Сравни {{ $root.cart.data.compare_items_count }}

 

Как да създадете ефективни политики за сигурност

 

Повечето политики за сигурност се провалят по една проста причина: създадени са, за да удовлетворят одит, а не да ръководят реален бизнес. Ако търсите как да изградите политики за сигурност, започнете именно оттук. Политиката не е PDF файл в споделена папка. Тя е управленско решение, записано в писмен вид, което казва на хората какво е важно, какво се изисква и кой носи отговорност, когато възникне риск.

Това разграничение е по-важно, отколкото повечето компании осъзнават. Ръководителите често одобряват политики едва когато клиент поиска такива, настъпи краен срок за съответствие или инцидент разкрие слабост. Дотогава организацията просто реагира. Добрата политика изпреварва този цикъл. Тя дава на бизнеса последователен начин да взема решения, свързани със сигурността, още преди следващото изключение, проблем с доставчик, фишинг атака или въпрос от регулатор се озове на нечие бюро.

Как да изградите политики за сигурност от гледна точка на бизнес риска

Най-бързият начин да създадете лоша политика е да започнете с шаблон и да работите „назад“. Шаблоните могат да помогнат със структурата, но те не разбират вашия модел на приходи, регулаторния ви риск, рисковете, свързани с трети страни, или реалността на вътрешните ви операции. Разработването на политики трябва да започне от самия бизнес.

Започнете с идентифициране на това, което организацията ви се стреми да защити. За някои компании приоритет са данните на клиентите и доверието. За други това е непрекъсваемостта на услугите, интелектуалната собственост, платежните системи или регулираните процеси. Един производител ще мисли различно от SaaS компания. Доставчик на здравни услуги ще бъде подложен на различен натиск от гледна точка на политиките в сравнение с логистична фирма. Основното е просто: политиката трябва да отразява реалния риск, а не общи формулировки за киберсигурност.

Това означава, че ръководството трябва да дефинира своята позиция спрямо риска. Стремите ли се да покриете минималните изисквания за съответствие, или оперирате в среда, където устойчивостта и по-строгият контрол са стратегическа необходимост? Това са различни оперативни модели. Ако наборът ви от политики не отразява този избор, екипите ще запълнят празнините с предположения — а именно там започват пропуските в контрола.

Първо политика, после стандарти, накрая процедури

Една от най-често срещаните грешки при изграждането на политики за сигурност е смесването на различните нива на управление. Ръководството одобрява политиките. Мениджърите и техническите екипи внедряват стандартите. Оперативните екипи следват процедурите. Когато тези слоеве се размият, политиките стават твърде технически, за да управляват ефективно, и твърде неясни, за да бъдат прилагани.

Една силна политика за сигурност трябва ясно да изразява намерението и очакванията с разбираем, бизнес ориентиран език. Тя трябва да дефинира обхвата, да определя отговорностите и да задава задължителни изисквания. Например, една политика може да изисква многофакторна автентикация за определени системи, формални прегледи на достъпа, сигурно обработване на чувствителни данни и срокове за докладване на инциденти. Тя не трябва да прилича на ръководство за конфигуриране на защитна стена.

Стандартите стоят под политиката и определят как изглежда съответстващото на изискванията внедряване. Процедурите обясняват как екипите прилагат това в ежедневната си работа. Когато тези нива са ясно разграничени, управлението става значително по-лесно.

Основните политики, от които повечето организации действително се нуждаят

Ако решавате как да изградите политики за сигурност в развиваща се компания, устойте на изкушението да създадете двадесет документа наведнъж. Започнете с малкото на брой политики, които осигуряват най-голям контрол върху бизнес риска.

Повечето организации се нуждаят от политика за информационна сигурност като основен, обобщаващ документ. Тя представлява рамката на управлението на сигурността, намеренията на ръководството, отговорностите и общите очаквания за контрол. Под нея, като практическа основа, обикновено идват политики за контрол на достъпа, допустима употреба, класификация и обработка на данни, реакция при инциденти, управление на риска от трети страни, управление на активите, управление на уязвимости, архивиране и възстановяване, както и информираност по сигурността.

Дали ще са ви необходими и политики за мобилни устройства, отдалечен достъп, криптиране, управление на промени или сигурна разработка зависи от вашата среда. Една софтуерна компания, базирана в облака, може да се нуждае по-рано от по-формализирани политики за разработка и логване. Фирма за професионални услуги може първо да има нужда от по-стриктни политики, свързани с трети страни и крайните устройства. Правилният набор не се определя от количеството, а от покритието на съществения риск.

Кой трябва да отговаря за процеса по създаване на политики

Политиките за сигурност без ангажимент на ниво ръководство се превръщат в препоръки. Политиките за сигурност без участие на оперативните екипи се превръщат в фикция. Нужни са и двете.

Старши ръководител трябва да бъде спонсор на програмата за политики. Това може да бъде CISO, vCISO, CIO, COO или друг отговорен изпълнителен директор, в зависимост от структурата на компанията. Неговата роля не е да пише всяко изречение. Неговата роля е да установи авторитет, да съгласува политиките с бизнес целите и да гарантира, че те се одобряват и прилагат.

След това включете хората, които разбират как в действителност се върши работата. ИТ, правен отдел, човешки ресурси, комплайънс, операции, инженеринг и ръководители на бизнес звена – всички те влияят върху това дали една политика е реалистична. Именно тук се проявяват компромисите. Строга политика за достъп може да подобри контрола, но да забави процесите по поддръжка. Стриктна политика за включване на доставчици може да намали риска от трети страни, но да създаде затруднения при поръчките. Тези напрежения са нормални. Добрият дизайн на политики ги адресира директно, вместо да се преструва, че не съществуват.

