1.     Za začetek – kako bi predstavili svojo vlogo vodje informacijske varnosti (ang. Chief information security officier ali krajše CISO) nekomu, ki se s področjem informacijske varnosti še ni srečal?

Na področju varovanja informacijske varnosti imamo več vlog. Število in delitev sta odvisni od velikosti podjetja, panoge, zrelosti in zahtev regulative ter ostalih deležnikov, kot so kupci, lokalna skupnost in podobno. Vodja informacijske varnosti ni vloga, ki bi neposredno skrbela za informacijsko varnost, ne konfigurira naprav, ni vodja odziva na informacijske varnostne incidente, ne izvaja varnostnih postopkov. Vloga vodje informacijske varnosti je v skrbi, da sistem upravljanja varovanja informacij deluje, je redno posodobljen in skladen s strategijo in cilji organizacije. Vodja informacijske varnosti mora poznavati standarde s področja varovanja informacij in neprekinjenega poslovanja, zakonodajo in ostale zahteve regulatorjev, redno mora spremljati kibernetsko okolje, tako grožnje kot tehnologijo in procese. Najbolj pomembno pa je, da mora imeti visoko osebno integriteto in odgovornost, saj se pri svojem delu srečuje z občutljivimi informacijami, katerih razkritje ali napačno odločanje na podlagi le-teh lahko pripelje do velike poslovne škode ter kršitev s področja varstva osebnih podatkov.

2.     Ob porastu kibernetskih groženj in uvedbi novih regulativ se je vloga vodje informacijske varnosti verjetno spremenila v zadnjih letih?

Vloga vodje informacijske varnosti se je spremenila predvsem v tem, da je vedno bolj dinamična, saj je, kot že samo vprašanje nakazuje, potrebno nenehno spremljati regulativo s področja informacijske varnosti, zahteve zunanjih in notranjih deležnikov ter slediti novim grožnjam s področja kibernetske varnosti. Pomembno je poznavanje varnostnih orodij, učinkovitih ukrepov, postopkov in zahtev. Vloga sama je torej enaka kot pred časom, samo mnogo več dela je zaradi nenehnih sprememb. Zaradi vedno večje odvisnosti organizacij od digitalne tehnologije in povezanosti v medmrežje je vloga vedno bolj pomembna, da ne rečem kritična.

3.     Katere so ključne naloge, ki jih opravlja CISO v podjetju na dnevni in strateški ravni?

CISO na dnevni ravni skrbi za izvajanje varnostne politike. Odgovoren je, da se postopki izvajajo, da se izvaja načrt izvajanje postopkov zagotavljanja informacijske varnosti, kot so varnostni pregledi, preverjanje, testiranje, vaje, izobraževanja, učenje iz incidentov in podobno. Skrbi za redno poročanje. Na strateški ravni skrbi, sistem upravljanja varovanja informacij usklajen s strategijo in cilji organizacije. Skrbi, da so varnostni postopki uspešni in učinkoviti, predvsem pa, da varnostna politika izhaja iz ocene tveganja. Velikokrat se zgodi, da si organizacija predpiše varnostno politiko, ki ni ustrezna in se zaradi tega ne izvaja na zadovoljiv način.

4.     Marsikatero podjetje ima napačne predstave o vlogi vodje informacijske varnosti ali informacijski varnosti nasploh. Katere zmote se najpogosteje pojavljajo v praksi?

Vodja informacijske varnosti je odgovoren za odziv na informacijske varnostne incidente. To je običajno največja zmota. Za odziv je odgovorna vloga upravljavca incidentov. CISO mora poskrbeti, da postopek poteka skladno z varnostno politiko in dobrimi praksami, da so koraki ustrezni, da je obveščanje pravilno ter da se ob koncu incidenta izvede analiza z morebitnimi ukrepi (učenje iz incidenta). Naslednja zmota je, da je vodja informacijske varnosti izvaja oceno tveganja. Oceno tveganja morajo izvajati nosilci procesov, CISO mora le poskrbeti, da je ocena izvedena in da so ukrepi, ki izhajajo iz nje, ustrezni. Kar pa se tiče same informacijske varnosti na žalost še vedno opažamo, da jo organizacije jemljejo kot obvezo in strošek, namesto da bi o njej razmišljali kot možnosti za uspešno delo ter konkurenčno prednost. Če si dovolim primerjavo, organizacija dobro ve, kakšna delovne stroje potrebuje v analognem svetu, kakšne varnostne zahteve ima posamezen stroj v proizvodnji in tudi zakaj so na njem nameščene varnostne naprave, kako pravilno upravljati stroj in kako stroj servisirati oziroma vzdrževati. Ko pa preidemo v digitalni svet, so vsi varnostni mehanizmi (dolga gesla, omejen dostop do interneta, prepoved nameščanja nedovoljene programske opreme…) samo nepotrebna navlaka, ki otežuje delo.

5.     Menite, da je pomembno, da ima podjetje – ne glede na velikost – jasno opredeljeno strategijo informacijske varnosti?

