Politika sigurnosnog testiranja i red-teaminga

Politika sigurnosnog testiranja i red-teaminga (P40) uspostavlja sveobuhvatan okvir za kontinuiranu procjenu i validaciju mjera kibernetičke sigurnosti organizacije. Njezin je glavni cilj osigurati usklađenost s propisima poput NIS2 članka 21(2)(f), koji zahtijeva formalne i strukturirane procese za vrednovanje djelotvornosti aktivnosti upravljanja rizicima kibernetičke sigurnosti. Uvođenjem redovitog skeniranja ranjivosti, godišnjeg penetracijskog testiranja za kritične sustave i periodičnih simulacija red teama, politika osigurava proaktivnu identifikaciju slabosti koje standardne operativne kontrole možda ne bi otkrile. Opseg politike je širok te obuhvaća sve kritične informacijske sustave, aplikacije i podržavajuću infrastrukturu unutar organizacije. Važno je da obuhvaća i aspekte fizičke sigurnosti, kao što su socijalni inženjering i fizički penetracijski testovi gdje je to relevantno, kako bi se osigurao holistički pristup zaštiti organizacije. Svi interni sigurnosni timovi, vanjske tvrtke za testiranje te relevantni vlasnici sustava ili aplikacija obvezni su poštovati njezine zahtjeve. Aktivnosti testiranja pažljivo su regulirane, zahtijevaju autorizaciju i pridržavanje definiranih pravila kako bi se spriječili prekidi i osigurala sigurnost. Uloge i odgovornosti izričito su definirane radi održavanja odgovornosti i pojednostavljenja procesa. Koordinator sigurnosnog testiranja, kojeg imenuje glavni službenik za informacijsku sigurnost (CISO), nadzire planiranje, provedbu i izvješćivanje o svim aktivnostima sigurnosnog testiranja. Interni timovi surađuju u obrambenim i testnim ulogama, dok red teamovi ili penetracijski testeri (interni ili treće strane) provode kontrolirane scenarije napada unutar dogovorenih parametara. Vlasnici sustava osiguravaju pravodobno otklanjanje identificiranih problema, a uprava integrira nalaze u šire procese upravljanja rizicima i izvješćivanja o usklađenosti. Politika snažno naglašava detaljno upravljanje: svakom testu prethodi definiranje opsega i pravila angažmana, strogi postupci autorizacije i rigorozno izvješćivanje. Naglašava važnost sigurnog postupanja s podacima, zahtijevajući da svi stvarni podaci kojima se pristupi ostanu povjerljivi te da se u izvješća uključuju samo anonimizirani detalji. Otklanjanje nedostataka je obvezno i prati se, uz ponovno testiranje radi provjere ispravaka. Politika se također odnosi na dobavljačke i sustave trećih strana kada je relevantno, osiguravajući usklađivanje kroz opskrbni lanac. Kontinuirano poboljšanje je istaknuta tema: lekcije iz ponavljajućih nalaza moraju utjecati na politiku, standarde konfiguracije i planove odgovora na incidente. Programi osposobljavanja za IT, razvojno i rukovodeće osoblje su obvezni radi poticanja svijesti, jačanja operativne discipline i održavanja budnosti prema novim prijetnjama. Sve aktivnosti testiranja se bilježe i periodično revidiraju kako bi se potvrdila djelotvornost, ispunjenje regulatornih obveza i pravodobno zatvaranje korektivnih radnji. Pregledi se planiraju godišnje ili nakon velikih incidenata, čime se osigurava da politika ostane aktualna u dinamičnom okruženju prijetnji.