Как да изградите политики за сигурност, които служителите ще спазват

Ако политиката ви звучи като юридически шаблон, повечето служители ще я игнорират, докато не бъдат принудени да я подпишат. Това е провал на управлението, а не на вниманието.

Пишете за читателя. Обяснете какво обхваща политиката, защо съществува, за кого се отнася и какво се изисква. Използвайте ясен и директен език. Заменете неясни формулировки като „подходящи мерки за сигурност“ с конкретни изисквания. Ако бизнесът изисква криптирано съхранение на чувствителни данни, кажете го ясно. Ако инцидентите трябва да се докладват в определен срок, уточнете го. Неяснотата води до непоследователно поведение, а непоследователното поведение създава риск.

Яснотата означава и да се дефинират ролите. Кой одобрява изключения? Кой преглежда достъпите? Кой отговаря за оценките на доставчици? Кой актуализира политиката? Документ без ясно определена отговорност е просто намерение.

Необходим е и процес за изключения. Не всеки контрол е приложим за всяка система или процес. Зрялото управление не се преструва, че изключения не съществуват. То създава документиран процес за тяхното заявяване, преглед, одобрение и последващ контрол. Това защитава бизнеса от неофициални решения и държи риска видим за ръководството.

Одобрение, комуникация и прилагане

Проектът не е политика. Одобрението е това, което я превръща в инструмент за управление.

Това одобрение трябва да бъде формално и проследимо. Организацията се нуждае от контрол на версиите, ясно определена отговорност, дати на одобрение, цикли на преглед и доказателство, че ръководството е дало своето съгласие. Това е важно както за вътрешната дисциплина, така и за външния контрол от страна на клиенти, одитори, застрахователи или регулатори.

Комуникацията е също толкова важна. Служителите не трябва да „откриват“ политиките само по време на годишното обучение по информираност. Мениджърите трябва да разбират политиките, които засягат техните екипи. Новоназначените служители трябва да се запознават с ключовите изисквания още в началото. Техническите екипи трябва да знаят кои стандарти подкрепят политиката. Ако организацията въведе ново изискване, трябва да обясни защо се прави промяната и какви действия се очакват.

Прилагането е мястото, където много компании започват да се чувстват некомфортно. Но политика без последствия не е политика. Прилагането не трябва непременно да бъде наказателно. То може да започне с обучения, допълнителни разяснения и коригиране на работните процеси. Въпреки това, при повтарящи се или сериозни нарушения трябва да има ясно дефинирана реакция. В противен случай организацията учи служителите си, че политиките са по желание.

Циклите на преглед трябва да следват промените, не само календара

Годишните прегледи са често срещани, но сами по себе си не са достатъчни. Политиките трябва да се преглеждат и когато бизнесът се променя по начини, които влияят върху риска. Това включва придобивания, нови продуктови линии, миграции към облака, значителни промени при доставчици, регулаторни промени или съществени инциденти.

Именно тук много компании надрастват неформалното управление на политики. С увеличаването на сложността на средата, поддържането на политики се превръща в постоянна функция на ръководството. Това изисква дисциплина в управлението, координация между заинтересованите страни и ясна връзка между записаните изисквания и реалните контроли. Именно поради това организациите се обръщат към услуги като CISOLead, когато им е необходима структура, без да изграждат вътрешен екип за сигурност на изпълнително ниво.

Ключът е да се възприема политиката като жива част от управлението. Ако написаното в политиката казва едно, а инструментите, процесите и хората правят друго, документът вече е остарял.

Как да измерите дали вашите политики работят

Една програма за политики трябва да променя поведението. Ако не го прави, тя е просто административна тежест.

Търсете доказателства в показатели като завършени прегледи на достъпа, скорост на докладване на инциденти, обем на изключенията, докладване на фишинг атаки, обхват на оценките на трети страни, как се управляват уязвимостите и резултатите от одити. Поотделно тези измерители не са съвършени, но заедно показват дали политиките влияят върху решенията и ежедневните операции.

Задайте си и по-прост въпрос: могат ли мениджърите да обяснят какво изисква политиката, без да я четат дума по дума? Ако не, вероятно тя е твърде абстрактна, твърде сложна или твърде откъсната от ежедневната работа.

Лидерството в областта на сигурността не се изразява в създаване на повече документи. То означава да се направят решенията, свързани с риска, достатъчно ясни, за да може бизнесът да действа уверено. Създавайте политики, които отразяват начина, по който работи компанията ви, къде са реалните ви рискове и какво ръководството е готово да прилага. Така политиките стават полезни — а не просто формално съответстващи.

 

  АДВАНСД ВИЖЪН ИТ - МАЛТА       

Адрес: Suite 8, Ta’ Mallia Buildings, Triq In‑Negozju, Zone 3, Central Business District, Birkirkara, CBD 3010, Malta
Регистрационен номер: C111282, ДДС Номер: MT31713827
Телефон:+356 79224404
Имейл: office@advisionit.com 
 
  ADVANCED VISION IT - БЪЛГАРИЯ      

Адрес: БЪЛГАРИЯ, гр. София, р-н Лозенец, ул. Димитър Хаджикоцев, 35 вх. А
ЕИК: 205789039, ДДС No: BG205789039
Телефон: +359 888 258 530
Имейл:  office@advisionit.com