W obliczu rosnących zagrożeń cybernetycznych i coraz bardziej złożonych środowisk IT, organizacje muszą sprostać wymaganiom regulacyjnym, które mają na celu zapewnienie odpowiedniej odporności operacyjnej. Dyrektywa DORA (Digital Operational Resilience Act) to kluczowa regulacja Unii Europejskiej, która nakłada na organizacje szereg obowiązków w zakresie odporności cyfrowej.

Information Technology Infrastructure Library (ITIL) to zbiór najlepszych praktyk zarządzania usługami IT, który może znacząco wspierać organizacje w spełnianiu wymagań tych regulacji. Niniejszy dokument analizuje, w jaki sposób praktyki ITIL mogą pomóc organizacjom w realizacji wymagań DORA, identyfikując kluczowe obszary synergii i praktyczne zastosowania.

1. Praktyki i najważniejsze elementy ITIL

1.1 Czym jest ITIL?

ITIL (Information Technology Infrastructure Library) to zbiór szczegółowych praktyk zarządzania usługami IT, który koncentruje się na dostosowaniu usług IT do potrzeb biznesowych. ITIL 4, najnowsza wersja ram, wprowadza holistyczne podejście do zarządzania usługami IT i obejmuje 34 praktyki zarządzania podzielone na trzy kategorie:

Praktyki zarządzania ogólnego:

1. Zarządzanie architekturą
2. Ciągłe doskonalenie
3. Zarządzanie bezpieczeństwem informacji
4. Zarządzanie wiedzą
5. Pomiary i raportowanie
6. Zarządzanie zmianami organizacyjnymi
7. Zarządzanie portfelem
8. Zarządzanie projektami
9. Zarządzanie relacjami
10. Zarządzanie ryzykiem
11. Zarządzanie dostawcami
12. Zarządzanie strategią
13. Zarządzanie talentami
14. Zarządzanie finansami usług IT

Praktyki zarządzania usługami:

1. Zarządzanie dostępnością
2. Analiza biznesowa
3. Zarządzanie potencjałem wykonawczym i wydajnością
4. Umożliwianie zmian
5. Zarządzanie incydentami
6. Zarządzanie zasobami IT
7. Monitorowanie i zarządzanie zdarzeniami
8. Zarządzanie problemami
9. Zarządzanie wydaniami
10. Zarządzanie katalogiem usług
11. Zarządzanie konfiguracją usług
12. Zarządzanie ciągłością usług
13. Projektowanie usług
14. Service Desk
15. Zarządzanie poziomem świadczenie usług
16. Zarządzanie wnioskami o usługi
17. Walidacja i testowanie usług

Praktyki zarządzania technicznego:

1. Zarządzanie wdrożeniami
2. Zarządzanie infrastrukturą i platformą
3. Rozwój i zarządzanie oprogramowaniem

ITIL 4 wprowadza również System Wartości Usług (Service Value System, SVS), który obejmuje: – Łańcuch wartości usług (Service Value Chain) – Cztery wymiary zarządzania usługami – Zasady przewodnie – Praktyki – Ciągłe doskonalenie

1.2 Kluczowe zasady ITIL 4

ITIL 4 opiera się na siedmiu zasadach przewodnich:

1. Koncentracja na wartości: Wszystkie działania powinny przyczyniać się do tworzenia wartości dla interesariuszy.
2. Rozpoczynanie od aktualnego stanu: Wykorzystanie istniejących elementów i wprowadzanie zmian stopniowo.
3. Iteracyjne postępy z informacją zwrotną: Organizowanie pracy w mniejsze, możliwe do zarządzania części z możliwością uzyskania informacji zwrotnej.
4. Współpraca i promowanie widoczności: Praca zespołowa i przejrzystość.
5. Myślenie i praca holistyczne: Uwzględnienie całego systemu, a nie tylko jego części.
6. Prostota i praktyczność: Eliminacja zbędnych złożoności.
7. Optymalizacja i automatyzacja: Optymalizacja procesów przed ich automatyzacją.

2. Wymagania DORA

2.1 Czym jest DORA?

DORA (Digital Operational Resilience Act) to rozporządzenie UE, które ustanawia zharmonizowane podejście do cyfrowej odporności operacyjnej w sektorze finansowym UE. DORA określa wymagania dotyczące bezpieczeństwa systemów sieciowych i informatycznych dla organizacji w sektorze finansowym oraz ich dostawców usług ICT.

