Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. V

System zarządzania bezpieczeństwem informacji – Ocena wyników

Jak wspomniałem przy okazji poprzedniego wpisu z naszego poradnika, mamy trzy możliwości oceny SZBI: mierzenie / monitorowanie, audyt wewnętrzny, przegląd zarządzania. Używam słowa możliwości, ponieważ nie każda organizacja w swoich politykach bezpieczeństwa (niepowiązanych z ISO) będzie używała wszystkich trzech metod. Najczęściej spotykaną jest audyt wewnętrzny. Patrząc pod kątem certyfikacji nie mamy możliwości pominąć, żadnej z nich. Tak na prawdę jest to system naczyń połączonych, w których wyjście z jednej metody stanowi wejście do kolejnej. Gdy wybieramy zabezpieczenie dla postępowania z ryzykiem, powinniśmy od razu pomyśleć o tym w jaki sposób zmierzyć czy zabezpieczenie się sprawdza. Żeby mierniki były skuteczne a właściwie wnioski jakie z nich wyciągniemy były miarodajne audyt wewnętrzny powinien badać je odpowiednio często. Na tej podstawie podczas przeglądu zarządzania będziemy mieli pełniejszy obraz sytuacji w jakiej kondycji znajduje się nasz system zarządzania bezpieczeństwem informacji.

Mierzenie / monitorowanie

W tym podejściu skupiamy się na aspektach: co?, kiedy?, kto?. A dokładnie co powinniśmy mierzyć lub monitorować, kiedy mierzyć lub monitorować, analizować i oceniać oraz kto ma wykonywać wymienione czynności. Musimy pamiętać o tym, że wybierając sposób pomiaru musimy zapewnić, aby wyniki były porównywalne i powtarzalne. Jaka jest różnica pomiędzy monitorowaniem a mierzeniem? Po pierwsze monitorowanie to proces stały a mierzenie odbywa się doraźnie. Po drugie, monitorowanie daje nam odpowiedź o stanie systemu, procesu lub działania a mierzenie, oprócz statusu, pozwala poznać ich wartość i trend. Monitorowanie to odpowiedź na pytanie „tak czy nie?”, mierzenie na pytanie „10% czy 90%?”. Oczywiście nie ma żadnego przeciwwskazania aby stosować kombinację tych technik.

Co mierzyć lub monitorować? Ot choćby szkolenia pracowników. Monitorować będziemy czy w przeszkoliliśmy zakładaną liczbę osób, natomiast mierzyć poziom zaliczeń z testów wiedzy. Kiedy monitorować, mierzyć, analizować i oceniać? To pytanie bardziej skomplikowane i zależy od ilości mierników, kolekcjonowanych danych, potrzeb organizacyjnych i wyników audytów lub przeglądów zarządzania. Aby przeprowadzić rzetelną analizę potrzebujemy zgromadzić wystarczająco dużo materiału do wyciągnięcia prawidłowych wniosków. Im większa próba tym mniej wyników false/positive. Kto powinien wykonywać te wszystkie działania? Tak na prawdę możemy wyróżnić klika ról. Od osoby, która przygotuje dla nas miernik, poprzez osobę odpowiedzialną za weryfikację poprawności danych i ich analizę, do kogoś kto powiadomi najwyższe kierownictwo. Jeżeli w przykładzie, szkolenia przeprowadza IOD to odpowiada on za gromadzenie danych. Lub w szkolenia zaangażowany jest HR to odpowiada on za analizę czy potrzebujemy dodatkowych szkoleń. Jeżeli wiedza o szkoleniach potrzebna jest najwyższemu kierownictwu, to wybrana osoba z zarządu pełni rolę odbiorcy / klienta miernika.

Audyt wewnętrzny

Pamiętajcie, audyt to nie kontrola! Organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu. Tak mówi norma i nie wskazuje na jakikolwiek konkretny przedział czasowy. W dobrych praktykach utarło się aby przeprowadzać takie działania minimum raz w roku. Pytanie czy chcemy poprzestać na dobrych praktykach czy pójść o krok dalej. Na pewno powinniśmy przeprowadzić audyt dodatkowy, przy wykazaniu niezgodności. Jeżeli nasze polityki nie obejmują części związanej z monitorowaniem i mierzeniem to zdecydowanie polecam wykonać audyt częściej niż wskazują dobre praktyki. W tym celu powinniśmy stworzyć program audytów, który uwzględnia częstotliwość, metody, odpowiedzialność za działania audytowe. W pierwszej kolejności powinniśmy skoncentrować się na procesach, politykach lub procedurach, które mają znaczenie krytyczne dla działalności. Metody mogą obejmować wywiad, obserwacje, przegląd dokumentacji lub kombinację tych czynności. Odpowiedzialność obejmuje stworzenie programu audytu, wyznaczenie audytora wiodącego i członków zespołu audytowego oraz przedstawianie wyników audytów członkom kierownictwa.

Przegląd zarządzania

Podobnie jak w przypadku audytu, dobre praktyki mówią, aby przegląd zarządzania przeprowadzić minimum raz w roku. Oczywiście zależnie od typu działalności i jej specyfiki lub potrzeb organizacyjnych, taki przegląd może odbywać się częściej. Pod warunkiem, że mamy odpowiednie informacje do przeprowadzenia takiego spotkania. Te informacje możemy pozyskać z takich źródeł jak mierniki i audyty. Tak jak wspominałem, system naczyń połączonych. Ale nie tylko, podczas przeglądu zarządzania powinniśmy prześledzić:

  • stan działań wynikających z poprzednich przeglądów zarządzania,
  • wyniki audytów w tym stwierdzone niezgodności i podjęte działania korygujące,
  • czy cele bezpieczeństwa zostały osiągnięte na podstawie mierników,
  • zmiany w czynnikach zewnętrznych i wewnętrznych istotnych dla systemu zarządzania bezpieczeństwem informacji,
  • informacje zwrotne od zainteresowanych stron.

Analizując te wszystkie dane powinniśmy zastanowić się w jaki sposób możemy usprawnić nasz system aby stworzyć wartość dodaną dla naszych produktów, usług, klientów lub kontrahentów. Wynikiem przeglądu zarządzania powinny być konkretne decyzje prowadzące do dalszego doskonalenia.

Podsumowanie

Stosowanie tych trzech możliwości zapewni, że system zarządzania bezpieczeństwem informacji będzie odpowiednio nadzorowany. Czy można je rozdzielać? W wielu przypadkach audyt wewnętrzny będzie jedyną formą sprawdzenia założeń przyjętych podczas planowania i utrzymywania procesów, polityk i procedur. Jak to mówią, lepszy rydz niż nic. Jednak bez zastosowania przynajmniej jednej dodatkowej formy nadzoru z ww. nie będziemy mogli prawidłowo ocenić naszej skuteczności i efektywności. Będziemy mogli powiedzieć, że jesteśmy jedynie zgodni z procedurami.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji