Directiva ”NIS2”, cu referire la guvernanță impune ca statele membre să ”se asigură că membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat.”. Vom vedea cum va fi traspusă această cerință în legislația viitoare.

Teoria (includ aici și standardele, bunele practici) oferă suficiente resurse, dar să nu uităm că nu există o abordare unică pentru evaluarea și managementul riscurilor. Ce scriu eu în continuare însă este o explicație pe înțelesul ”organelor de conducere” care trebuie să aprobe ”măsurile de gestionare a riscurilor în materie de securitate cibernetică”.

1. Identifică contextul organizației tale (atît la nivel național cît și la nivel de sector/domeniu de activitate). Acest context include și reglementările de securitate și cerințele legislative pe care trebuie să le respectați (transporturile aero sînt reglementate diferit de sectorul sănătății, de exemplu)
2. Identifică ceea ce trebuie să protejezi. Ce este valoros pentru organizația ta? Ce servicii/procese, active și componente, dacă ar fi întrerupte, deteriorate sau distruse, ar avea un impact negativ asupra a ceea ce este valoros pentru organizație? Acestea sunt “activele critice”: procese, oameni, sisteme, servicii, rețele, date, informații. Identifică dependențe și interdependențe dintre procese (n.b – LASMA din Ordinul 1323). Ce este necesar pentru funcționarea continuă a „activului critic”? Care sunt site-urile/locurile și componentele cheie necesare pentru a îndeplini funcția activului? (oameni, sisteme/aplicații, servicii, rețele, informații)
3. Analizează scenariile care pot provoca daune activelor critice identificate (amenințările și pericolele). Care sînt vulnerabilitățile cunoscute care ar putea avea un impact asupra activelor? Alte organizații similare cu a ta cum au procedat? Dacă discutăm despre scenarii, care sînt actorii amenințărilor, a mișcărilor acestora și a modului în care aceștia ar putea obține acces și ataca acele active (cine, de ce și cum).
4. Evaluează riscul pe care îl prezintă fiecare scenariu. Cât de realist este ca scenariul să se producă (nu te încurca în probabilități….dacă ai asigurare facultativă la autoturism ai luat această decizie pornind de la valoarea activului nu de la probabilitatea incidentelor)? Care sunt consecințele potențiale dacă scenariul se realizează? Analizează controalele existente care ar putea reduce consecința unui scenariu (=incident de securitate).
5. Decide dacă rezultatul inițial al fiecărui scenariu de risc se află într-un nivel tolerabil sau dacă ar trebui implementate controale suplimentare. Implementează apoi controalele necesare și actualizează profilul de risc. Controalele pot include controale tehnologice, controale fizice și/sau activități din spectrul de prevenire, protecție, detecție, reducere, răspuns și recuperare.
6. Managementul riscurilor de securitate cibernetică nu este un exercițiu punctual, static pentru că tehnologia se schimbă continuu cu o viteză foarte mare. Fără o ”cultură a securității” și un nivel ridicat de conștientizare, etapele anterioare nu folosesc decît la a bifa o cerință (în realitatea doar Oamenii reprezintă singura amenințare). Dimensiunea și complexitatea organizației ar trebui să determine cât de regulat ar trebui să fie monitorizate și revizuite riscurile, dar revizuirea anuală trebuie să fie considerată ”o cerință minimă”.

_________________________________________________________________________________

Formule de tipul Risk = Threat x (Likelihood x Vulnerability) x Impact sînt utilizate doar pentru a evidenția relațiile dintre elementele componente ale riscului nicidecum nu trebuie folosite ca formule matematice pentru calcularea riscurilor pentru că toate valorile folosite sînt subiective!