2.2 Kluczowe obszary wymagań DORA

Zarządzanie ryzykiem:

• Udokumentowane ramy zarządzania ryzykiem ICT
• Możliwość szybkiego, efektywnego i kompleksowego reagowania na ryzyko ICT
• Zapewnienie wysokiego poziomu cyfrowej odporności operacyjnej
• Regularne testowanie

Zarządzanie incydentami:

• Proces zarządzania incydentami ICT
• Wykrywanie, zarządzanie i powiadamianie o incydentach ICT
• Odpowiednie procedury i procesy zapewniające spójne i zintegrowane monitorowanie, obsługę i śledzenie incydentów ICT

Bezpieczeństwo łańcucha dostaw:

• Zarządzanie ryzykiem związanym z dostawcami ICT
• Umowy uwzględniające ryzyko stron trzecich
• Rejestr dostawców usług i raportowanie do właściwych organów

Wymagania dotyczące umów:

• Określone wymagania dla umów między podmiotami finansowymi a dostawcami usług ICT
• Ramy nadzoru dla krytycznych dostawców usług ICT

Współpraca i nadzór:

• Zasady współpracy między organami nadzorczymi
• Nadzór i egzekwowanie przepisów

3. Jak praktyki ITIL wspierają wymagania DORA

3.1 Zarządzanie ryzykiem

Praktyki ITIL wspierające ten obszar:

Zarządzanie ryzykiem: ITIL dostarcza strukturę do identyfikacji, oceny i zarządzania ryzykiem, co bezpośrednio wspiera wymagania DORA dotyczące ram zarządzania ryzykiem ICT.

Zarządzanie bezpieczeństwem informacji: Ta praktyka ITIL koncentruje się na ochronie poufności, integralności i dostępności informacji, co jest kluczowe dla zapewnienia cyfrowej odporności operacyjnej.

Zarządzanie strategią: Pomaga w dostosowaniu strategii IT do celów biznesowych, w tym do wymagań regulacyjnych.

Przykłady praktycznego zastosowania:

• Wykorzystanie ram zarządzania ryzykiem ITIL do opracowania udokumentowanych ram zarządzania ryzykiem ICT wymaganych przez DORA.
• Wdrożenie praktyk zarządzania bezpieczeństwem informacji ITIL, które wspierają szybkie, efektywne i kompleksowe reagowanie na ryzyko ICT.
• Zastosowanie praktyk zarządzania strategią ITIL do zapewnienia, że zarządzanie ryzykiem ICT jest zintegrowane z ogólną strategią organizacji.

3.2 Zarządzanie incydentami

Praktyki ITIL wspierające ten obszar:

Zarządzanie incydentami: Dostarcza strukturę do wykrywania, klasyfikacji, reagowania i rozwiązywania incydentów, co bezpośrednio wspiera wymagania DORA dotyczące procesu zarządzania incydentami ICT.

Zarządzanie problemami: Pomaga w identyfikacji przyczyn źródłowych incydentów i zapobieganiu ich ponownemu wystąpieniu.

Monitorowanie i zarządzanie zdarzeniami: Umożliwia wczesne wykrywanie potencjalnych incydentów.

Przykłady praktycznego zastosowania:

• Wdrożenie procesu zarządzania incydentami ITIL, który obejmuje wykrywanie, zarządzanie i powiadamianie o incydentach ICT.
• Wykorzystanie praktyk monitorowania i zarządzania zdarzeniami ITIL do zapewnienia spójnego i zintegrowanego monitorowania incydentów ICT.
• Zastosowanie praktyk zarządzania problemami ITIL do analizy przyczyn źródłowych incydentów i zapobiegania ich ponownemu wystąpieniu.

3.3 Bezpieczeństwo łańcucha dostaw

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostawcami: Dostarcza ramy do zarządzania relacjami z dostawcami, w tym oceny ryzyka i monitorowania wydajności dostawców.

Zarządzanie relacjami: Pomaga w budowaniu i utrzymywaniu efektywnych relacji z dostawcami.

Zarządzanie kontraktami: Zapewnia, że umowy z dostawcami zawierają odpowiednie klauzule dotyczące bezpieczeństwa.

