În calitate de consultant și auditor de securitate informațională, am avut ocazia să lucrez cu diverse organizații din România în implementarea cerințelor Directivei NIS. De-a lungul timpului, am colaborat cu companii din sectoare variate, de la operatori de apă și energie, la instituții financiare și alte organizații din industrii critice.
Un aspect crucial pe care l-am observat în implementarea Directivei NIS este că succesul depinde în mod esențial de aplicarea unui cadru de bune practici și procese bine structurate, iar acesta este locul unde ITIL (Information Technology Infrastructure Library) joacă un rol determinant. Fără un set de procese bine definite și fără digitalizarea fluxurilor de lucru critice, implementarea NIS nu poate fi realizată eficient.
Evoluția mea profesională în lumina Directivei NIS
Încă de la începuturi , am fost atras de ideea de a deveni auditor. Auditul este un proces clar, cu reguli stricte și linii directoare bine definite, care oferea o direcție profesionistă și relativ simplă pentru cineva specializat în securitatea informațională. Dar ca sa auditezi cu placere e nevoie de un client bine organizat.
Însă, odată cu intrarea în vigoare a Directivei NIS, am constatat că munca de auditor s-a dovedit insuficientă pentru a genera un impact real în organizațiile din România. Acest lucru se datorează faptului că, în multe cazuri, organizațiile locale nu erau pregătite pentru audituri și, fără îmbunătățiri semnificative în modul în care își gestionau securitatea IT, auditul ar fi produs constant opinii negative – un scenariu pe care nici eu, nici clienții nu ni-l doream.
In urma acestor ani de interactiuni cu companii mai putin obisnuite cu cerintele unui ISO 27001 facut real in organizatie, am ajuns la cateva concluzii generale despre implementarea unui SMSI intr-un business, incepand cu cerintele de baza ale Directivei NIS, dar continuand cu cresterea nivelului de maturitate al sistemului de management.
Prin urmare, am ales să urmez calea mai dificilă: pe lângă activitatea de audit, am început să preiau rolul de consultant.
Rolul meu a devenit să ajut companiile să se conformeze Directivei NIS înainte ca acestea să ajungă în stadiul auditului, ghidându-le prin complexitățile acestei reglementări și oferindu-le instrumentele necesare pentru a-și îmbunătăți procesele interne. În acest context, ITIL s-a dovedit esențial pentru structurarea modului în care organizațiile își gestionează serviciile IT și infrastructura critică. Mai pe scurt, am devenit un mentor si am ajutat organizatiile interesate sa isi faca baby steps in aceasta directie. Nu este o munca simpla.
De ce este implementarea Directivei NIS o provocare?
Implementarea directivei NIS intr-o organizatie depinde de implicarea managementului si de o abordare strategica in managementul riscului si mai mult, se implementeaza prin procese si controale.
Acest aspect a fost si este in continuare omis (cu buna-stiinta) de majoritatea furnizorilor de tehnologii de securitate in webminariile si conferintele lor. Acum efectul este exacerbat de apropierea deadlineului aprobarii Directivei NIS 2 in UE.
Implementarea cerințelor Directivei NIS într-o organizație poate părea simplă la prima vedere, mai ales când se iau în considerare doar aspectele tehnice. Majoritatea furnizorilor de soluții de securitate promovează tehnologii de cybersecurity drept soluții care rezolvă problemele de conformitate. Aceste tehnologii sunt utile, fără îndoială, dar sunt doar o piesă dintr-un puzzle mult mai complex.
Problema majoră cu această abordare tehnocentrică este că multe organizații din România nu sunt pregătite să implementeze astfel de soluții avansate. Fără un cadru solid de procese IT bine definite, implementarea acestor tehnologii riscă să fie superficială și ineficientă.
În multe cazuri, am observat că organizațiile achiziționează aceste soluții doar pentru a respecta "cerințele legale", dar fără să le integreze eficient în procesele lor operaționale. Rezultatul este o serie de tehnologii scumpe și avansate, dar subutilizate, nesupravegheate și care nu generează valoare reală pentru companie. Aceasta este, din păcate, o realitate în multe dintre organizațiile reglementate din România.
Ceea ce majoritatea furnizorilor de tehnologii (vendori, diversi integratori) rateaza este ca propun niste elemente utile ca si controale si masuri de securitate, dar majoritatea audientei adresabile din Romania sunt la un nivel mult mai basic decat aceste tehnologii – si anume nu au ITIL implementat si sunt la nivel 0, ad hoc, al organizarii departementelor critice.
