13.6.07

Čiji je zadatak provjeravati sigurnosne mjere?

Svaki program upravljanja informacijskom sigurnošću biti će nekompletan (i nedjelotvoran) ako ne uključuje i redovitu provjeru ispravnosti i pridržavanja propisanih mjera. Redovita provjera (naziva se i "auditing", "assessment"...) jedna je od ključnih aktivnosti složenog procesa koji svim zaintereseranim stranama mora pružiti jamstvo o adekvatnosti i učinkovitosti sigurnosnih procesa. Nije jedini - postoje i druge aktivnosti kako kroz horizontalni tako i kroz vertikalni pogled - no svakako je najkompleksniji i s najintenzivnijim doticajima prema komplementarnim aktivnostima.

Provjera sigurnosnih mjera se kod nas najčešće percipira kroz dvije izvedbe.


Jedan oblik susrećemo preko revizija poslovnih sustava, čiji plan realizacije mora obuhvatiti i provjeru rada informacijskih sustava, te daje ocjenu o potencijalnim nedostacima koji mogu utjecati na izvedbu poslovnog sustava.
Drugi oblik susrećemo preko tzv. penetracijskih testiranja. Ova izvedba obično nije formalno pozicionirana kao poslovna revizija, a svojim je obuhvatom usmjerena prije svega na tehnički aspekt nekog dijela informacijskog sustava.

I to je, manje-više sve. No, provjera sigurnosnih mjera mora biti definirana sveobuhvatnije. Područja primjene danas su raznolikija od revizijskih aktivnosti i testiranja novih aplikacija. Pojavom regulatornih propisa, definicijom sigurnosnih standarda ili barem isticanjem smjernica o sigurnosnim mjerama, odgovornošću uprava tvrtki za djelotvornost sigurnosnog sustava i nekim drugim pokretačkim momentima, sigurnosna provjera je aktivnost za koji uprave tvrtki moraju biti i te kako zainteresirani.


Provjera sigurnosnih mjera mora krenuti od dobre definicije samih sigurnosnih mjera. One moraju biti dobro strukturirane već u fazi njihovog donošenja, propisivanja i izvedbe, a nakon toga treba se osigurati mehanizam njihove kontinuirane provjere, usporedbe s očekivanim ili prihvatljivim rezultatima, te generirati smislene indikatore koji će ukazivati na odstupanja ili će omogućiti mjerenje učinkovitosti pridržavanja sigurnosnih mjera.


Provjera sigurnosnih mjera mora biti dio nadležnosti i odgovornosti poslovne cjeline koja upravlja informacijskom sigurnošću i pri tome je veoma važno očuvati neovisnost od dijela organizacie koji operativno provodi pojedine sigurnosne mjere (čitaj, dakle, od službe informatike). Nemojte zaboraviti da provjera sigurnosnih mjera mora imati doticaj s procesom provjere i otklanjanja računalnih ranjivosti ("Vulnerability Management"), s testiranjem aplikativnih sustava u razvojnom ciklusu, s internom revizijom, s "compliance" incijativama, s upravljanjem operativnim rizicima, s forenzičkim aktivnostima...


Stoga, provjera sigurnosnih mjera mora postati dobro definiran proces koji neće biti izoliran od drugih cjelina (a naročito ne od službe informatike). Potrebno je očuvati nevisnost, vjerodostojnost i preciznost provjera, obuhvatiti organizacijske, administrativne i tehničke sigurnosne mjere, a indikatori i izvještaji moraju biti dostupni svim poslovnim cjelinama koje, svaka na svoj način, doprinose ukupnom uspjehu programa informacijske sigurnosti.