Przykłady praktycznego zastosowania:

• Wdrożenie procesu zarządzania dostawcami ITIL, który obejmuje zarządzanie ryzykiem związanym z dostawcami ICT.
• Wykorzystanie praktyk zarządzania kontraktami ITIL do zapewnienia, że umowy z dostawcami ICT uwzględniają ryzyko stron trzecich.
• Zastosowanie praktyk zarządzania dostawcami ITIL do prowadzenia rejestru dostawców usług i raportowania do właściwych organów.

3.4 Wymagania dotyczące umów

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostawcami: Dostarcza ramy do zarządzania relacjami z dostawcami, w tym negocjowania i zarządzania umowami.

Zarządzanie poziomem usług: Pomaga w definiowaniu, monitorowaniu i raportowaniu poziomów usług dostarczanych przez dostawców (SLA).

Przykłady praktycznego zastosowania:

• Wykorzystanie praktyk zarządzania dostawcami ITIL do opracowania umów z dostawcami usług ICT, które spełniają wymagania DORA.
• Zastosowanie praktyk zarządzania poziomem usług ITIL do monitorowania zgodności dostawców z uzgodnionymi poziomami usług (SLA).
• Wdrożenie ram nadzoru dla krytycznych dostawców usług ICT zgodnie z praktykami zarządzania dostawcami ITIL.

3.5 Współpraca i nadzór (Governance)

Elementy ITIL wspierające ten obszar:

Zarządzanie relacjami: Pomaga w budowaniu i utrzymywaniu efektywnych relacji z organami nadzorczymi.

Governance: Zapewnia, że organizacja spełnia wymagania regulacyjne.

Przykłady praktycznego zastosowania:

• Wykorzystanie praktyk zarządzania relacjami ITIL do współpracy z organami nadzorczymi.
• Zastosowanie Governance z Systemu Wartości Usług ITIL do zapewnienia zgodności z wymaganiami DORA.
• Wdrożenie mechanizmów raportowania zgodnych z wymaganiami DORA dotyczącymi nadzoru i egzekwowania przepisów.

4. Praktyczne kroki wdrożenia ITIL dla zgodności z DORA

4.1 Ocena obecnego stanu

Przeprowadzenie analizy luki: Porównanie obecnych praktyk z wymaganiami DORA oraz praktykami ITIL.

Identyfikacja obszarów do poprawy: Określenie, które obszary wymagają największej uwagi.

Priorytetyzacja działań: Ustalenie priorytetów działań na podstawie ryzyka i wymagań regulacyjnych.

4.2 Opracowanie planu wdrożenia

Określenie celów: Zdefiniowanie jasnych celów wdrożenia ITIL dla zgodności z DORA.

Identyfikacja zasobów: Określenie niezbędnych zasobów, w tym personelu, narzędzi i budżetu.

Opracowanie harmonogramu: Ustalenie realistycznego harmonogramu wdrożenia.

Określenie miar sukcesu: Zdefiniowanie wskaźników, które będą używane do mierzenia postępu i sukcesu.

4.3 Wdrożenie kluczowych praktyk ITIL

Zarządzanie ryzykiem: Wdrożenie praktyk zarządzania ryzykiem ITIL, które

wspierają wymagania DORA.

Zarządzanie incydentami: Wdrożenie procesu zarządzania incydentami ITIL, który obejmuje wykrywanie, reagowanie i raportowanie incydentów.

Zarządzanie dostawcami: Wdrożenie praktyk zarządzania dostawcami ITIL, które wspierają bezpieczeństwo łańcucha dostaw.

Zarządzanie ciągłością biznesową: Wdrożenie praktyk zarządzania ciągłością biznesową ITIL, które zapewniają odporność operacyjną.

Zarządzanie zmianami: Wdrożenie procesu zarządzania zmianami ITIL, który minimalizuje ryzyko związane ze zmianami.

4.4 Monitorowanie i ciągłe doskonalenie

Regularne przeglądy: Przeprowadzanie regularnych przeglądów wdrożonych praktyk ITIL.

Audyty zgodności: Przeprowadzanie audytów zgodności z wymaganiami DORA.