Ceea ce majoritatea buyerilor de tehnologii rateaza de asemenea este ca majoritatea vor sfarsi ca o mare parte din organizatiile reglementate, cu o suita de tehnologii de securitate avansate, dar inconjurate de haos si nemonitorizate si neexploatate in mod structurat si organizat. Pentru ca da, si majoritatea companiilor mai cu staif sunt in aceasta situatie.
Alt aspect omis frecvent este că Directiva NIS nu se rezumă doar la tehnologie. Conformitatea cu NIS necesită o abordare holistică, care include procese, politici, educație și conștientizare la nivelul întregii organizații.
ITIL: Fundamentul pentru implementarea Directivei NIS
Aici intervine ITIL. ITIL este un set de bune practici pentru gestionarea serviciilor IT și oferă un cadru structurat care permite organizațiilor să-și organizeze activitățile IT și să gestioneze riscurile într-un mod coerent și controlat. Acesta este un aspect esențial pentru conformitatea cu Directiva NIS, deoarece implementarea directivei nu poate avea succes fără o structură operațională bine definită.
În esență, ITIL oferă o bază pe care se poate construi un sistem de management al securității informațiilor care să respecte si cerințele NIS. Fără ITIL, organizațiile rămân la un nivel de maturitate ad-hoc, în care deciziile sunt luate de la caz la caz, fără o strategie clară. Acest lucru face aproape imposibil să implementezi un sistem de management care să răspundă cerințelor de securitate și reziliență impuse de NIS. Un sistem de management aliniat cu cerintele de baza ale Directivei NIS, nu se poate implementa decat prin mijloace digitale moderne intr-o organizatie si trebuie sa se realizeze pe cateva procese minimale de ITIL.
Cele patru domenii cheie ITIL în sprijinul Directivei NIS
ITIL acoperă patru domenii esențiale care sunt direct legate de cerințele Directivei NIS:
• Service Strategy (Strategia serviciilor): Un aspect crucial al conformității cu NIS este alinierea strategiei de securitate IT cu obiectivele generale ale afacerii. ITIL ajută organizațiile să își definească și să implementeze o strategie de securitate cibernetică care să fie în acord cu obiectivele lor de business. Aceasta include, de asemenea, implementarea unui cadru de gestionare a riscurilor TIC și a rezilienței, cerință specifică din NIS 2.
• Service Design (Designul serviciilor): ITIL facilitează proiectarea serviciilor IT într-un mod care să reducă riscurile și să asigure continuitatea operațiunilor critice. În cadrul NIS 2, organizațiile sunt obligate să adopte măsuri pentru prevenirea vulnerabilităților și asigurarea continuității afacerii, iar designul adecvat al serviciilor IT este un pas esențial în această direcție.
• Service Transition (Tranziția serviciilor): ITIL gestionează tranzițiile serviciilor și modificările care pot avea un impact asupra securității. Conform NIS 2, orice schimbare care afectează securitatea IT trebuie gestionată și documentată corespunzător. ITIL oferă cadrul necesar pentru a face acest lucru într-un mod controlat și predictibil.
• Service Operation (Operațiunile serviciilor): ITIL asigură gestionarea corectă a serviciilor IT aflate în producție, inclusiv identificarea și remedierea rapidă a incidentelor. Acest lucru este esențial pentru respectarea cerințelor Directivei NIS în ceea ce privește raportarea și managementul incidentelor de securitate.
Sa pornim de la managementul ecosistemului, arhitectura sistemului, Lista asseturilor dintr-o organizatie. Nu poti face ceva relevant si de calitate daca nu ai un CMDB - Configuration Management Database. Masa covarsitoare a companiilor din Romania (inclusiv unele mai reglementate) nu pot explica la prima mana unui auditor ce sisteme au, cum interactioneaza intre ele, ce aplicatii au si asa mai departe. De obicei, totul este tinut minte de cativa oameni cheie dintr-o organizatie, carora le e lene sau efectiv nu vor sa documenteze ce stiu, ca nu sa devina replaceable. Deasemenea, majoritatea companiilor nu au o lista detaliata a asseturilor, din care sa reiasa macar ce versiuni de software au, ce aplicatii samd. Nu mai merg mai departe ca majoritatea clientilor cu care m-am intalnit nu stiu ce procese, asseturi critice au. Deci nu zic de o analiza de impact a afacerii cat si un plan de continuitate coerent al acesteia.
