Kako lahko CIO ali CISO hitro in sistematično oceni informacijsko varnost? Plus darilo.

Skrb za informacijsko varnost v podjetju ali organizaciji pomeni veliko odgovornost.

Vodstvo in sodelavci pogosto pričakujejo hitre in učinkovite rešitve, medtem ko je vloga  CIO ali CISO dolgoročna.

Zagotoviti morda, da so poslovni procesi, tehnologija in podatki varni, skladni s predpisi ter odporni proti zunanjim in notranjim grožnjam.

Marsikatero podjetje se pri tem znajde v začaranem krogu reševanja posameznih težav(ic) in/ali odzivov na regulativne zahteve, kar je običajno predvsem gašenje požarov.

Kajti brez sistematične ocene stanja nimamo realne slika, kakšna je resnična informacijska varnost in katera tveganja so najbolj kritična.

Pri tem nam lahko pomaga hitra analiza informacijske varnosti, ki jo izvedemo v sedmih korakih:

1. Razumevanje poslovnega okolja
   Varnost mora slediti poslovnim ciljem. Najprej se seznanimo s strategijo podjetja, ključnimi procesi in regulativnimi zahtevami, kar je temelj za vsako nadaljnje odločanje.
2. Pregled organizacije in odgovornosti
   Ali obstajajo politike in postopki za informacijsko varnost? Kako so dokumentirani? Kdo je odgovoren? To je osnova za učinkovite varnostne pristope.
3. Popis procesov in informacijskih sredstev
   Popišemo ključne procese in informacijska sredstva, ki jih podpirajo – od programske in strojne opreme do podatkov in zunanjih izvajalcev. Tako pridobimo pregled, kaj moramo resnično varovati.
4. Tehnična ocena rešitev in ranljivosti
   Pregledamo obstoječe varnostne rešitve, konfiguracije in rezultate vdornih testov. To pokaže, kje so največje tehnične slabosti.
5. Analiza tveganj
   Na podlagi popisa in tehničnih ocen izdelamo analizo tveganj. Tako lažje določimo prioritete in vire usmerimo tja, kjer prinašajo največ koristi.
6. Obvladovanje incidentov
   Ali ima organizacija načrt za odziv na incidente in načrt za obnovo po katastrofi (DRP/BCP)? Preverimo pripravljenost na krizne razmere.
7. Poročilo in predlog ukrepov
   Vodstvu predstavimo povzetek ugotovitev ter predloge za kratkoročne in dolgoročne ukrepe. Dodamo še enoletni načrt razvoja varnosti, ki tehniko poveže s poslovnimi cilji.

Zakaj je to pomembno?

CIO ali CISO, ki se osredotoča samo na trenutne težave, je v nevarnosti, da mu zmanjka podpore vodstva in proračuna za izboljšave, sistematična analiza pa omogoča:

• jasen pregled, kaj je res kritično,
• boljše odločanje o vlaganjih,
• argumentirano komunikacijo z vodilnimi,
• večjo informacijsko varnost in odpornost.

Praktično orodje za CIO in CISO

Za lažjo izvedbo takšne analize smo pripravili kontrolni seznam s 35 točkami, ki omogoča sistematičen pregled ključnih področij, od organizacije in procesov do ključnih tveganj in poročanja vodstvu.

Kot darilo ga bodo prejeli vsi kupci novega priročnika o upravljanju informacijskih tveganj, ki ga bodo naročili do konca septembra.

Tako boste poleg znanja dobili tudi orodje, ki ga lahko takoj uporabite pri svojem delu.