Ciągłe doskonalenie: Wdrożenie cyklu ciągłego doskonalenia ITIL do regularnego ulepszania praktyk.

5. Wyzwania i najlepsze praktyki

5.1 Wyzwania

Złożoność regulacji: DORA jest złożoną regulacją, która może być trudna do zrozumienia i wdrożenia.

Ograniczone zasoby: Organizacje mogą mieć ograniczone zasoby do wdrożenia wszystkich wymaganych praktyk.

Zmieniające się zagrożenia: Krajobraz zagrożeń cybernetycznych stale się zmienia, co wymaga ciągłej adaptacji praktyk.

Integracja z istniejącymi procesami: Integracja praktyk ITIL z istniejącymi procesami może być wyzwaniem.

5.2 Najlepsze praktyki

• Podejście oparte na ryzyku: Priorytetyzacja działań na podstawie oceny ryzyka.
• Zaangażowanie kierownictwa: Zapewnienie zaangażowania kierownictwa wyższego szczebla.
• Szkolenia i podnoszenie świadomości: Regularne szkolenia pracowników i kampanie podnoszące świadomość.
• Automatyzacja: Wykorzystanie narzędzi automatyzacji do zwiększenia efektywności.
• Współpraca między działami: Promowanie współpracy między działami IT, bezpieczeństwa i biznesu.
• Dokumentacja: Dokładna dokumentacja wszystkich procesów i procedur.
• Regularne przeglądy i audyty: Przeprowadzanie regularnych przeglądów i audytów w celu zapewnienia zgodności.

6. Podsumowanie

Praktyki ITIL mogą znacząco wspierać organizacje w spełnianiu wymagań DORA. Dzięki swojemu kompleksowemu podejściu do zarządzania usługami IT, ITIL dostarcza ramy, które mogą być wykorzystane do wdrożenia skutecznych procesów zarządzania ryzykiem, incydentami, dostawcami i ciągłością działania, które są kluczowe dla zgodności z tą regulacją.

Wdrożenie praktyk ITIL wymaga systematycznego podejścia, zaangażowania kierownictwa i odpowiednich zasobów, ale korzyści wykraczają poza samą zgodność regulacyjną. Organizacje, które skutecznie wdrażają praktyki ITIL, mogą również poprawić jakość usług IT, zwiększyć efektywność operacyjną i lepiej zarządzać ryzykiem, co prowadzi do większej odporności operacyjnej i konkurencyjności.

Artykuł Jak praktyki ITIL wspierają wymagania zawarte w DORA? pochodzi z serwisu Mariusz Siek.

W obliczu rosnących zagrożeń cybernetycznych i coraz bardziej złożonych środowisk IT, organizacje muszą sprostać wymaganiom regulacyjnym, które mają na celu zapewnienie odpowiedniego poziomu bezpieczeństwa. Dyrektywa NIS2 (Network and Information Security 2) to kluczowa regulacja Unii Europejskiej, która nakłada na organizacje szereg obowiązków w zakresie cyberbezpieczeństwa.

Information Technology Infrastructure Library (ITIL) to zbiór najlepszych praktyk zarządzania usługami IT, który może znacząco wspierać organizacje w spełnianiu wymagań tej regulacji. Niniejszy artykuł analizuje, w jaki sposób praktyki ITIL mogą pomóc organizacjom w realizacji wymagań NIS2, identyfikując kluczowe obszary synergii i praktyczne zastosowania.

1. Praktyki i najważniejsze elementy ITIL

1.1 Czym jest ITIL?

ITIL (Information Technology Infrastructure Library) to zbiór szczegółowych praktyk zarządzania usługami IT, który koncentruje się na dostosowaniu usług IT do potrzeb biznesowych. ITIL 4, najnowsza wersja ram, wprowadza holistyczne podejście do zarządzania usługami IT i obejmuje 34 praktyki zarządzania podzielone na trzy kategorie:

Praktyki zarządzania ogólnego:

1. Zarządzanie architekturą
2. Ciągłe doskonalenie
3. Zarządzanie bezpieczeństwem informacji
4. Zarządzanie wiedzą
5. Pomiary i raportowanie
6. Zarządzanie zmianami organizacyjnymi
7. Zarządzanie portfelem
8. Zarządzanie projektami
9. Zarządzanie relacjami
10. Zarządzanie ryzykiem
11. Zarządzanie dostawcami
12. Zarządzanie strategią
13. Zarządzanie talentami
14. Zarządzanie finansami usług IT