Sa continuam cu managementul incidentelor operationale si de securitate, managementul schimbarilor. Majoritatea companiilor nu isi inregistreaza aceste date pentru ca efectiv nu au un service desk. Managementul conturilor de utilizator si al ciclului de viata a unei identitati se face nedocumentat, sau, in cel mai bun caz, prin niste formulare printate pe hartie care sunt imposibil de utilizat atunci cand vrei sa faci analiza separarii responsabilitatilor sau auditul conturilor de utilizator. Schimbarile unei configuratii se fac adhoc si nu sunt documentate.
Ca sa fac o generalizare in nivelul de maturitate a managementului IT in Romania, acesta se cam face dupa ureche si intr-un mod haotic sau nedigitalizat. Din aceasta cauza, evaluez ca o mare parte din companii nu au un sistem structurat de a-si coordona activitatea departamentelor critice, sau o fac doar ca sa treaca de un audit NIS (adica au facut niste proceduri si politici, au inceput sa implementeze niste mecanisme minimale, dar nedigitalizate, cu ajutorul faimosului Microsoft Excel si Word – si asta in cel mai bun caz).
Instrumente specifice ITIL și alinierea cu cerințele NIS 2
Pe lângă procesele pe care le structurează, ITIL se bazează pe o serie de instrumente digitale care sunt esențiale pentru gestionarea securității IT. Dintre acestea, CMDB (Configuration Management Database) și Service Desk sunt două dintre cele mai importante.
• CMDB (Configuration Management Database): CMDB-ul eficientă susține gestionarea activelor și a configurărilor esențiale. Conform NIS 2, organizațiile trebuie să aibă o cunoaștere detaliată a infrastructurii IT critice pentru a gestiona riscurile. Prin intermediul CMDB, se poate asigura o gestionare adecvată a activelor esențiale și a relațiilor dintre acestea. Prin tooluri de IT Asset management, se pot colecta in mod dynamic toate configuratiile sistemelor critice, dar si se pot identifica modificari de configuratie neautorizate. CMDB permite organizațiilor să-și gestioneze în mod eficient infrastructura IT și să mențină o evidență clară a tuturor activelor și configurațiilor critice. Conform Directivei NIS 2, organizațiile trebuie să aibă o cunoaștere detaliată a infrastructurii lor IT critice pentru a putea gestiona riscurile în mod eficient. Un CMDB bine întreținut face posibil acest lucru, oferind o viziune clară asupra tuturor sistemelor și a interacțiunilor dintre ele.
• Un Service Desk facilitează raportarea și gestionarea incidentelor, o cerință esențială a Directivei NIS 2. Serviciul de suport este punctul central pentru raportarea și monitorizarea incidentelor de securitate cibernetică, ajutând la detectarea și gestionarea lor rapidă. Service Desk este esențial pentru gestionarea incidentelor și a problemelor operaționale și de securitate. Acesta oferă un punct centralizat pentru raportarea și monitorizarea incidentelor de securitate cibernetică, contribuind astfel la detectarea rapidă și gestionarea eficientă a acestora. În plus, un Service Desk bine organizat poate automatiza multe dintre fluxurile de lucru necesare pentru conformitatea cu NIS, reducând astfel povara asupra echipelor IT.
De asemenea, prin intermediul Service Desk, se poate facilita digitalizarea majorității operațiunilor suplimentare necesare pentru respectarea cerințelor Directivei NIS.
Pe baza experienței mele practice, Directiva NIS introduce aproximativ 50 de fluxuri de lucru IT distincte într-o organizație. Fără unelte care să digitalizeze aceste fluxuri, echipele IT și OT (tehnologie operațională) vor fi incapabile să le operationalizeze eficient.
În continuare, voi detalia câteva dintre aceste fluxuri critice:
Managementul identităților
• Provisioning și De-provisioning de Conturi. Procesul de provisioning implică crearea și configurarea conturilor utilizatorilor pentru a le oferi acces la aplicațiile și platformele necesare. Acest lucru se face la angajare sau atunci când un utilizator primește noi responsabilități care necesită acces suplimentar. Pe de altă parte, de-provisioning se referă la dezactivarea și eliminarea accesului utilizatorilor atunci când aceștia părăsesc organizația sau când nu mai au nevoie de anumite permisiuni. Asigurarea unui provisioning și de-provisioning corect este vitală pentru a preveni accesul neautorizat la resurse și pentru a proteja datele sensibile ale organizației.
• Managementul Accesului pe Bază de Roluri (RBAC). Role-Based Access Control (RBAC) este un mecanism esențial pentru gestionarea accesului utilizatorilor pe baza responsabilităților și pozițiilor acestora în cadrul organizației. Prin RBAC, se definesc roluri care au drepturi de acces specifice, permițând fiecărui utilizator să acceseze doar resursele necesare pentru a-și îndeplini sarcinile. Acest control granular ajută la reducerea riscului de acces excesiv sau neautorizat. Implementarea RBAC ajută la păstrarea unei securități stricte și reduce complexitatea gestionării individuale a permisiunilor pentru fiecare utilizator.
• Recertificarea și Revizuirea Periodică a Accesului. Recertificarea accesului presupune verificarea periodică a drepturilor de acces ale utilizatorilor pentru a confirma că acestea sunt încă relevante și necesare pentru activitatea lor curentă. Acest proces este critic pentru a asigura că utilizatorii nu păstrează acces la resurse de care nu mai au nevoie, prevenind astfel potențiale breșe de securitate. Revizuirea periodică a accesului este esențială pentru menținerea conformității cu politicile de securitate și cerințele legale, cum ar fi cele impuse de Directiva NIS.
Managementul vulnerabilităților
• Raportarea Vulnerabilităților prin Service Desk. Vulnerabilitățile descoperite cu ajutorul instrumentelor de scanare și securitate pot fi raportate direct către Service Desk, unde sunt înregistrate ca ticket-uri. Acest lucru centralizează managementul vulnerabilităților, permițând o urmărire clară și eficientă a fiecărei probleme de securitate identificate. Această abordare asigură transparență și responsabilitate în cadrul echipelor IT care sunt responsabile de remedierea vulnerabilităților.
• Gestionarea Deviatiilor de la Standardele de Securitate (Security Baselines). Orice deviere de la security baseline – setările minime de securitate necesare pentru echipamente, aplicații sau rețele – poate fi înregistrată ca ticket în Service Desk. Aceste abateri sunt apoi atribuite echipelor corespunzătoare pentru investigare și remediere. Acest proces ajută la asigurarea unei conformități continue cu politicile interne de securitate și cu standardele externe, cum ar fi NIS.
• Clasificarea Automată a Vulnerabilităților. Vulnerabilitățile și abaterile de la standarde pot fi clasificate automat în funcție de gravitatea lor – critic, major sau minor. Această clasificare ajută la prioritizarea remediilor, concentrând resursele organizației pe gestionarea celor mai critice probleme de securitate. De exemplu, o vulnerabilitate critică identificată într-un sistem esențial pentru afaceri va fi tratată cu prioritate față de o problemă minoră într-o aplicație non-critică.
• Automatizarea Fluxurilor de Lucru pentru Remedierea Vulnerabilităților. Service Desk-ul poate iniția fluxuri de lucru automatizate care sunt atribuite echipelor responsabile de securitate, IT sau dezvoltare, asigurându-se că fiecare vulnerabilitate este monitorizată, iar remedierea este realizată în timp util. Această abordare eficientizează întregul proces și garantează respectarea termenele stabilite pentru remediere, conform gravității problemei.
• Setarea și Monitorizarea SLA-urilor (Service Level Agreements). Pentru fiecare vulnerabilitate înregistrată, pot fi stabilite SLA-uri care definesc cât de repede trebuie să fie rezolvată problema în funcție de criticitatea sa. Monitorizarea acestor SLA-uri prin Service Desk permite o gestionare eficientă a resurselor și asigură că problemele de securitate sunt tratate în conformitate cu acordurile prestabilite.
• Escaladarea Automată a Problemelor Critice. Dacă o vulnerabilitate nu este remediată la timp sau devine mai gravă, Service Desk-ul poate escalada automat problema către managerii de securitate sau echipele de răspuns rapid. Acest proces de escaladare poate include toate informațiile relevante despre vulnerabilitate, permițând o intervenție rapidă și bine documentată.
• Gestionarea Cererilor de Excepție. În cazul în care o deviere de la security baseline nu poate fi remediată imediat – de exemplu, din cauza unor restricții operaționale sau tehnologice – Service Desk-ul poate gestiona cererile de excepție. Acest lucru include documentarea motivelor pentru care devierea nu a fost remediată imediat și menținerea unui audit trail clar pentru conformitatea cu standardele de securitate.
