Korporativna informacijska sigurnost
Što je korporativna informacijska sigurnost?
Informacijska sigurnost je „pokretna meta“, područje koje se stalno i brzo mijenja. Danas su na sceni sustavi koji se temelje na primjeni normi serije ISO/IEC 270xx. (ISMS sustavi) Međutim, praksa nalaže njihovu postupnu transformaciju prema konceptu tzv. Information Security Governance. Za ovaj izvorni termin najčešće se koristi izvedenica Korporativna informacijska sigurnost (KIS), što na prvi pogled može zavarati, jer može asocirati na informacijsku sigurnost u velikim poslovnim sustavima. Međutim, ovaj koncept podjednako se odnosi i na male i srednje i velike poslovne sustave. Da bi se koncept korporativne informacijske sigurnosti bolje razumio važno je prepoznati razliku između upravljanja (management) i vođenja (governance). COBIT definira jasnu razliku između ova dva pojma.
Upravljanje se odnosi na svakodnevno donošenje odluka tijekom obavljanja aktivnosti unutar poslovnih procesa i operacija i temelj je rukovođenja poslovnom li organizacijskom jedinicom. Zasniva se na provedbi politika i procedura a mora osigurati da svi imaju potrebne uvjete za obavljanje svog posla. Upravljanje informacijskom sigurnošću je npr. izrada sigurnosnih kopija, provjera sistemskih zapisa, praćenje performansi sustava i ostale svakodnevne aktivnosti IT odjela. Uprava planira, ugrađuje, vodi i nadzire aktivnosti koje su usklađene sa smjernicama postavljenim od strane tijela koje vodi (npr. nadzorni odbor) a kako bi se postigli ciljevi tvrtke.
Vođenje osigurava da su potrebe, uvjeti i moguće opcije koje su postavili dionici dobro procijenjeni kako bi se odredili uravnoteženi i usuglašeni ciljevi koje tvrtka treba postići, postavlja smjernice putem određivanja prioriteta i donošenja odluka, nadzire praćenje izvedbe i usklađenosti u odnosu na utvrđene ciljeve i smjernice. Vođenje čini skup širih principa, vizija i vrijednosti koji određuju način na koji se tvrtka usmjerava.
U tom smislu, korporativna informacijska sigurnost je sustav koji čine vizija i principi na osnovu kojih se usmjeruju i kontroliraju procesi informacijske sigurnosti. Razlika između upravljanja (management) i vođenja (governance) informacijske sigurnosti je u tome što se upravljanje sastoji od strategije sigurnosti i odluka koje donosi uprava te implementiranih kontrola kojima se umanjuje rizik, dok vođenje (governance) postavlja okvir odgovornosti kojim se utvrđuje tko smije donositi odluke, uspostavlja nadzor kako bi se osiguralo da su rizici na odgovarajući način umanjeni i kontrolira da li je strategija sigurnosti u skladu s ciljevima tvrtke i usklađena s regulatornim zahtjevima.
Norma ISO 27014 opisuje vezu između dobrog vođenja i efikasnog upravljanja informacijskom sigurnošću kao što je definirano normom ISO 27001. Principi kojima se KIS-vodi su (prema ISO 27014);
- informacijska sigurnost na razini tvrtke treba biti integrirana i sveobuhvatna;
- svaka odluka treba se temeljiti na prihvaćenim politikama upravljanja rizicima;
- strategija stjecanja i investiranja u informacijsku sigurnost treba biti u skladu s poslovnim zahtjevima;
- usklađenost sa zakonskim i regulatornim zahtjevima i formalnim internim politikama;
- poticanje pozitivnog stava prema sigurnosnim mjerama među svim dionicima imajući u vidu ljudski faktor;
- primjerenost pristupa zaštiti informacijama u pogledu podrške i zaštite poslovanja;
Fokus koncepta KIS-a je na daljnjem razvoju, odgovornosti, procesa, postupaka, dokumentaciji i kompetencijama za informacijsku sigurnost, posebno sa stajališta uprava i izvršnog rukovodstva (direktori).