Praktyki zarządzania usługami:

1. Zarządzanie dostępnością
2. Analiza biznesowa
3. Zarządzanie potencjałem wykonawczym i wydajnością
4. Umożliwianie zmian
5. Zarządzanie incydentami
6. Zarządzanie zasobami IT
7. Monitorowanie i zarządzanie zdarzeniami
8. Zarządzanie problemami
9. Zarządzanie wydaniami
10. Zarządzanie katalogiem usług
11. Zarządzanie konfiguracją usług
12. Zarządzanie ciągłością usług
13. Projektowanie usług
14. Service Desk
15. Zarządzanie poziomem świadczenie usług
16. Zarządzanie wnioskami o usługi
17. Walidacja i testowanie usług

Praktyki zarządzania technicznego:

1. Zarządzanie wdrożeniami
2. Zarządzanie infrastrukturą i platformą
3. Rozwój i zarządzanie oprogramowaniem

ITIL 4 wprowadza również System Wartości Usług (Service Value System, SVS), który obejmuje: – Łańcuch wartości usług (Service Value Chain) – Cztery wymiary zarządzania usługami – Zasady przewodnie – Praktyki – Ciągłe doskonalenie

1.2 Kluczowe zasady ITIL 4

ITIL 4 opiera się na siedmiu zasadach przewodnich:

1. Koncentracja na wartości: Wszystkie działania powinny przyczyniać się do tworzenia wartości dla interesariuszy.
2. Rozpoczynanie od aktualnego stanu: Wykorzystanie istniejących elementów i wprowadzanie zmian stopniowo.
3. Iteracyjne postępy z informacją zwrotną: Organizowanie pracy w mniejsze, możliwe do zarządzania części z możliwością uzyskania informacji zwrotnej.
4. Współpraca i promowanie widoczności: Praca zespołowa i przejrzystość.
5. Myślenie i praca holistyczne: Uwzględnienie całego systemu, a nie tylko jego części.
6. Prostota i praktyczność: Eliminacja zbędnych złożoności.
7. Optymalizacja i automatyzacja: Optymalizacja procesów przed ich automatyzacją.

2. Wymagania dyrektywy NIS2

2.1 Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (Network and Information Security 2) to unijne prawo mające na celu podniesienie poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich. Stanowi ona aktualizację i rozszerzenie zakresu pierwotnej dyrektywy NIS z 2016 roku. NIS2 wprowadza surowsze wymagania dotyczące zarządzania ryzykiem cybernetycznym, zgłaszania incydentów oraz współpracy między krajami UE.

2.2 Kluczowe obszary wymagań NIS2

Zarządzanie ryzykiem cyberbezpieczeństwa:

• Kompleksowy i systematyczny proces identyfikacji, oceny i postępowania z ryzykiem
• Regularne przeprowadzanie ocen ryzyka
• Wdrażanie adekwatnych i proporcjonalnych środków technicznych i organizacyjnych
• Regularne przeglądy i aktualizacje ocen ryzyka

Środki techniczne i organizacyjne:

• Kontrola dostępu Szyfrowanie danych Segmentacja sieci
• Systemy wykrywania i zapobiegania włamaniom (IDS/IPS) Zaawansowane zabezpieczenia punktów końcowych (EDR) Mechanizmy uwierzytelniania wieloskładnikowego (MFA)
• Polityki bezpieczeństwa Procedury reagowania na incydenty
• Plany ciągłości działania i odtwarzania po awarii

Zgłaszanie incydentów:

• Informowanie właściwych organów o poważnych incydentach w ciągu 24 godzin Jednolity format zgłaszania incydentów
• Prowadzenie wewnętrznych rejestrów incydentów

Bezpieczeństwo łańcucha dostaw:

• Zarządzanie ryzykiem związanym z dostawcami i podwykonawcami Polityka bezpieczeństwa łańcucha dostaw
• Klauzule bezpieczeństwa w umowach z dostawcami
• Rejestr dostawców i podwykonawców

Szkolenia i podnoszenie świadomości:

• Program szkoleń dla pracowników Regularne szkolenia odświeżające
• Kampanie podnoszące świadomość cyberbezpieczeństwa

