Od chaosu k systému. Poradňa manažéra kybernetickej bezpečnosti 5/12
Začíname formálne riadiť bezpečnosť
Doteraz sme vo firme Chrum&Chrum zbierali informácie, analyzovali dopady a riziká, pomenovali kritické aktíva a nastavili si priority. Teraz prichádza ďalší krok - dokumentácia, smernice a systémové riadenie.
Ale ako rád hovorím, dokument nie je papier pre audítora. Je to návod, ako to celé robiť dobre a opakovane. A preto som v máji začal s formalizáciou systému riadenia bezpečnosti. Nie kvôli paragrafom, ale kvôli tomu, aby každý vedel, čo má robiť, prečo to robí a ako si overíme, že to funguje.
Bezpečnostná politika sú základné pravidlá hry
Bezpečnostná politika je dokument, ktorému rozumie každý, nie len IT manažér. Dokumentácia opisuje, čím je pre nás bezpečnosť, prečo ju riešime a ako k nej pristupujeme. Obsahuje princípy, ktoré uplatňujeme v bezpečnosti, zahŕňa sektorové a zákonné požiadavky a aj to, čo očakávame od zamestnancov a dodávateľov.
Smernice a postupy sú už konkrétnejšie. Takže sú tu pravidlá pre riadenie prístupov, klasifikáciu informácií, zálohovanie a hlásenie incidentov, plán riadenia záplat a aktualizácií a opatrenia pre nástup a výstup zamestnancov.
Každý dokument vzniká v spolupráci s kolegami z praxe, nie „od stola“. Výstupy sú použiteľné v našich podmienkach, nie vzorové dokumenty v šuplíku. Poskytujú návody, dobrú prax, určujú ako sa opakovateľne správať bezpečne.
Nie všetky dokumenty musia byť vždy formálne podpísané generálnym riaditeľom. Niekedy stačí mať interný postup pre IT adminov a funguje to, áno aj pre audit.
Definujeme merateľné ciele
Iba „zlepšiť bezpečnosť“ nestačí. Ak chceme, aby bezpečnosť nebola len pocit, musíme ju vedieť odmerať. Preto sme si v stanovili konkrétne merateľné ukazovatele, ktoré nám ukážu, kde sme a kam sa posúvame.
Nestavali sme ich na ambícii dosiahnuť dokonalosť. Postavili sme ich na reálnych dátach, ktoré sa dajú získať, vyhodnotiť a použiť pri rozhodovaní.
Napríklad:
- Koľko incidentov bolo identifikovaných a riešených?
- Ako rýchlo boli vyriešené požiadavky na odobratie prístupov?
- Koľko zamestnancov absolvovalo bezpečnostné školenie?
- Aký je čas obnovy systémov pri testoch alebo reálnych výpadkoch (RTO)?
- Ako rýchlo sme nasadili záplaty na identifikované kritické zraniteľnosti?
Tieto metriky sledujeme každý mesiac na bezpečnostnom výbore. Dávajú nám spätnú väzbu, či kroky, ktoré robíme, prinášajú výsledky. Ak nie, vieme reagovať.
Meranie v praxi, čiže systém kontrol
Aby naše ciele neostali len v tabuľke, nastavili sme jednoduchý systém kontrol, ktorý nám dáva pravidelnú a praktickú spätnú väzbu.
- Prístupy sledujeme cez personálne zmeny a overujeme s výstupy zo systému riadenia identít.
- Školenia vyhodnocujeme cez výsledky testu na konci každého školenia.
- Incidenty evidujeme a mesačne vyhodnocujeme ich riešenie a reakčné časy.
- Zálohovanie pravidelne testujeme obnovou vybraných systémov.
- Nasadenie záplat overujeme retestom zraniteľností.
Tieto kontroly sú súčasťou bežného fungovania. Slúžia ako základná spätná väzba pre manažment a zároveň podporujú prípravu na interné audity. Všetky zistenia si evidujeme a používame pri pravidelnom hodnotení stavu bezpečnosti.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený profesionál. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium