"Vodstva morajo razumeti, da to zanje pomeni dobrobit. Strateška pomembnost informacijske varnosti izhaja iz dejstva, da mora vodstvo prepoznati to vrednoto in poskrbeti za dvig te vrednote na višji nivo. Sama opredelitev je vzdignjena na taktično raven. Vsakodnevno delo in nadzor nad izvajanjem varnosti informacijskih sistemov, izobraževanje in dvig zavedanja pa je čisto operativna zadeva," je dejal Marko Mitrovič, svetovalec za vzpostavljanje in reguliranje poslovnih sistemov informacijsko komunikacijske tehnologije, certificirani vodilni presojevalec s področja standardov Informacijske varnosti.
Pomemben motiv za spremembo razmišljanja predstavljajo že realizirana tveganja s tega področja: izvedeni veliki napadi in vdori v informacijske sisteme v Sloveniji, ki so zgodili v zadnjih dveh letih, in sicer v različnih panogah od proizvodnje, trgovine in storitvenih dejavnosti do medijev in državnih inštitucij.
Standardi ISO so odlično izhodišče
ISO (International Organization for Standardization – Mednarodna organizacija za standardizacijo) je v svojih poslovnih standardih z letom 2015 vpeljala visoko-nivojsko strukturo standardov sistemov vodenja, ki se v veliki meri ukvarja s poslovnimi tveganji in priložnostmi. Kot pravi Mitrovič, se posodobljena dokumentacija sistemov vodenja preko upravljanja s tveganji bistveno bolj ukvarja s kibernetsko varnostjo.
Tako Mitrovič: "ISO zaradi razvoja organizacij še vedno opredeljuje sistem vodenja kakovosti, vendar dokumenti sistema vodenja od leta 2015 naprej po strukturi uvajajo tudi kakovostno vodenje poslovanja. Pri tem gre za obvladovanje politik, vezanih na upravljaje s podjetji, trajnostjo in okoljskimi vidiki, z varstvom in zdravjem pri delu ter z varnostjo in upravljanjem informacijskega sistema."
Kje se začne informacijska varnost ob zasnovi?
Podjetja, ki želijo vgraditi kibernetsko varnost v vse pore svojega poslovanja, morajo najprej spremeniti način razmišljanja. Kibernetska varnost ni samo odgovornost IT-službe, temveč vseh v podjetju. To dokazuje že sama uporaba informacijskih tehnologij, ki dandanes opredeljujejo celotno poslovanje podjetij.
"V osnovi je treba najprej opredeliti poslovna tveganja in jih nato povezati s tveganji za informacijsko varnost. Tako se vzpostavi enoten, integriran sistem upravljanja s tveganji," je razložil Mitrovič.
Vse se torej začne s sistemom za identifikacijo tveganj, čemur sledi vzpostavitev pravil za upravljanje s tveganji, t.j. notranjih kontrol. Podjetje mora izbrati tudi metodologijo upravljanja s tveganji, zagotoviti znanja ter dodeliti odgovornosti in pooblastila za upravljanje s tveganji.
"Iz tega mora podjetje vzpostaviti sistem upravljanja s tveganji, na primer, kako bodo tveganja vodili v določenih registrih, ali bodo sistem upravljali centralizirano ali decentralizirano po procesih in podobno. Tveganja je treba jasno opredeliti in zapisati – strateška in sistemska za celo podjetje, sledijo posamezna tveganja po vseh procesih. Nujno je, da se pred tem ali ob tem postavi sistem pravil," je razložil Mitrovič.
Ureditev spodbujajo zunanji dejavniki
Kot ugotavlja Mitrovič, ima veliko podjetij digitaliziran celotni upravljavski proces PDCA, vendar kljub temu nimajo sistemskega pogleda na kibernetsko varnost, ampak zgolj korekcijski pristop: "Redko katera podjetja imajo toliko virov, da gredo raziskat vzroke problemov in nadalje analizirati kako, kdaj in zakaj je do problema prišlo oziroma zakaj se je tveganje udejanjilo. Še manj je ugotavljanja posledic, zlasti posrednih tveganj, ki se ob tem sprožijo. Digitalizacija ne poteka v smislu sistema vodenja, ampak gre od procesa do procesa in je zato zelo operativna."
Sistem informacijske varnosti je treba zgraditi premišljeno in skupaj z uporabniki že zato, ker je treba poslovna tveganja preslikati v informacijsko varnost. Vendar se podjetja samoiniciativno tega še ne lotevajo, temveč je njihov razvoj informacijske varnosti odvisen predvsem od zakonodaje in pritiskov poslovnih partnerjev ter že udejanjenih napadov.
Standard informacijske varnosti kot komunikacijsko orodje
Še do nedavnega so certifikat upravljanja z informacijsko varnostjo ISO 27001 vpeljevala predvsem informacijska podjetja ter nekateri ponudniki bistvenih informacijskih storitev. Zaradi vse večje izpostavljenosti kibernetskim grožnjam postaja pregledno in strateško upravljanje z informacijsko varnostjo že kar zahteva pri vzpostavljanju poslovnih partnerstev.
"ISO 27001 te vodi in postavlja kontrolne točke, skozi katere mora podjetje obvladovati tveganja, da je sposobno zagotavljati informacijsko varnost znotraj poslovnega sistema. Hkrati pa je to certifikat, s katerim strankam izkazuješ, da so tvoje storitve varne in postavljene na pravi način, da pri poslovanju ne bo imel problemov s tabo," je povedal Mitrovič.
V zadnjem času ISO 27001 vpeljuje vse več podjetij, javnih ustanov in državnih agencij. Kot kažejo podatki certifikatske hiše Bureau Veritas, je v Sloveniji trenutno več certificiranih podjetij, ki se ne ukvarjajo z informacijsko tehnologijo, kot IKT-ponudnikov.