CISO (eng. Chief Information Security Officer), upravitelj informacijske sigurnosti, menadžer za informacijsku sigurnost, direktor informacijske sigurnosti i sl., samo su neki od naziva za vodeću funkciju u organizaciji odgovornu za informacijsku sigurnost. Kao što i sam naziv sugerira, ova je osoba odgovorna za primjenu odnosno upravljanje informacijskom sigurnošću unutar svoje organizacije, a što uključuje obavljanje raznovrsnih zadataka koji zahtijevaju izuzetno visoku razinu specifičnih znanja o informacijskoj sigurnosti i informacijskim sustavima (poznavanje informacijskih sustava, baza podataka, operacijskih sustava, mreža računala itd., poznavanje standardnih procesa informacijske sigurnosti, poput procjene i obrade rizika infomacijske sigurnosti, klasifikacije informacija, planiranja kontinuiteta poslovanja, planiranja odgovora na incidente itd.) te menadžerskih vještina (komunikacijske, prezentacijske, pregovaračke, analitičke i ostale vještine koje čine svakog uspješnog menadžera). Osim toga, CISO mora odlično poznavati relevantne standarde i norme informacijske sigurnosti, kontinuiteta poslovanja i općenito upravljanja informacijskim sustavima (poput ISO 27001, ISO 27002, BS 25999, COBIT-a, ITIL-a itd.) i relevantnu zakonsku regulativu informacijske sigurnosti (što prvenstveno ovisi o sektoru u kojem organizacija vrši svoju djelatnost). Nadalje, da bi mogao držati korak s rigoroznim zahtjevima posla, CISO mora redovito pohađati odgovarajuće konferencije, treninge i seminare. Poželjno je da bude aktivan član zajednica, foruma i organizacija koje okupljaju profesionalce na ovom području (kao što je ISACA). Također, poželjno je da posjeduje odgovarajuće certifikate kojima dokazuje svoju stručnost i profesionalnost u ovom području (obično su to CISM, CISA, CISSP i CBCP certifikati).

Iz svega navedenog, a uzevši u obzir da je ovo zanimanje i njegova percepcija u Hrvatskoj tek u inicijalnoj fazi, jasno je koliko je teško internim ili vanjskim natječajem regrutirati odgovarajuću osobu koja bi vršila funkciju CISO-a. Tvrtke prepoznaju ovu potrebu i u skladu s njome razvijaju uslugu eksternalizacije (eng. "outsourcing") funkcije odnosno aktivnosti CISO-a. Pod eksternalizacijom funkcije CISO-a podrazumijeva se eksternalizacija poslova i zadataka koje bi CISO obavljao, dok sveukupna odgovornost za informacijsku sigurnost dakako ostaje u organizaciji (po definiciji eksternalizacije). U praksi ovo funkcionira na način da organizacija nominira osobu odgovornu za informacijsku sigurnost, dok sve poslove i zadaće CISO-a obavlja eksternalizirana tvrtka na bazi ugovorno definiranog angažmana.

Uobičajen skup aktivnosti koje tvrtke pritom kao "vanjski" CISO provode za klijenta uključuje :

• redovitu i izvanrednu procjenu i obradu rizika,
• izradu i održavanje politike informacijske sigurnosti, svih internih akata i ostale dokumentacije kojom se regulira informacijska sigurnost (politike, pravilnici, procedure, smjernice itd.),
• predlaganje i razradu potrebnih mjera s ciljem otklanjanja eventualnih nesukladnosti/nepravilnosti i/ili prijedloga za poboljšanjem, na temelju izvješća interne i/ili vanjske revizije informacijskog sustava odnosno ISMS-a,
• planiranje odgovora na incidente informacijske sigurnosti,
• kontinuirano praćenje i održavanje popisa sve primjenjive zakonske regulative koja se odnosi na informacijsku sigurnost zajedno s odgovorom organizacjie na relevantne zakonske odnosno regulatorne zahtjeve,
• razvoj i koordinaciju programa obuke i podizanja svijesti o informacijskoj sigurnosti,
• provođenje sigurnosnih provjera politika i ostalih internih akata informacijske sigurnosti odnosno sigurnosti informacijskog sustava i izradu izvješća o provedenim provjerama,
• savjetovanje o informacijskoj sigurnosti,
• iniciranje primjene dobrih sigurnosnih praksi i
• izradu godišnjih i polugodišnjih izvješća o stanju informacijske sigurnosti.

Sve dodatne aktivnosti i specifičnosti reguliraju se pratećim ugovorom, kojim se definira i način izvješćivanja, komunikacije, vršenja nadzora provedbom aktivnosti koje su predmetom ugovora i nad kvalitetom izvšenog posla i svi ostali potrebni elementi kako bi se osiguralo da eksternalizirana tvrtka obavlja dane joj poslove u skladu s očekivanjima i potrebama klijenta.

Zašto eksternalizirati funkciju CISO-a? Organizacije se najčešće odlučuju na eksternalizaciju zbog :

• nedostatka odgovarajućeg kadra u vlastitoj organizaciji i/ili na tržištu radne snage,
• smanjenja troškova zapošljavanja i troškova samog radnog mjesta (CISO je odgovoran za sigurnost informacija "u kući"; da bi mogao učinkovito obavljati svoj posao, CISO mora biti dovoljno visoko u organizacijskoj hijerarhiji, a što znači da ga morate i adekvatno nagraditi; osim toga, nema troškova kontinuirane edukacije),
• nepristranosti odnosno eliminacije mogućnosti da dođe do sukoba interesa (koji postoji ukoliko imate CISO-a koji je pod kapom CIO-a),
• bržeg i što kvalitetnijeg ispunjavanja zahtjeva regulatora i/ili
• orijentacije na obavljanju jedino "core" djelatnosti.