• Facilitarea Comunicării și Actualizările Regulate. Service Desk-ul facilitează comunicarea între echipele implicate, oferind actualizări constante cu privire la stadiul remediilor vulnerabilităților și abaterilor de la standarde. Aceasta asigură că toate părțile interesate sunt la curent cu progresul și că orice blocaje sunt identificate și rezolvate rapid.
• Coordonarea Procesului de Patch Management. Atunci când remedierea vulnerabilităților necesită aplicarea unor patch-uri sau actualizări, Service Desk-ul poate coordona întregul proces, asigurându-se că sistemele critice sunt actualizate fără a întrerupe operațiunile. Acest proces include testarea patch-urilor înainte de implementare și monitorizarea aplicării lor pentru a evita erori care ar putea afecta infrastructura.
Managementul Incidentelor de Securitate
• Raportarea Incidentelor de Securitate. Utilizatorii și echipele tehnice pot raporta direct incidentele de securitate prin intermediul Service Desk-ului, care le înregistrează ca ticket-uri. Aceste incidente pot include breșe de securitate, tentative de phishing, malware sau atacuri cibernetice. Toate incidentele sunt centralizate și urmărite într-un sistem de ticketing care poate fi monitorizat de echipele de securitate.
• Clasificarea și Priorizarea Incidentelor. Incidentele raportate sunt clasificate automat sau manual în funcție de tipul, gravitatea și impactul lor. Această clasificare permite prioritizarea incidentelor și atribuirea lor către echipele de răspuns corespunzătoare, cum ar fi echipele SOC (Security Operations Center). Incidentele critice, cum ar fi breșele majore de securitate, sunt tratate cu prioritate maximă și escaladate automat.
• Coordonarea Răspunsului la Incidente. Service Desk-ul poate declanșa fluxuri de lucru pentru echipele de răspuns la incidente (IR - Incident Response), asigurându-se că fiecare incident este evaluat, izolat și investigat corespunzător. Fiecare pas al procesului este documentat, de la detectarea incidentului la implementarea măsurilor corective și preventive.
• Escalarea Automată a Incidentelor Critice. Dacă un incident nu este gestionat în termenul stabilit sau necesită expertiză suplimentară, Service Desk-ul poate escalada automat problema către echipe de nivel superior sau furnizori de servicii terți. Escalarea include toate detaliile despre incident, permițând o intervenție promptă și bine informată.
• Documentarea și Învățarea din Incidente. Service Desk-ul joacă un rol important în documentarea post-incident. După rezolvarea incidentului, toate detaliile despre cauze, impact și soluțiile aplicate sunt stocate pentru analiza ulterioară. Aceste informații sunt folosite pentru îmbunătățirea proceselor de securitate, prin identificarea vulnerabilităților și lacunelor care au dus la incident.
• Comunicarea și Notificările. Service Desk-ul facilitează comunicarea între departamente pe durata unui incident de securitate, oferind actualizări regulate cu privire la starea incidentului și măsurile întreprinse. În cazul incidentelor grave, poate trimite alerte către utilizatori și echipe, informându-i despre riscuri potențiale și acțiunile preventive pe care trebuie să le adopte, cum ar fi resetarea parolelor sau implementarea patch-urilor de securitate.
Concluzii
Ca sa fiu avocatul Directivei NIS, recomandarea mea catre orice factor de decizie sub incidenta Directivei NIS este sa priveasca aceasta cerinta legislativa ca o oportunitate de a aduce control al riscului, structura si ordine in business.
Pentru ca, unul dintre beneficiile majore ale unei abordari integrate ITIL – Directiva NIS este ca se implementeaza ordine si structura in departamentele afectate si aceastea isi pot arata valoarea mai bine catre business. Si ulterior pot implementa cu success orice unealta de securitate cibernetica care este ceruta direct de Directiva NIS sau de procesul de management al riscurilor.
In lumea companiilor care un un nivel de organizare ad-hoc al activitatilor IT si OT, cum sunt masa reprezentativa a companiilor din Romania, ITIL aduce structura si suporta cerintele Directivei NIS. Fara aceasta structura minimala de procese, activitati si tooluri, este imposibil ca sa aduci ordine in haos, este imposibil implementezi de o maniera eficace domenii de baza din managementul securitatii, inpuse prin NIS 2.
Daca doriti sa implementati real cerintele Directivei NIS, incepeti cu ITIL. In acest fel, incepeti sa aveti ordine si trasabilitate in departamentele critice operationale si veti fi capabili ulterior sa operationalizati mecanismele integrate ale unui Sistem de management al securitatii adecvat.