Kibernetinio saugumo įgaliotinis pagal TIS2: kam jo reikia, ką jis veikia ir kaip jį rasti

Vienas pirmųjų klausimų, kurį organizacijos vadovai užduoda sužinoję apie TIS2 direktyvą: „Ar mums reikia specialaus žmogaus tam?”. Atsakymas – taip. Ir čia paaiškinsime, ką tiksliai tai reiškia, kokie reikalavimai keliami šiam asmeniui, ir kokios yra realios galimybės, kai specializuotų specialistų rinkoje trūksta.

Ko reikalauja TIS2?

Kibernetinio saugumo įstatymas (KSĮ), perkeliantis TIS2 direktyvą į Lietuvos teisę, numato, kad kiekvienas kibernetinio saugumo subjektas privalo paskirti asmenį, atsakingą už kibernetinį saugumą. Šis asmuo įvairiuose kontekstuose vadinamas skirtingai: kibernetinio saugumo vadovas, saugos įgaliotinis arba, tarptautiniu terminu, CISO (Chief Information Security Officer).

Konkrečiai KSĮ 15 straipsnis nustato reikalavimus šiam asmeniui ir jo pareigoms. Esmė: organizacija negali palikti kibernetinio saugumo „kažkieno atsakomybei” be konkrečios funkcijos ir atskaitomybės. Turi būti žmogus, kuris žino, kas vyksta, atsiskaito vadovybei ir reaguoja į incidentus.

Kuo skiriasi kibernetinio saugumo vadovas ir saugos įgaliotinis?

Šie du terminai vartojami skirtinguose kontekstuose, tačiau iš esmės atlieka panašias funkcijas – tik skirtingo dydžio organizacijose.

• Kibernetinio saugumo vadovas (CISO) – strateginė pozicija, dažniausiai tinkama didesnėms organizacijoms. Jis formuoja kibernetinio saugumo strategiją, valdo komandą, atsiskaito valdybai.
• Saugos įgaliotinis – operatyvesnė, lankstesnė funkcija, dažniau tinkanti vidutinio dydžio organizacijoms. Jis koordinuoja kibernetinio saugumo reikalavimų įgyvendinimą, yra kontaktinis asmuo su NKSC ir užtikrina, kad procesai veiktų.

TIS2 kontekste svarbu ne pavadinimas, o funkcija: turi būti konkretus atsakingas asmuo, žinantis organizacijos kibernetinio saugumo situaciją ir galintis atsiskaityti tiek vadovybei, tiek reguliuojančioms įstaigoms.

Kokie reikalavimai keliami šiam asmeniui?

Čia slypi praktinis iššūkis, apie kurį daugelis organizacijų nesusimąsto iš karto.

• Kompetencija. Kibernetinio saugumo vadovui ar saugos įgaliotiniui keliami reikalavimai išdėstyti KSĮ 15 straipsnyje. Jis turi turėti pakankamai kibernetinio saugumo žinių ir patirties, kad galėtų realiai vykdyti savo funkcijas – ne tik formaliai užimti poziciją.
• Nepriklausomumas nuo IT. Dažna klaida – paskirti IT administratorių ar IT vadovą kibernetinio saugumo vadovu, nes jie „ir taip užsiima IT”. Tačiau kibernetinis saugumas ir IT administravimas – skirtingos disciplinos. Asmuo, administruojantis sistemas, negali efektyviai ir nepriklausomai vertinti tų pačių sistemų saugumo.
• Prieiga prie vadovybės. TIS2 numato, kad kibernetinio saugumo klausimai turi pasiekti vadovybę. Saugos įgaliotinis turi turėti galimybę tiesiogiai informuoti vadovą ir valdybą, o ne filtruoti informaciją per kelis hierarchijos lygius.

Trys keliai: kuris tinkamas jūsų organizacijai?

Kaip išsirinkti įmonės kibernetinio saugumo įgaliotinį priklauso nuo organizacijos dydžio, sudėtingumo, biudžeto ir esamų kompetencijų.

1 variantas. Vidinis darbuotojas – nuolatinė pozicija

• Privalumai: gilus organizacijos pažinimas, nuolatinis dėmesys, aiški atskaitomybė, kultūros formavimas iš vidaus.
• Trūkumai: didelė kaina (patyrę CISO specialistai Lietuvos rinkoje kainuoja 60-100+ tūkst. Eur per metus su visomis papildomomis išlaidomis), ilgas atrankos procesas, rizika, jei žmogus išeina, organizacija lieka be kompetencijos.
• Ką svarbu žinoti atrankos metu: ieškokite ne tik techninio išsilavinimo, bet ir gebėjimo komunikuoti su vadovybe – daugelis puikių techninių specialistų nesugeba aiškiai paaiškinti rizikų vadovams ir valdybai.

