Kaj nas lahko skrbi pri inšpekcijskem pregledu informacijske varnosti?

Uvajanje zahtev evropske direktive NIS2 in Zakona o informacijski varnosti (ZInfV-1) prinaša zavezancem nove obveznosti. Zato so vse zahtevnejši tudi inšpekcijski pregledi, ki jih izvaja Urad Vlade Republike Slovenije za informacijsko varnost (URSIV). Njihov namen ni zgolj formalno preverjanje, temveč predvsem ocena, ali organizacije dejansko obvladujejo informacijska tveganja.

Na podlagi gradiva o kibernetski varnosti, ki ga je Urad objavil v začetku letošnjega leta, lahko ugotovimo, da so najbolj pogoste naslednje nepravilnosti in pomanjkljivosti:  

• Manjkajoča ali pomanjkljiva dokumentacija – predpisani dokumenti niso izdelani ali ne odražajo dejanskega stanja.
• Neizdelan ali nepopoln popis informacijskih sredstev – analize tveganj brez popisa so pavšalne in neuporabne.
• Neizdelan ali nepopoln popis poslovnih procesov – brez tega ni mogoče upravljati neprekinjenega poslovanja.
• Manjkajoča BIA analiza – politike/načrti neprekinjenega poslovanja so zato pomanjkljivi.
• Neustrezna sekundarna lokacija – pri storitvah z visoko razpoložljivostjo ni zagotovljene rezerve.
• Neopredeljene varnostne zahteve za ključne dobavitelje – manjkajo standardi za varnost dobavne verige.
• Neizvajanje testov postopkov za izredne dogodke – postopki ne obstajajo ali pa so zgolj popisani, v praksi pa niso preverjeni.
• Neredne posodobitve informacijskih sistemov – povečano tveganje zaradi znanih ranljivosti.
• Manjkajoči ali prekratko hranjeni dnevniški zapisi – logi ključnih sistemov se pogosto ne hranijo ali premalo časa.
• Nezanesljive varnostne kopije – ne preverja se njihova dejanska uporabnost za obnovo podatkov.
• Neopredeljen ključni kader v podpornih procesih – pomanjkljiva dosegljivost ob izrednih dogodkih.
• Nezadostno izobraževanje zaposlenih – zaposleni niso dovolj ozaveščeni o kibernetskih tveganjih.
• Nezadostno usposabljanje IT kadra in pomanjkanje nadzora nad zunanjimi ponudniki – brez znanja in nadzora tveganja dobavne verige niso obvladovana.

Pregled informacijske varnosti je pomemben pokazatelj, kako učinkovito organizacija obvladuje tveganja. Obstoj politik in pravilnikov namreč še ne pomeni, da zavezanci zagotavljajo ustrezno varnost in odpornost.  Zato inšpektorji zahtevajo tudi dokaze o izvajanju, od analiz tveganj in varnostnih kopij do usposabljanja zaposlenih in evidentiranja incidentov.

Priprava na nadzor se v urejenih organizacijah ne začne teden dni prej, temveč je rezultat sistematičnega, vsakodnevnega dela.

Kajti organizacije, ki vzpostavijo kulturo varnosti in razumejo ključno vlogo vodstva, bodo preglede prestale brez težav in so dejansko bolj odporne na kibernetske grožnje.

Če vas zanimajo učinkovite rešitve za večino od navedenih pomanjkljivosti, pa si priskrbite novi priročnik o upravljanju informacijskih tveganj.