Vsaka organizacija se mora zavedati, kateri njeni viri so kritični. In te vire je potrebno varovati. Varnostna politika mora izhajati iz ocene tveganja, mora biti primerna za organizacijo, mora biti merjena , redno preverjana in posodabljana. Velikokrat se manjše organizacije ustrašijo ali mislijo, da je informacijska varnost pomembna le za velike organizacije, a temu ni tako. Včasih je majhna organizacija delovala v analognem svetu in je lahko informacijsko varnost omejila le na fizično varnost ter ozaveščanje zaposlenih, danes pa praktično ni organizacije, ki ne bi bila povezana v splet in imela kritičnih podatkov hranjenih v digitalni obliki. Seveda pa so zahteve velikih in manjših organizacij različne, zato je pomembno, da je varnostna politika, kot sem že omenil, primerna in prirejena za vsako organizacijo posebej.
 

6.     Veliko podjetij si ne more privoščiti internega vodje informacijske varnosti. Kako jim lahko koristi model »CISO as a Service«?

Vlogo internega vodje informacijske varnosti je velikokrat težko zagotoviti znotraj organizacije. Prva težava je, da je CISO nadzorna funkcija in ni veliko organizacij, kjer bi bila ta vloga dovolj za polno zaposlitev. Takrat organizacije dajo zaposlenemu poleg te funkcije še kakšno izvedbeno funkcijo, tu pa pridemo do konflikta interesov, saj oseba v tem primeru nadzira samo sebe. Druga težava je poglobljeno poznavanje področij skladnosti, regulative in tehnologije.  CISO as a Service organizaciji omogoči natančno, strokovno, časovno opredeljeno in nadgrajevano vlogo CISO. Ni potrebno skrbeti za razpoložljivost (dopusti bolniške odsotnosti), strokovnost (izobraževanja), ozaveščenost (izmenjava varnostnih informacij) in neodvisnost. Poleg tega vloga CISOaaS prinaša dobre prakse iz drugih okolij.

7.     Mnoge organizacije si težko privoščijo stalno zaposlitev CISO. Kdaj postane zunanja rešitev ne le smiselna, temveč nujna?

Če organizacija nima opredeljene vloge vodje informacijske varnosti je potrebno nemudoma razmisliti o vpeljavi te vloge. CISOaaS je najhitrejši in najbolj učinkovit način vpeljave vloge, še posebej danes, ko je težko najti ustrezno usposobljene kadre.

8.     Učinki vpeljave CISO storitev se pogosto pokažejo hitro. Ste naleteli na primer, kjer je sodelovanje z vodjo informacijske varnosti konkretno izboljšalo delovanje organizacije in njeno varnostno kulturo?

Naše izkušnje v organizacijah, kjer izvajamo storitev vodje informacijske varnosti so pozitivne. Običajno najprej izvedemo oceno tveganja, saj na njeni podlagi lahko začnemo razumevati organizacijo, Nato sledi posodobitev varnostnih politik in postopkov. Hkrati začnemo s programom izobraževanja in ozaveščanja. Hitro opazimo, da se varnostna kultura organizacije dvigne, da zaposleni razumejo, kaj je kibernetska higiena, zakaj so vpeljane posamezne kontrole ter jih začnejo izvajati. Oddelek informacijske tehnologije ima lažjo pot za zagotovitev varnostnih kontrol. Vse skupaj pomeni, da je organizacija varnejša, saj posamezniki vedo, kaj in kako ravnati z informacijami, vedo, kaj so informacijski varnostni dogodki in kaj je kibernetska higiena. Pozitiven stranski učinek pa je tudi dvig zavedanja zaposlenih o informacijski varnosti v zasebnem življenju.
 

9.     Varnostne teme pogosto ostanejo na ravni IT oddelka. Kako lahko CISO pomaga vodstvu podjetja razumeti varnostna tveganja in jih vključiti v poslovne odločitve?

CISO je odgovoren, da sta strategija podjetja in sistem upravljanja informacijske varnosti usklajena. Postopek je dvosmeren. CISO poroča vodstvu podjetja in predlaga varnostne ukrepe. Ravno tako sodeluje pri poslovnih odločitvah, saj je njegova naloga, da preuči in predstavi vidik informacijske varnosti. Ključno je, da ima CISO ustrezna pooblastila in odgovornosti, saj le na ta način lahko aktivno in ustrezno prispeva k omenjeni usklajenosti.

10.  Če bi danes nagovorili podjetje, ki misli, da ni zanimiva tarča napadov – kaj bi jim bilo vredno povedati?

Kibernetski napadi se nenehno dogajajo. Sproženi so lahko od koderkoli. Razmišljanje, da se nam to ne more zgoditi, je nesmiselno. Večino napadov ustrezno nameščene varnostne naprave (požarni zidovi, protivirusna oprema…) uspešno odbijejo. Ne pa vseh. Vsi smo že bili napadeni, bolje rečeno, nas ves čas napadajo. Podatki sicer niso najbolj natančni, ampak dejstvo je, da poteče med 5 do 15 minut med priključitvijo  nove naprave v internet in začetkom skeniranje nepridipravov. Napadov ne moremo preprečiti, lahko samo omejimo njihovo uspešnost in poskrbimo za ustrezen odziv. Potrebujemo ukrepe za preprečevanje, zaznavo in zajezitev kibernetskih varnostnih incidentov. Vloga vodje informacijske varnosti zna določiti pravilno kombinacijo le-teh.

Intervju je bil objavljen na spletnem portalu Finance.si in je dostopen na povezavi: https://www.finance.si/kibernetska-varnost/intervju-kibernetske-groznje-ne-cakajo-kdo-bedi-nad-njimi/a/9036885