Nadzór i egzekwowanie przepisów:

• Wyznaczenie organów odpowiedzialnych za monitorowanie i egzekwowanie Audyty podmiotów kluczowych
• Sankcje za nieprzestrzeganie przepisów

3. Jak praktyki ITIL wspierają wymagania NIS2

3.1 Zarządzanie ryzykiem cyberbezpieczeństwa

Praktyki ITIL wspierające ten obszar:

Zarządzanie ryzykiem: ITIL dostarcza strukturę do identyfikacji, oceny i zarządzania ryzykiem, co bezpośrednio wspiera wymagania NIS2 dotyczące kompleksowego procesu zarządzania ryzykiem.

Zarządzanie bezpieczeństwem informacji: Ta praktyka ITIL koncentruje się na ochronie poufności, integralności i dostępności informacji, co jest kluczowe dla spełnienia wymagań NIS2.

Ciągłe doskonalenie: ITIL promuje regularne przeglądy i doskonalenie procesów, co wspiera wymagania NIS2 dotyczące regularnych przeglądów i aktualizacji ocen ryzyka.

Przykłady praktycznego zastosowania:

• Wykorzystanie ram zarządzania ryzykiem ITIL do przeprowadzania regularnych ocen ryzyka cyberbezpieczeństwa.
• Wdrożenie procesu zarządzania bezpieczeństwem informacji zgodnie z ITIL, który obejmuje kontrole bezpieczeństwa wymagane przez NIS2.
• Zastosowanie cyklu ciągłego doskonalenia ITIL do regularnego przeglądu i aktualizacji środków bezpieczeństwa.

3.2 Środki techniczne i organizacyjne

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostępnością: Zapewnia, że usługi IT są dostępne i niezawodne, co wspiera wymagania NIS2 dotyczące odporności systemów.

Zarządzanie aktywami IT: Pomaga w identyfikacji i zarządzaniu wszystkimi aktywami IT, co jest podstawą do wdrożenia odpowiednich środków bezpieczeństwa.

Zarządzanie konfiguracją usług: Zapewnia dokładne informacje o konfiguracji systemów, co jest kluczowe dla zarządzania podatnościami i wdrażania zabezpieczeń. Zarządzanie zmianami: Zapewnia, że zmiany w systemach są odpowiednio oceniane, autoryzowane i wdrażane, co minimalizuje ryzyko związane ze zmianami.

Przykłady praktycznego zastosowania:

• Wdrożenie kontroli dostępu i mechanizmów uwierzytelniania wieloskładnikowego zgodnie z praktykami zarządzania dostępem ITIL.
• Wykorzystanie bazy danych zarządzania konfiguracją (CMDB) do śledzenia wszystkich aktywów IT i ich zależności.
• Zastosowanie procesu zarządzania zmianami ITIL do oceny wpływu zmian na bezpieczeństwo przed ich wdrożeniem.

3.3 Zgłaszanie incydentów

Praktyki ITIL wspierające ten obszar:

Zarządzanie incydentami: Dostarcza strukturę do wykrywania, klasyfikacji, reagowania i rozwiązywania incydentów, co bezpośrednio wspiera wymagania NIS2 dotyczące zgłaszania incydentów.

Zarządzanie problemami: Pomaga w identyfikacji przyczyn źródłowych incydentów i zapobieganiu ich ponownemu wystąpieniu.

Monitorowanie i zarządzanie zdarzeniami: Umożliwia wczesne wykrywanie potencjalnych incydentów bezpieczeństwa.

Przykłady praktycznego zastosowania:

• Wdrożenie praktyki zarządzania incydentami ITIL, który obejmuje procedury zgłaszania incydentów do właściwych organów w wymaganym czasie.
• Wykorzystanie systemu zarządzania incydentami do prowadzenia wewnętrznych rejestrów incydentów.
• Zastosowanie praktyk zarządzania problemami ITIL do analizy przyczyn źródłowych incydentów i zapobiegania ich ponownemu wystąpieniu.

3.4 Bezpieczeństwo łańcucha dostaw

Praktyki ITIL wspierające ten obszar:

Zarządzanie dostawcami: Dostarcza ramy do zarządzania relacjami z dostawcami, w tym oceny ryzyka i monitorowania wydajności.

