizacije. Drugi element je ostvarivanje sinergije izvršitelja i naručitelja te prijenos znanja i iskustva. Takvim djelovanjem zasigurno se jača lanac sigurnosti po pitanju osviještenosti na razini pojedinca, a onda i zajednice. Dodatni, pridruženi ili indirektni doprinos je i poboljšavanje kvalitete sigurnosti, jačanjem baze poznatih prijetnji i vektora napada.

Kako organizacije mogu educirati svoje zaposlenike o kibernetičkoj sigurnosti i promicati svijest o sigurnosti kao ključni dio poslovnih praksi?

Kroz izradu kvalitetnih programa osvješćivanja i programa usmjerenih na posebne uloge u organizaciji. U nedostatku vremena, kadrovskih resursa ili znanja poželjno je angažirati vanjskog dobavljača. Bitno je napomenuti da program mora posjedovati svojstva procesa, biti repetitivan, potrebno ga je planirati i kontinuirano provoditi. Navedeno je moguće ostvariti uz pretpostavku da su tri glavna ograničavajuća faktora mitigirana, podrška izvršnog menadžmenta ne izostaje, predviđen je budžet i osigurano je vrijeme kao i kadrovi za provođenje aktivnosti.