Politika varnosti omrežja – SME

Ta politika varnosti omrežja (P21S) je izrecno zasnovana za prilagojene potrebe malih in srednje velikih podjetij (SME), ki delujejo brez velikih ali specializiranih ekip za informacijsko varnost. Prilagojena je okoljem, kjer glavni izvršni direktor prevzame splošna pooblastila in odgovornost, ter zagotavlja učinkovito implementacijo robustnih kontrol varnosti omrežja tudi, kadar vloge, kot sta center za varnostne operacije (SOC) ali vodja informacijske varnosti (CISO), ne obstajajo. Usklajena je z ISO/IEC 27001:2022 in združljiva z uredbami GDPR, NIS2 in DORA ter zagotavlja jasnost in zagotovilo pri doseganju tehnične, pravne in na revizijo pripravljene skladnosti. Obseg politike je celovit in obravnava vse elemente omrežja organizacije: žično in brezžično infrastrukturo, požarne zidove, usmerjevalnike, stikala, oddaljeni dostop (VPN, RDP) in povezave z oblakom ter naprave, povezane v omrežje. To vključuje notranje osebje, oddaljene in hibridne delavce, goste, pogodbene izvajalce, dobavitelje in ponudnike storitev tretjih oseb. Tako fizične kot logične ločitve omrežja, kot so gostujoče cone in naprave interneta stvari, so izrecno zajete, kar zagotavlja, da je vsak segment ustrezno upravljan glede na tveganje in potrebe po dostopu. Jasna dodelitev vlog je temeljna: glavni izvršni direktor je odgovoren za nadzor politike in odobri izjeme, medtem ko je ponudnik IT podpore (ali interna IT vloga) odgovoren za praktično implementacijo, vzdrževanje ter odkrivanje in stopnjevanje incidentov. Te opredelitve omogočajo SME brez namenskih IT oddelkov, da izpolnijo zahteve skladnosti na visokem standardu z uporabo poenostavljenih struktur upravljanja. Koordinatorji za zasebnost ali varnost podpirajo skladnost s predpisi o varstvu podatkov, sodelujejo pri preiskavah kršitev in zagotavljajo izpolnjevanje zahtev glede dokumentacije. Vse osebje mora upoštevati stroge smernice glede omrežnega dostopa, povezovanja naprav, higiene gesel in poročanja o incidentih. Upravljanje in tehnološki nadzorni ukrepi so natančno opredeljeni. Vsa omrežna sredstva morajo biti pridobljena od podprtih dobaviteljev in posodobljena z varnostnimi popravki. Požarni zidovi in brezžični krmilniki uveljavljajo načelo privzete prepovedi; brezžična omrežja morajo uporabljati šifriranje WPA3 ali WPA2, gostujoči dostop pa mora biti strogo izoliran. Zunanja izpostavljenost storitev v oblaku je minimizirana, dostop do navideznega zasebnega omrežja (VPN) je strogo nadzorovan in spremljan, večfaktorska avtentikacija (MFA) pa je obvezna za oddaljene prijave. Revizijsko beleženje, spremljanje, redne revizije in jasni kanali poročanja so zahtevani za zagotavljanje nenehnega izboljševanja in pripravljenosti na odziv na incidente. S poudarkom na letnih pregledih, procesih upravljanja sprememb in strogem uveljavljanju (z ukrepi za neskladnost od ponovnega usposabljanja do pravnih ukrepov) ta politika ustvarja učinkovito in trajnostno osnovo za stalno varnost. Procesi izjem so formalizirani in vedno zahtevajo utemeljitev, nadomestne kontrole ter odobritev glavnega izvršnega direktorja. Ta pristop omogoča SME varno delovanje, izpolnjevanje zakonskih obveznosti ter dokazovanje tehnične usposobljenosti strankam, presojevalcem in regulatorjem.