Zarządzanie relacjami: Pomaga w budowaniu i utrzymywaniu efektywnych relacji z

dostawcami.

Zarządzanie kontraktami: Zapewnia, że umowy z dostawcami zawierają odpowiednie klauzule dotyczące bezpieczeństwa.

Przykłady praktycznego zastosowania:

• Wdrożenie praktyki zarządzania dostawcami ITIL, który obejmuje ocenę ryzyka związanego z dostawcami.
• Wykorzystanie praktyk zarządzania kontraktami ITIL do zapewnienia, że umowy z dostawcami zawierają odpowiednie klauzule bezpieczeństwa.
• Zastosowanie praktyk zarządzania relacjami ITIL do regularnego monitorowania i audytu dostawców.

3.5 Szkolenia i podnoszenie świadomości

Praktyki ITIL wspierające ten obszar:

Zarządzanie wiedzą: Pomaga w gromadzeniu, organizowaniu i udostępnianiu wiedzy na temat bezpieczeństwa.

Zarządzanie talentami: Wspiera rozwój kompetencji pracowników w zakresie bezpieczeństwa.

Przykłady praktycznego zastosowania:

• Wdrożenie systemu zarządzania wiedzą ITIL do gromadzenia i udostępniania informacji o zagrożeniach i najlepszych praktykach bezpieczeństwa
• Wykorzystanie praktyk zarządzania talentami ITIL do opracowania programów szkoleniowych z zakresu cyberbezpieczeństwa
• Zastosowanie praktyk zarządzania wiedzą ITIL do prowadzenia kampanii podnoszących świadomość cyberbezpieczeństwa

4. Praktyczne kroki wdrożenia ITIL dla zgodności z NIS2

4.1 Ocena obecnego stanu

Przeprowadzenie analizy luki: Porównanie obecnych praktyk z wymaganiami NIS2 oraz praktykami ITIL.

Identyfikacja obszarów do poprawy: Określenie, które obszary wymagają największej uwagi.

Priorytetyzacja działań: Ustalenie priorytetów działań na podstawie ryzyka i wymagań regulacyjnych.

4.2 Opracowanie planu wdrożenia

Określenie celów: Zdefiniowanie jasnych celów wdrożenia ITIL dla zgodności z NIS2.

Identyfikacja zasobów: Określenie niezbędnych zasobów, w tym personelu, narzędzi i budżetu.

Opracowanie harmonogramu: Ustalenie realistycznego harmonogramu wdrożenia.

Określenie miar sukcesu: Zdefiniowanie wskaźników, które będą używane do mierzenia postępu i sukcesu.

4.3 Wdrożenie kluczowych praktyk ITIL

Zarządzanie ryzykiem: Wdrożenie praktyk zarządzania ryzykiem ITIL, które

wspierają wymagania NIS2.

Zarządzanie incydentami: Wdrożenie procesu zarządzania incydentami ITIL, który obejmuje wykrywanie, reagowanie i raportowanie incydentów.

Zarządzanie dostawcami: Wdrożenie praktyk zarządzania dostawcami ITIL, które wspierają bezpieczeństwo łańcucha dostaw.

Zarządzanie ciągłością biznesową: Wdrożenie praktyk zarządzania ciągłością biznesową ITIL, które zapewniają odporność operacyjną.

Zarządzanie zmianami: Wdrożenie procesu zarządzania zmianami ITIL, który minimalizuje ryzyko związane ze zmianami.

4.4 Monitorowanie i ciągłe doskonalenie

Regularne przeglądy: Przeprowadzanie regularnych przeglądów wdrożonych praktyk ITIL.

Audyty zgodności: Przeprowadzanie audytów zgodności z wymaganiami NIS2 i DORA.

Ciągłe doskonalenie: Wdrożenie cyklu ciągłego doskonalenia ITIL do regularnego ulepszania praktyk.

5. Wyzwania i najlepsze praktyki

5.1 Wyzwania

Złożoność regulacji: NIS2 jest złożoną regulacją, która może być trudna do zrozumienia i wdrożenia.

Ograniczone zasoby: Organizacje mogą mieć ograniczone zasoby do wdrożenia wszystkich wymaganych praktyk.