2 variantas. Išorinis partneris – virtualus CISO (vCISO)

• Privalumai: žymiai mažesnė kaina (3–5 kartus pigiau nei vidaus specialistas), iš karto prieinama kompetencija ir patirtis, lankstumas – galima keisti apimtį pagal poreikį, nėra atostogų / ligos / išėjimo rizikos.
• Trūkumai: galimas mažesnis laiko skyrimas organizacijai, reikia aktyviai valdyti santykį, būtina užtikrinti tinkamą informacijos perdavimą.
• KSĮ ir KSRA leidžia paskirti paslaugų teikėją TIS administratoriumi. Kitaip sakant – teisiškai galima ir leistina naudotis išorine paslauga, o ne tik samdyti vidaus darbuotoją.

3 variantas. Kompetencijų ugdymas įmonės viduje

• Tinka, kai: organizacija turi IT darbuotoją su potencialu ir nori investuoti į jo kibernetinio saugumo kompetencijų ugdymą.
• Privalumai: žmogus jau žino organizaciją, lojalumas, ilgalaikė investicija.
• Trūkumai: reikia laiko – kompetencijų ugdymas trunka. Tad kažkuriuo laikotarpiu organizacija lieka su spraga.
• Svarbu: ugdant vidaus kompetencijas, rekomenduojama lygiagrečiai naudotis išorinio konsultanto pagalba, taip sumažinsite klaidų riziką, kol žmogus bus pasiruošęs savarankiškai.

Ką daro saugos įgaliotinis?

Norint tinkamai pasirinkti žmogų ar partnerį, svarbu suprasti, ką tiksliai ši funkcija apima pagal KSRA reikalavimus:

• Rizikų valdymas. Koordinuoja rizikų vertinimą, užtikrina, kad organizacija nuolat žinotų savo kibernetinės saugumo situaciją ir žinotų, ką daryti su identifikuotomis rizikomis.
• Politikų ir procedūrų priežiūra. Užtikrina, kad kibernetinio saugumo politika, incidentų valdymo procedūros ir kiti dokumentai yra aktualūs, žinomi ir vykdomi – ne tik parašyti.
• Incidentų valdymas. Organizaciniai reikalavimai pagal TIS2 apima kibernetinių incidentų valdymą: saugos įgaliotinis koordinuoja reagavimą į incidentus, užtikrina, kad per 24 valandas būtų pranešta NKSC, ir dokumentuoja eigą.
• Darbuotojų mokymai. Koordinuoja kibernetinio saugumo mokymus, kurie pagal KSRA yra privalomi visiems darbuotojams. Daugiau apie tai, kaip organizuoti efektyvius kibernetinio saugumo mokymus: cyberspektras.lt/mokymai
• Atskaitomybė vadovybei. Reguliariai informuoja vadovus ir valdybą apie kibernetinio saugumo situaciją – ne tik kai nutinka incidentas, bet ir kaip prevencinė priemonė.
• Tiekimo grandinės priežiūra. Vertina, ar tiekėjai ir IT partneriai atitinka saugumo reikalavimus – tai vienas dažniausiai pamirštamų, bet svarbių TIS2 reikalavimų.
• Audito koordinavimas. Parengia organizaciją kibernetinio saugumo auditui, koordinuoja jo atlikimą ir užtikrina, kad nustatyti trūkumai būtų šalinami.

Kaip pradėti, jei dar neturite sprendimo

Jei organizacija dar neturi paskirto atsakingo asmens, rekomenduojame tokią seką:

1.  Įsivertinkite, koks modelis jūsų organizacijai geriausiai tinka – atsižvelgiant į dydį, biudžetą ir turimą kompetenciją.
2. Nepriklausomai nuo pasirinkto modelio, supraskite, kas konkrečiai reikalaujama: kokie dokumentai, procesai, atskaitomybės. Tai padės ir kandidatą tiksliau atsirinkti, ir paslaugų teikėją tiksliau įvertinti.
3. Jei nusprendžiate dėl išorinio partnerio – tikrinkite ne tik kompetenciją, bet ir tai, kaip jis dirba: ar aiškina, ar tik vykdo; ar supranta jūsų sektorių; ar turės laiko jūsų organizacijai.

Jei nesate tikri, nuo ko pradėti – pradėkite nuo pokalbio. Nemokamos konsultacijos metu padėsime įsivertinti situaciją ir išsiaiškinti, koks kelias jūsų organizacijai tinkamiausias.

Kur kreiptis pagalbos

Cyber Spektras teikia vCISO ir saugos įgaliotinio paslaugas Lietuvos organizacijoms – tiek kaip laikinąjį sprendimą, tiek kaip ilgalaikį partnerystės modelį.

Kartu su saugos įgaliotinio funkcija padedame su:

• TIS2 reikalavimų įgyvendinimu – nuo situacijos analizės iki dokumentacijos ir techninių priemonių
• Kibernetinio saugumo konsultacijomis – pirmoji konsultacija nemokama
• Darbuotojų mokymais – kibernetinės higienos mokymai pagal KSRA reikalavimus
• Audito parengimu – pasiruošimas oficialiam kibernetinio saugumo auditui

Susisiekite: info@cyberspektras.lt | +370 686 08269 arba palikite savo kontaktus čia: cyberspektras.lt/kontaktai