Politika bezpečnostného testovania a red-teamingu

Politika bezpečnostného testovania a red-teamingu (P40) stanovuje komplexný rámec pre priebežné posudzovanie a validáciu opatrení kybernetickej bezpečnosti organizácie. Jej hlavným cieľom je zabezpečiť súlad s reguláciami, ako je NIS2 článok 21 ods. 2 písm. f), ktorý vyžaduje formálne a štruktúrované procesy na hodnotenie účinnosti aktivít riadenia rizík kybernetickej bezpečnosti. Zavedením pravidelného skenovania zraniteľností, ročného penetračného testovania kriticky dôležitých systémov a pravidelných simulácií red team politika zabezpečuje proaktívnu identifikáciu slabých miest, ktoré štandardné prevádzkové kontrolné opatrenia nemusia odhaliť. Rozsah politiky je široký a zahŕňa všetky kritické informačné systémy, aplikácie a podpornú infraštruktúru v rámci organizácie. Dôležité je, že pokrýva aj aspekty fyzickej bezpečnosti, ako sú sociálne inžinierstvo a fyzické penetračné testy, ak sú relevantné, aby poskytla holistický prístup k ochrane organizácie. Jej požiadavkami sú viazané všetky interné bezpečnostné tímy, externé testovacie spoločnosti a príslušní vlastníci systému alebo aplikácie. Testovacie aktivity sú starostlivo regulované, vyžadujú autorizáciu a dodržiavanie definovaných pravidiel, aby sa predišlo narušeniu a zabezpečila bezpečnosť. Roly a zodpovednosti sú explicitne definované s cieľom zachovať zodpovednosť a zefektívniť procesy. Koordinátor bezpečnostného testovania, vymenovaný riaditeľom informačnej bezpečnosti (CISO), dohliada na plánovanie, vykonávanie a vykazovanie všetkých aktivít bezpečnostného testovania. Interné tímy spolupracujú v obranných aj testovacích rolách, zatiaľ čo red team alebo penetrační testeri (interní alebo z tretích strán) vykonávajú kontrolované scenáre útokov v dohodnutých parametroch. Vlastník systému zabezpečuje včasné nápravné opatrenia identifikovaných problémov a manažment integruje zistenia do širších procesov riadenia rizík a vykazovania súladu. Politika kladie silný dôraz na podrobnú správu a riadenie: každému testu predchádza definovanie rozsahu a pravidiel zapojenia, prísne postupy autorizácie a dôsledné vykazovanie. Zdôrazňuje význam bezpečného nakladania s údajmi a vyžaduje, aby akékoľvek reálne údaje, ku ktorým sa pristupuje, zostali dôverné a aby sa do správ uvádzali iba anonymizované detaily. Nápravné opatrenia sú povinné a sledované, pričom sa vykonáva opätovné testovanie na overenie opráv. Politika sa vzťahuje aj na dodávateľov a systémy tretích strán, ak je to relevantné, čím zabezpečuje zosúladenie naprieč dodávateľským reťazcom. Neustále zlepšovanie je výraznou témou: ponaučenia z opakujúcich sa zistení musia ovplyvňovať politiky, štandardy konfigurácie a plány reakcie na incidenty. Školiace programy pre IT, vývoj a manažment sú povinné s cieľom podporiť povedomie, posilniť prevádzkovú disciplínu a udržiavať ostražitosť voči vznikajúcim hrozbám. Všetky testovacie aktivity sa auditne logujú a pravidelne auditujú s cieľom potvrdiť účinnosť, plnenie regulačných povinností a včasné uzatváranie nápravných opatrení. Preskúmania sú plánované ročne alebo po závažných incidentoch, čím sa zabezpečuje, že politika zostáva aktuálna vzhľadom na dynamické prostredie hrozieb.