Svaka od navedenih sastavnica KIS- je problematika za sebe. Npr., odgovornosti u KIS-u postavljaju zahtjeve
oblikovanja i primjene procesa kojima se postiže ciklus procesa Evaluacija – Upravljanje –Nadzor – Komunikacija – Osiguranje usklađenosti između upravljačke razine poslovnog sustava i izvršnog menadžmenta.
Osnovna zadaća upravljanja informacijskim rizicima je ispuniti sigurnosne zahtjeve propisane određenom normom i usklađenim zahtjevima svih dionika tvrtke, uz određivanje prihvatljive točke odnosa između ulaganja u sigurnosne kontrole i troška u slučaju pojave sigurnosnog incidenta ili ostvarenja prijetnje.
Implementacija sustava KIS-a može biti od interesa:
- članovima uprava zaduženim za sigurnost;
- voditeljima korporativne sigurnosti;
- voditeljima informacijske sigurnosti;
- stručnjacima koji se bave informacijskom sigurnošću
- revizorima / procjeniteljima informacijske sigurnosti
- svima koje zanima područje sigurnosti i informacijske sigurnosti
Korist koju tvrtka dobiva ispravnom implementacijom sustava korporativne informacijske sigurnosti prvenstveno se ogleda u povećanju stupnja usklađenosti s regulatornim i zakonskim obvezama koje se odnose na prihvatljivu upotrebu IT-a i zaštitu informacijske imovine a to umanjuje rizik da tvrtka i odgovorne osobe budu predmet sudskog procesa i značajnih novčanih kazni. Zaštitom ključne informacijske imovine umanjuje se rizik neovlaštenog razotkrivanja informacija a samim tim smanjuju se i reputacijski rizik, rizik gubitka pozicije na tržištu, rizik kompetitivne prednosti pa i rizik financijskih gubitaka. KIS također može osigurati ravnotežu troškova ulaganja u informacijsku sigurnost i gubitaka uslijed eventualnih sigurnosnih incidenata i na taj način maksimizirati učinkovitost dijela investicijskog ciklusa tvrtke.
Kako Vam ZIH može pomoći?
Za svakog korisnika ZIH ima individualiziran pristup ovisno o njegovim potrebama. U skladu s tim organiziramo radionice s upravljačkim timovima a uz stručno vođenje naših konzultanata i primjenu referentnih svjetskih preporuka pomažemo korisnicima da uspješno uvedu principe korporativne informacijske sigurnosti i vođenja IT-a u svoje poslovanje. Konzalting usluge koje Vam možemo pružiti:
- priprema i vođenje KIS projekta;
- odabir KIS modela (ISO 27014, COBIT, SE CMM, CG);
- oblikovanje KIS poslovnih procesa za ciklus Evaluacija – Upravljanje – Nadzor – Komunikacija – Osiguranje sukladnosti
- Određivanje KIS organizacije za E – U – N – K – O ciklus
- Izrada prijedloga odgovornosti za navedeni ciklus
- Izrada prijedloga potrebnih procedura
- Sudjelovanje u implementaciji KIS rješenja u praksu
- Sudjelovanje u provjeri (auditu)
Edukacije iz navedenog područja:
- Zašto i kako upravljati sustavom korporativne informacijske sigurnosti?
- Razvoj i implementacija korporativne informacijske sigurnosti
- Interni audit korporativne informacijske sigurnosti
- Korporativna informacijska sigurnost (Information Security Governance)
Možda Vas interesiraju i ove naše usluge i edukacije:
Zašto ZIH?
ZIH ima više od 20 godina bogatog iskustva u oblikovanja suvremene organizacije sustava upravljanja informacijskom sigurnošću te pomno prati razvoj i primjenu normi koje se odnose na ovu tematiku.