Oslanjanje na pouzdanog vanjskog partnera, čije iskustvo, reference i profesionalnost jamče uspješno obavljanje poslova CISO-a, čest je izbor mnogih organizacija.

I ove godine je Windays konferencija statistički nadmašila brojke iz prethodnih godina. Kapaciteti Opatije su maksimalno iskorišteni te je tako ove godine konferenciji prisustvovalo oko 2000 sudionika na više od 190 predavanja.

Od brojnih tema kojima su se bavili ovogodišnji Windays-i, valja izdvojiti predstavljanje 3 nove Microsoftove platforme (Windows Server 2008, SQL Server 2008 i Visual Studio 2008), a posebna se pažnja koncentrirala na virtualizaciju te informacijsku sigurnost. Pored toga Microsoft je ove godine još "podebljao" Case study temu, kako bi se korisnicima što više dočarala upotreba Microsoft tehnologija u stvarnom okruženju.

Predavanja o informacijskoj sigurnosti obuhvaćala su široko područje pa su se tako mogle čuti zanimljive stvari od iskorištavanja propusta u web stranicama organizacija, preko forenzičke analize nad SQL Serverom pa do planiranja kontinuiteta poslovanja i revizije informacijskog sustava. ZIK je sudjelovao na konferenciji s predavanjem o reviziji informacijskog sustava. Osim toga što je to revizija, kako se izvodi, zašto je potrebna te koji su mogući problemi pri njenom izvođenju, izneseni su i neki statistički podaci o problemima u organizacijama na koje je autor dosad naišao.

Vidimo se i slijedeće godine u Opatiji!

Ostale zanimljivosti s održanih Windaysa pogledajte na: Windays 2008

Poznata istraživačka kuća Frost & Sullivan, po nalogu organizacije (ISC)2, provela je opsežno istraživanje o globalnim trendovima na tržištu radne snage u području informacijske sigurnosti za 2008. godinu. Od mora informacija, izdvojili smo par crtica koje će poslužiti kao uvid u tu globalnu sliku, a u nekim od slijedećih brojeva vjesnika ulazit ćemo u detalje svakog od aspekta ove istraživačke studije.

Ključne značajke studije su slijedeće:

• Istraživanje je provedeno u tri najveće svjetske regije (postotak odgovora): Amerike (41%), Europa, Srednji istok i Afrika (25%) i Azija-Pacifik (34%).
• Trećina ispitanika je izjavila da je njihov posao primarno menadžerske funkcije, dok će polovica ispitanika dobiti takve funkcije u slijedećih godinu-dvije.
• Amerikanci potrebu za edukacijom u području informacijske sigurnosti uglavnom vide u administraciji sigurnosti (53%), razvoju IS-a ili dijelova IS-a (39%) i sigurnosti telekomunikacija i mreža (34%).
• Europljani se, pak, educiraju u područjima administracije sigurnosti (40%), kontinuiteta poslovanja i oporavka sustava (29%) i privatnosti (29%).
• Azijsko-pacifičko područje najviše zanima administracija sigurnosti (54%), razvoj IS-a ili dijelova IS-a (36%) te sigurnost telekomunikacija i mreža (34%).
• Tri četvrtine ispitanika kao najveću prijetnju vide napade od virusa i ostalih oblika zloćudnog softvera. Slijedeći na listi su hakeri, ali i djelatnici zaposleni u samoj organizaciji.
• Kao najveći prioritet, većina ispitanika vidi utjecaj prekida poslovanja na reputaciju tvrtke (73%) te kršenje raznih zakona o zaštiti privatnih podataka (70%), kao i krađu identiteta (67%).
• Najveća potreba za informacijskom sigurnošću zabilježena je u financijskom sektoru (bankarstvo, osiguravajuće kuće i sl.).

Frost & Sullivan je istraživanje proveo na 7,548 ispitanika u javnom i privatnom sektoru tijekom druge polovice 2007. godine.

Web stranice tvrtke: Frost & Sullivan

Administratori mreža odavno imaju na umu sigurnosne implikacije Simple Network Management Protocola (SNMP), ali nedavan eksperiment koji je provela grupa za etičko hakiranje GNUCitizen pokazala je da je veliki broj mrežnih uređaja koji podržavaju SNMP ostao nezaštićen te može biti izvor osjetljivih informacija. U slučajnom odabiru SNMP-om skenirano je 2,5 milijuna IP adresa. Otkrilo se da veliki broj uređaja odaje informacije kao što su ime, model i u nekim slučajevima verzije operacijskog sustava. SNMP ima brojne sigurnosne nedostatke, uključujući i činjenicu da je podložan brute force napadima, te napadima koji se temelje na rječniku, a s obzirom da je najčešće korišten putem User Datagram Protocola (UDP), ranjiv je i na napade koji se zasnivaju na krivotvorenju IP adrese. Upotreba UDP-a znači da se sustavi mogu skenirati puno brže nego kod protokola koji koriste TCP. Zbog sigurnosnih slabosti SNMP-a, potencijalni pristup mrežnim uređajima s mogućnosti uvida u konfiguraciju je ozbiljan sigurnosni problem.

Izvor: CERT, 05.03.2008.