Mini paket: dostop in omrežna varnost – SME

Mini paket: dostop in omrežna varnost – SME zagotavlja robusten, vnaprej usklajen nabor šestih dokumentov upravljanja kibernetske varnosti, izdelan posebej za mala in srednje velika podjetja (SME). Ker prepoznava edinstvene izzive organizacij brez namenskih oddelkov za IT ali varnost, je vsaka politika v paketu poenostavljena tako, da uporablja vloge, ki so v SME običajno prisotne, kot so generalni direktor, vodje oddelkov in zunanji ponudniki storitev. Vsi dokumenti so natančno preslikani na najnovejše zahteve ISO/IEC 27001:2022 in ISO/IEC 27002:2022 ter na povezane okvire, kot so NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA in COBIT 2019. Paket vključuje politiko nadzora dostopa, ki določa, kako se dostop do IT sistemov, objektov in podatkov upravlja prek jasnih odobritvenih delovnih tokov, formalnih pregledov in uveljavljanja načela najmanjših privilegijev. Politika upravljanja uporabniških računov in privilegijev to razširi z zagotavljanjem robustnih kontrol nad dodeljevanjem dostopa, spremembami in ukinitvijo računov, prepovedjo deljenih poverilnic ter zahtevo po edinstvenih, sledljivih identitetah, podprtih z revizijsko sledjo in revizijskim beleženjem. Obe sta napisani za organizacije, kjer generalni direktor ali zunanja IT funkcija deluje kot lastnik sistema ali odobritvena avtoriteta, kar zmanjšuje kompleksnost in zagotavlja, da je mogoče kontrole vzdrževati tudi z omejenimi notranjimi viri. Politika upravljanja ranljivosti in nameščanja popravkov opredeljuje pričakovanja za identifikacijo, ocenjevanje in sanacijske ukrepe za ranljivosti v vseh IT sredstvih, vključno z delovnimi postajami, strežniki, infrastrukturo v oblaku in programsko opremo. Zahtevano je pravočasno nameščanje popravkov, četrtletno poročanje in jasni postopki upravljanja izjem, pri čemer so odgovornosti deljene med generalnim direktorjem in ponudniki IT storitev. Za zaščito infrastrukture končnih točk politika zaščite končnih točk – zaščita pred zlonamerno programsko opremo določa zahteve za antivirusno programsko opremo, varnost BYOD, spremljanje in odziv, s tehničnimi in postopkovnimi navodili, prilagojenimi kontekstu SME, vključno z uporabo neodobrenih orodij in rednim usposabljanjem za ozaveščanje o varnosti glede zlonamerne programske opreme. Kritične omrežne kontrole so obravnavane v politiki omrežne varnosti, ki podrobno opisuje zasnovo, segmentacijo omrežja, spremljanje in uveljavljanje varnih žičnih, brezžičnih in oddaljenih dostopnih kanalov. Politika pokriva tako fizična kot logična omrežja ter zahteva robustne konfiguracije požarnih zidov, uporabo navideznega zasebnega omrežja (VPN) z večfaktorsko avtentikacijo (MFA), redne presoje in poročanje o nepooblaščenem ali anomalnem omrežnem vedenju. Politika beleženja in spremljanja zagotavlja, da so vse kritične dejavnosti, od administrativnih sprememb do samodejnih opozoril, revizijsko beležene, hranjene in redno pregledane, kar SME omogoča izpolnjevanje operativnih in zakonskih obveznosti glede odgovornosti, preiskave kršitev in revizij skladnosti. Kot SME-specifične politike (kar je razvidno iz oznake »S« v njihovem oštevilčenju in sklicev na vloge) vsak dokument poudarja praktično, realistično implementacijo z uporabo registrov, enostavnih odobritvenih potekov in kontrolnih seznamov namesto struktur velikih ekip ali specializiranih položajev. Skupaj ta paket zagotavlja celovito, izvedljivo in revidirljivo osnovo najboljših praks kibernetske varnosti v malih in srednje velikih podjetjih.