Daugeliui įmonių Nacionalinio kibernetinio saugumo įstatymo ir NIS2 (angl. Network and Information Security Directive 2) direktyvos reikalavimai jau nebėra vien teorinis klausimas. Vis dažniau tai tampa labai praktiniu darbu: esamos situacijos supratimu, rizikų vertinimu, atsakomybių paskirstymu, dokumentacijos tvarkymu ir procesų, veikiančių kasdienėje veikloje, diegimu.
„Primend“ internetiniame seminare „Nacionalinio kibernetinio saugumo įstatymo įgyvendinimas: praktinė patirtis ir iššūkiai“ aptarėme, su kokiais iššūkiais šiuo metu susiduria įmonės, kokios klaidos dažniausiai kartojasi praktikoje ir nuo ko verta pradėti, kad kibernetinio saugumo valdymas netaptų vien formaliu reikalavimų vykdymu.
Atitiktis nėra vienkartinis projektas
Viena svarbiausių seminaro išvadų yra paprasta: Nacionalinio kibernetinio saugumo įstatymo ir NIS2 reikalavimų įgyvendinimas nėra projektas, turintis aiškią pradžią ir pabaigą. Tai nuolatinis kibernetinio saugumo valdymo procesas, kuris turi tapti kasdienės įmonės veiklos dalimi.
Galima parengti dokumentus, paskirti atsakingą asmenį ir įsigyti techninius sprendimus, tačiau vien to nepakanka. Jei procesai nėra reguliariai peržiūrimi, rizikos nevertinamos, o darbuotojai nesupranta savo vaidmens, atitiktis lieka tik popieriuje.
Kibernetinis saugumas turi būti gyvas procesas. Jis turi padėti įmonei suprasti, kur slypi didžiausios rizikos, kokius išteklius būtina apsaugoti ir kaip reaguoti į incidentą jam įvykus.
Vadovybės įsitraukimas yra būtinas
Kibernetinis saugumas negali būti vien IT specialistų atsakomybė. Jis tiesiogiai veikia veiklos tęstinumą, reputaciją, klientų pasitikėjimą, santykius su partneriais ir įmonės gebėjimą vykdyti savo įsipareigojimus net krizės metu.
Praktika rodo, kad įmonės, kurių vadovai aktyviai dalyvauja kibernetinio saugumo valdyme ir remia šias iniciatyvas, reikalavimų įgyvendinimo procesą įveikia kur kas sklandžiau. Vadovybės įsitraukimas padeda priimti sprendimus dėl resursų, prioritetų ir rizikų mažinimo.
Tuo tarpu kai kibernetinis saugumas vertinamas tik kaip techninis IT klausimas, procesas dažnai apsiriboja dokumentų parengimu ar pavienių technologinių sprendimų įsigijimu. Tai gali sukurti klaidingą įspūdį, kad reikalavimai įvykdyti, nors realus įmonės pasirengimas incidentams išlieka nepakankamas.
Pirmasis žingsnis – įvertinti esamą situaciją
Prieš renkantis naujas technologijas ar pradedant kurti įmonės politiką šiuo klausimu, įmonei svarbu suprasti, kur ji yra šiandien. Tai reiškia IT aplinkos, sistemų, prieigos teisių, duomenų, tiekėjų, esamų procesų ir galimų rizikų peržiūrą.
Savęs įsivertinimas ir rizikų vertinimas padeda nustatyti prioritetus. Ne visas rizikas galima sumažinti iš karto, todėl svarbu suprasti, kurios jų yra reikšmingiausios konkrečiai įmonei ir kur būtini greitesni veiksmai.
Šiame etape svarbu nepirkti technologijų vien todėl, kad jos atrodo reikalingos. Technologiniai sprendimai gali būti labai naudingi, tačiau jie turi padėti valdyti aiškiai įvardytas rizikas ir palaikyti apibrėžtus procesus, o ne pakeisti jų supratimą.
Vien dokumentai rizikų nesumažina
Kibernetinio saugumo politikos, rizikų registrai, reagavimo į incidentus planai, atsarginių kopijų procedūros ir kiti dokumentai yra svarbūs. Tačiau jie vertę kuria tik tuomet, kai atspindi realią įmonės situaciją.
Viena dažniausių klaidų – dokumentų rengimas vien dėl formalios atitikties. Jei politika yra pernelyg ilga, sudėtinga arba neatitinka kasdienių procesų, darbuotojai ja nesinaudos, o vadovybė negaus praktinės naudos.
Geras dokumentas padeda aiškiai apibrėžti:
- kas už ką atsakingas įmonėje;
- kaip valdomos prieigos teisės;
- kaip identifikuojami ir registruojami incidentai;
- kaip kuriamos ir testuojamos atsarginės kopijos;
- kaip vertinamos tiekėjų ir išorinių paslaugų teikėjų rizikos;
- kokie įrodymai reikalingi siekiant parodyti, kad reikalavimai praktikoje yra vykdomi.
Dokumentacija turi būti aiški, praktiškai naudojama ir reguliariai atnaujinama.
Pasirengimas turi būti sukurtas dar prieš įvykstant incidentams
Dar viena svarbi tema – pasirengimas incidentams. Įmonės turi ne tik aprašyti, kaip reaguotų į incidentą, bet ir praktiškai išbandyti tą pasirengimą.
Tai reiškia reguliariai testuoti atsargines kopijas, peržiūrėti verslo tęstinumo planą, įvertinti prieigos teises, mokyti darbuotojus ir užtikrinti, kad incidentų registravimo ir ataskaitų teikimo procesas iš tikrųjų veiktų.
Svarbų vaidmenį atlieka ir tiekėjai bei išoriniai paslaugų teikėjai. Daugelis įmonių priklauso nuo partnerių, sistemų ir paslaugų, kurių įmonė tiesiogiai nekontroliuoja. Todėl tiekimo grandinės rizikų vertinimas ir saugumo reikalavimų numatymas sutartyse yra neatsiejama kibernetinio saugumo valdymo dalis.
Nuo ko pradėti?
Įmonėms, kurios tik pradeda įgyvendinti Nacionalinio kibernetinio saugumo įstatymo ir NIS2 reikalavimus arba nori suprasti savo pasirengimo lygį, rekomenduojama judėti etapais:
- Išsiaiškinti, ar ir kokia apimtimi reikalavimai taikomi įmonei.
- Įvertinti esamą situaciją.
- Identifikuoti svarbiausias sistemas, procesus, duomenis ir tiekėjus.
- Įvertinti kibernetines rizikas ir nustatyti prioritetus.
- Apibrėžti atsakomybes ir paskirti už kibernetinį saugumą atsakingą asmenį.
- Sutvarkyti dokumentaciją taip, kad ji atspindėtų realius procesus.
- Įdiegti kontrolės priemones, organizuoti mokymus ir reguliariai atlikti testavimus.
Atitikties tikslas – ne tik atitikti reikalavimus. Tikroji jos vertė slypi gebėjime geriau valdyti kibernetinę riziką, sumažinti incidentų poveikį ir sukurti saugesnes bei atsparesnes verslo operacijas.
Jei norite suprasti, kokioje situacijoje šiuo metu yra jūsų įmonė ir kokie turėtų būti tolesni praktiniai žingsniai, užsiregistruokite įvadinei kibernetinio saugumo konsultacijai su „Primend“. Mes galime padėti įvertinti situaciją, apibrėžti prioritetus ir aiškiau išdėstyti atitikties procesą.