Upravljalski ukrepi za obvladovanje tveganj v okviru NIS2
Kibernetski napadalci se hitro učijo in uvajajo inovacije, kar dokazujejo vse bolj sofisticirani in pogosti kibernetski napadi. Na potezi so tudi regulatorji in zakonodajalci, zato se bodo podjetja soočala z vse večjim regulativnim bremenom.
V tem kontekstu je morda najpomembnejša prihajajoča direktiva EU NIS2 (polno ime "Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v vsej Uniji"): zdaj se izvaja v državah članicah EU in pričakuje se, da se bo izvajala najkasneje od oktobra 2024. Elementi direktive bodo vplivali tudi na zakonodajo v sosednjih državah, ki morda (še) niso v EU.
NIS2 več kot potroji število prizadetih sektorjev in vrst subjektov v primerjavi s trenutno ureditvijo NIS, s čimer vključuje velik del nacionalnega gospodarstva. Uvaja tudi korporativno odgovornost, obveznosti poročanja ter najpomembnejše ukrepe in ocene obvladovanja tveganj.
NIS2 je jasen glede teh ukrepov in ima širši obseg v primerjavi s staro direktivo. Medtem ko se bo v prihodnjih mesecih pojavilo več pojasnil glede teh ukrepov, je koristno, da jih upoštevate:
Upravljanje s tveganji: opredeliti notranja pravila in smernice za analizo tveganj in varnost informacijskega sistema. Vključuje proces upravljanja varnostnih incidentov in okvir upravljanja tveganj. Določite vloge, odgovornosti in postopke za prepoznavanje, ocenjevanje in zmanjševanje tveganj.
Obravnavanje incidentov – Okrepite svojo obrambo: Učinkovito obravnavanje incidentov je ključnega pomena v današnjem okolju kibernetskih groženj. NIS2 poudarja potrebo po robustnih načrtih za odzivanje na incidente za zmanjšanje škode in zagotovitev hitre obnove.
Neprekinjeno poslovanje – pripravite se na nepričakovano : uvedite zanesljive rešitve za varnostno kopiranje in obnovitev po katastrofi . Zagotovite, da so vaši kritični podatki zaščiteni in jih je mogoče v primeru incidenta obnoviti. To vključuje načrt za obravnavo varnostnih incidentov in krizno upravljanje.
Bodite pozorni na dobavno verigo: nenehno dokumentirajte svoje dobavitelje IT in ponudnike IT storitev. Ocenite jih tako, da jih poglobljeno analizirate, z uporabo storitev ocenjevanja varnosti, varnostnih certifikatov, varnostnih revizij in drugih tehnik za zmanjševanje tveganja. Odpravite svoje pogodbene, operativne ali tehnične šibke točke.
Varnost pri nakupu na prvem mestu : pri nakupu, razvoju ali vzdrževanju informacijskega sistema vedno imejte v mislih njegovo varnost. Osredotočite se predvsem na proces ravnanja s šibkimi točkami.
Pregled učinkovitosti: redno ocenjevanje učinkovitosti ukrepov za obvladovanje tveganja kibernetske varnosti. Določite postopek in politiko o tem, kako ocenjujete nova tveganja in kako učinkoviti so obstoječi ukrepi.
Usposabljanje o kibernetski varnosti: izvajajte osnovne prakse kibernetske higiene in usposabljanje za ozaveščanje o varnosti. Dobro obveščena delovna sila je prva obrambna linija pred kibernetskimi grožnjami. Opremite svoje zaposlene z znanjem in veščinami za učinkovito prepoznavanje in odzivanje na potencialna varnostna tveganja .
Uporaba šifriranja: Določite politike in postopke v zvezi z uporabo šifriranja in šifriranja. Upoštevajte transport in šifriranje podatkov v mirovanju skupaj z nadzorom dostopa. Ali varujejo vaše podatke in sredstva v primeru nepooblaščenega dostopa?
Nadzor dostopa in upravljanje sredstev: Nadzor dostopa do vaših kritičnih sistemov in sredstev je najpomembnejši za preprečevanje nepooblaščenega dostopa in kršitev podatkov. NIS2 poudarja potrebo po robustnih mehanizmih nadzora dostopa v kombinaciji s celovitimi praksami upravljanja sredstev .
Varna avtentikacija in komunikacija : uporabljajte večfaktorsko avtentikacijo (MFA) čim širše. Zaščitite glasovne, video, besedilne in nujne komunikacije znotraj organizacije.
