“Namen postopka analize vrzeli je ugotoviti, kje organizacija odstopa od standardov ali zahtev, ter določiti korake za odpravo teh vrzeli.”

Organizacijam analiza vrzeli omogoča sistematično prepoznavo področij neskladnosti z direktivo NIS 2 in razvoj strategije za njihovo odpravo.

 

Analiza vrzeli, s katero sistematično primerjamo trenutno stanje z želenim, v kontekstu informacijske varnosti vključuje primerjavo z zakonodajnimi zahtevami, industrijskimi standardi ali internimi varnostnimi politikami. Organizacija jo lahko opravi sama ali to nalogo zaupa zunanjemu izvajalcu.

 

V sodobnem poslovnem okolju, kjer je digitalizacija temelj delovanja organizacij, so tveganja na področju informacijske varnosti med najbolj kritičnimi. Zlasti direktiva NIS 2 (ki se bo uveljavila skozi novi zakon o informacijski varnosti ZinfV-1) uvaja strožje zahteve glede varnostnih ukrepov in odzivanja na kibernetske incidente ter zagotavljanja neprekinjenosti poslovanja.

 

Pomemben korak na poti do prilagoditve organizacije tem zahtevam je izvedba analize vrzeli (gap analysis). Ta proces ima glavno vlogo pri prepoznavanju področij, kjer organizacija ne dosega predpisanih standardov ali zahtev, in pri oblikovanju strategije za odpravo teh pomanjkljivosti.

 

Kaj je analiza vrzeli

Analiza vrzeli je sistematičen postopek, s katerim primerjamo trenutno stanje, kot je, z želenim stanjem, kot bo.

 

Namen tega postopka je ugotoviti, kje organizacija odstopa od standardov ali zahtev, ter določiti korake za odpravo teh vrzeli. V kontekstu informacijske varnosti analiza vrzeli navadno vključuje primerjavo z zakonodajnimi zahtevami zakona o informacijski varnosti (ZinfV), industrijskimi standardi (na primer ISO 27001) ali internimi varnostnimi politikami. Navadno je sestavni del širših svetovalnih storitev, ki poleg analize ponudijo tudi oceno poslovnih učinkov, oceno tveganj in načrt ukrepov za prilagoditev.

 

Postopek analize vrzeli navadno poteka v teh korakih:

  1. Opredelitev želenega stanja: Določitev standardov ali politik, s katerimi želimo doseči skladnost. NIS 2 varnostne mehanizme opredeljuje precej široko, tako da je treba želeno stanje prilagoditi sorazmerni velikosti organizacije in njeni dejavnosti.
  2. Analiza trenutnega stanja: Pregled in ocena trenutnih procesov in politik, tehnologij in kadrov, torej osnovnih treh gradnikov varnosti.
  3. Identifikacija vrzeli: Prepoznavanje in razumevanje razlik med trenutnim in želenim stanjem.
  4. Izhodišče za načrt prilagoditve: Priprava končnega poročila analize, ki služi kot izhodišče za oblikovanje predloga ukrepov za odpravo vrzeli po posameznih gradnikih varnosti (procesi, tehnologija, kadri).

 

Kakšen je namen analize vrzeli

1. Zagotavljanje skladnosti z regulativo. Organizacije, ki so glavne za nemoteno delovanje družbe, bodo morale zagotoviti skladnost z direktivo NIS 2 oziroma ZinfV-1. Te zahteve vključujejo vzpostavitev ustreznega sistema za upravljanje tveganj, kontrolo dobavne verige, izvedbo rednih varnostnih ocen in zagotavljanje odpornosti proti kibernetskim incidentom. Analiza vrzeli organizacijam omogoča sistematično prepoznavo področij neskladnosti z direktivo in razvoj strategije za njihovo odpravo. S tem organizacije ne le izpolnijo zahteve, temveč se izognejo visokim kaznim, ki jih bodo deležne pravne osebe in odgovorne osebe pravnih oseb zaradi neupoštevanja zahtev.

 

2. Prepoznavanje in zmanjševanje tveganj. Analiza vrzeli z natančnim pregledom trenutnega stanja organizacije razkriva pomanjkljivosti v varnostnih ukrepih, ki povečajo ranljivost za kibernetske incidente. Na primer lahko odkrije varnostne luknje v dostopih zunanjih izvajalcev do omrežja organizacije ali odsotnost načrtov za obvladovanje incidentov.

 

3. Optimizacija virov. Z analizo vrzeli organizacija usmerja svoje vire v odpravo najbolj kritičnih pomanjkljivosti, kar omogoča učinkovitejšo porabo časa in sredstev. Namesto obravnavanja manj pomembnih ali napačno prednostno obravnavanih težav se pozornost posveti področjem, ki najbolj vplivajo na varnost in skladnost.

 

4. Izboljšanje odpornosti organizacije. Sistematično odpravljanje vrzeli neposredno pripomore k večji odpornosti proti kibernetskim grožnjam. Organizacija, ki redno izvaja analizo vrzeli, lahko bolje predvideva potencialne grožnje ter prilagodi svoje procese in ukrepe za učinkovitejši in boljši odziv na incidente.

 

5. Podpora strateškim odločitvam. Rezultat analize vrzeli poslovodstvu ponuja jasen in celosten vpogled v prednostna področja za ukrepanje. Na podlagi teh podatkov lahko oblikujejo strateške načrte, ki so osredotočeni na dejanske potrebe ter pripomorejo k dolgoročni varnosti in skladnosti.

