Alarm ZInfV-1: Ali ima res samo 15 odstotkov podjetij izdelano BIA analizo za informacijsko varnost?

Prejšnji teden smo izvedli izobraževanji na temo ocene informacijskih tveganj za skladnost z ZInfV-1 in NIS2. Udeležili so se ju predstavniki iz različnih podjetij in organizacij, od katerih jih je samo 15 odstotkov potrdilo, da imajo izdelano analizo vplivov na poslovanje (angl. Business Impact Analysis – BIA).

Podatek je presenetljiv in hkrati zaskrbljujoč. Pomeni namreč, da velika večina organizacij še vedno gradi varnostne ukrepe in sledi regulativnim zahtevam brez utemeljitve, kaj v resnici ščiti in zakaj.

BIA je pogosto napačno razumljena kot eden od dokumentov v nizu obveznosti za presojevalce, revizorje ali regulatorje. V resnici pa gre za eno od ključnih poslovnih analiz vsake organizacije. Njeno bistvo ni v informacijski tehnologiji, temveč v poslovanju.

BIA razkrije, kateri poslovni procesi so za organizacijo resnično kritični, kako dolgo lahko zdržijo brez podpore informacijskih sistemov in kakšne so možne posledice, če pride do večje motnje ali izpada. Te niso le tehnične, temveč vplivajo na prihodke, stroške, regulatorno skladnost in tudi osebno odgovornost vodilnih.

Stanje je problematično tudi z vidika zahtev ZInfV-1 in NIS2, ki temeljita na konceptu tveganj in vplivov na poslovanje.

Od organizacij se ne pričakuje zgolj uvedba tehničnih ukrepov, temveč sistematično prepoznavanje kritičnih storitev, ocenjevanje tveganj glede na njihov možni vpliv ter sorazmerni varnostni in organizacijski ukrepi. Brez BIA je namreč težko utemeljiti, da so odločitve glede informacijske varnosti res osnovane na dejanskih poslovnih tveganjih in ne zgolj na subjektivnih ocenah ali izkušnjah posameznikov.

Če povemo zelo jasno: organizacija, ki nima izdelane BIA, nima določeno, kaj je zanjo kritično, česa ne sme izgubiti in kje so njene meje sprejemljivega tveganja. Zato težko trdi, da celovito obvladuje informacijska tveganja in da izpolnjuje bistvo zahtev ZInfV-1 in NIS2.

Petnajst odstotkov ni le številka. Je rdeča luč, ki bi jo morala resno vzeti vsaka uprava, vsak direktor in vsak odgovorni za informacijsko varnost.

Čeprav je podatek alarmanten, pa predstavlja tudi pomembno priložnost. BIA je eden redkih dokumentov, ki organizaciji omogoča večjo varnost in odpornost, boljšo skladnot in predvsem boljše odločitve. Prav zato bi morala postati ena prvih in ne zgolj ena od nalog na poti do zrelega upravljanja informacijskih tveganj.

Vse bistveno o BIA si lahko preberete v priročniku o upravljanju informacijskih tveganj, če pri njeni izdelavi potrebujete pomoč, pa se po želji oglasite tukaj.