 

Rezultat analize vrzeli poslovodstvu ponuja jasen in celosten vpogled v prednostna področja, ki jih je treba uskladiti z zakonodajo.

 

Kdo jo izvaja

Organizacija lahko analizo vrzeli izvede sama ali pa za to nalogo angažira zunanjega izvajalca.

 

Če se odloči za samostojno izvedbo, si lahko pomaga s številnimi vprašalniki, ki so prosto dostopni in so zasnovani za oceno trenutnega stanja.

 

Takšne vprašalnike pripravljajo proizvajalci varnostnih rešitev, strokovne organizacije in institucije, kot je Urad RS za informacijsko varnost (URSIV).

 

Vprašalniki obravnavajo širok nabor zahtev direktive NIS 2 in omogočajo samooceno skladnosti. A to je le ocena stanja, ki ponuja le okvirno sliko trenutnega stanja. Drugi del aktivnosti, ki je vsebinsko zahtevnejši, je opredelitev želenega stanja in zahteva prilagoditev specifičnim potrebam vsake organizacije.

Nekatere organizacije imajo usposobljen kader, ki to nalogo lahko opravi. Vendar si le redke lahko privoščijo, da zaposleni poleg svojih rednih nalog nameni dovolj časa za izvedbo poglobljene analize. Tudi če je čas na voljo, so notranje analize navadno obremenjene s pristranskostjo, saj je izvajalec del organizacije, ki jo pregleduje.

 

Zato je smiselno, da se analiza vrzeli zaupa zunanjemu izvajalcu. Zunanji strokovnjak zagotovi nepristranski pregled trenutnega stanja in izdela prilagojen načrt za doseganje skladnosti, pri čemer upošteva dobre prakse.

Pri izbiri izvajalca je pomembno, da je ta strokovno usposobljen in izkušen tako na področju upravljanja procesov kot tehnologij. Vsak strokovnjak za kibernetsko varnost ali upravljavec procesov ni nujno tudi dober revizor informacijskih sistemov. Obvladovati mora obe področji in znati povezovati zakonske zahteve s praktično izvedbo.

 

Kako se izvaja analiza vrzeli

Podjetje Smart Com izvaja analizo vrzeli kot eno izmed glavnih aktivnosti procesnega svetovanja. Ta vključuje pripravo analize tveganj, ocene poslovnih učinkov (Bussines Impact Analysis ‒ BIA), analize vrzeli in oblikovanje načrta za prilagoditev ukrepov za zagotavljanje skladnosti. Vsem so skupni strukturirani izvedbeni koraki, ki zagotavljajo celovitost in zaupnost procesa:

  1. Nerazkrivanje informacij: Ker se v procesu analize dostopa do notranjih informacij, se v prvem koraku podpiše sporazum o nerazkrivanju informacij (NDA).
  2. Določitev odgovornih oseb in protokola: Obe strani določita odgovorni osebi za komunikacijo in koordinacijo. Prav tako se vzpostavi protokol za izmenjavo informacij, saj so večinoma zaupne narave.
  3. Vpogled v dokumentacijo: Naročnik zagotovi dostop do relevantne dokumentacije vodenja ‒ poslovnik, varnostna politika, opis ključnih procesov in drugo, odvisno od dogovorjenega obsega.
  4. Izpolnitev vprašalnika in pogovori: Naročnik izpolni vprašalnik, s čimer se oceni procesno, tehnološko in kadrovsko stanje. Sledi poglobljen intervju s ključnimi deležniki in odgovornimi osebami, kar omogoča pridobitev dodatnih informacij in vpogledov.
  5. Analiza zbranih podatkov: Strokovnjaki družbe Smart Com analizirajo pridobljene informacije in pripravijo poročilo. Pred zaključkom osnutek poročila pregleda in potrdi naročnik.
  6. Predstavitev rezultatov: Končno poročilo se predstavi naročniku na enodnevni delavnici, kjer se podrobno obravnavajo ugotovitve, priporočila in naslednji koraki.

 

V začetnih fazah, predvsem pri pridobivanju informacij, je potrebna večja vključenost zaposlenih na strani naročnika, kar lahko zaradi njihovih rednih delovnih obveznosti podaljša te aktivnosti. Celoten proces analize vrzeli navadno traja od enega do dva meseca, odvisno od kompleksnosti organizacije in razpoložljivosti informacij.

 

Na delavnici do praktičnega in uporabnega znanja

 

Prednosti

Analiza vrzeli je nepogrešljiv dokument za vse organizacije, ki si prizadevajo izboljšati skladnost, varnost in odpornost v digitaliziranem poslovnem okolju.

 

Zlasti ob uvedbi direktive NIS 2 oziroma ZinfV-1 postaja izvedba analiza vrzeli najpomembnejša za doseganje skladnosti z zakonodajo.

 

Pravilno opravljena analiza organizacijam ne omogoča le prepoznavanja trenutnih pomanjkljivosti, temveč je tudi temelj za strateško načrtovanje trajnostnih izboljšav na področju kibernetske odpornosti in zagotavljanja neprekinjenosti delovanja. Zaradi širokega obsega področij, ki jih zajema zakonodaja, nepristranskosti in neodvisnosti ter svežega pogleda je smiselno izdelavo analize vrzeli zaupati zunanjemu izvajalcu.

 

Članek je bil objavljen na portalu Tovarna leta, 18. decembra 2024.