Zmieniające się zagrożenia: Krajobraz zagrożeń cybernetycznych stale się zmienia, co wymaga ciągłej adaptacji praktyk.

Integracja z istniejącymi procesami: Integracja praktyk ITIL z istniejącymi procesami może być wyzwaniem.

5.2 Najlepsze praktyki

• Podejście oparte na ryzyku: Priorytetyzacja działań na podstawie oceny ryzyka. Zaangażowanie kierownictwa: Zapewnienie zaangażowania kierownictwa wyższego szczebla.
• Szkolenia i podnoszenie świadomości: Regularne szkolenia pracowników i kampanie podnoszące świadomość.
• Automatyzacja: Wykorzystanie narzędzi automatyzacji do zwiększenia efektywności.
• Współpraca między działami: Promowanie współpracy między działami IT, bezpieczeństwa i biznesu.
• Dokumentacja: Dokładna dokumentacja wszystkich procesów i procedur.
• Regularne przeglądy i audyty: Przeprowadzanie regularnych przeglądów i audytów w celu zapewnienia zgodności.

6. Podsumowanie

Praktyki ITIL mogą znacząco wspierać organizacje w spełnianiu wymagań NIS2. Dzięki swojemu kompleksowemu podejściu do zarządzania usługami IT, ITIL dostarcza ramy, które mogą być wykorzystane do wdrożenia skutecznych procesów zarządzania ryzykiem, incydentami, dostawcami i ciągłością działania, które są kluczowe dla zgodności z tą regulacją.

Wdrożenie praktyk ITIL wymaga systematycznego podejścia, zaangażowania kierownictwa i odpowiednich zasobów, ale korzyści wykraczają poza samą zgodność regulacyjną. Organizacje, które skutecznie wdrażają praktyki ITIL, mogą również poprawić jakość usług IT, zwiększyć efektywność operacyjną i lepiej zarządzać ryzykiem, co prowadzi do większej odporności operacyjnej i konkurencyjności.

Artykuł Jak praktyki ITIL wspierają wymagania zawarte w NIS2? pochodzi z serwisu Mariusz Siek.

W każdej organizacji dla pracowników zakładane są konta i nadawane, zmieniane lub odbierane uprawnienia, do różnych aplikacji i danych. To element bezpieczeństwa w danej organizacji i bardzo ważny aspekt zarządzania usługami IT. ITIL, również nie pomija tego zagadnienia i w wersji 3, zwraca nie niego szczególną uwagę. Powołany jest dedykowany proces zarządzanie dostępem, który odpowiada, za obszar nadawania dostępu i uprawnień. W organizacjach różnie może być nazywany: zarządzanie dostępem, zarządzanie uprawnienia lub zarządzanie tożsamością. Zobaczmy jakie elementy wskazuje jako kluczowe.

Cele

Głównym cele procesu zarządzania dostępem jest, zapewnienie nadania uprawnień dla użytkowników do określonej usługi lub grupy usług. Proces odpowiada za wykonanie polityk i działań zdefiniowanych w procesie zarządzania bezpieczeństwem informacji, który funkcjonuje na etapie projektowania usługi. Dla porządku podam, że proces zarządzania dostępem, funkcjonuje na etapie utrzymania operacyjnego usługi. Cele szczegółowe procesu zarządzania dostępem to:

• Zarządzanie dostępem do usług w oparciu o polityki i procedury, określone jest w procesie zarządzania bezpieczeństwem informacji. Musimy zadbać aby wszystkie zasady, reguły i wymagania były zapisane w odpowiednich politykach, które znajdą następnie odzwierciedlenie w procedurach i instrukcjach operacyjnych.
• Efektywna obsługa żądań o nadanie dostępu do usług, zmiany nadanych uprawnień lub ich odebranie, mająca na celu poprawne nadanie, zmianę lub odebranie uprawnień. Dostęp do aplikacji lub danych może być kluczowym elementem dla działania organizacji, dlatego trzeba zapewnić aby procedury i instrukcje były sprawnie i efektywnie wykonywane, szczególnie w zakresie odbierania uprawnień.
• Nadzorowanie dostępu do usług i zapewnienie właściwego wykorzystania nadanych uprawnień. Nie wystarczy tylko nadać uprawnienia. Trzeba jeszcze pilnować i kontrolować czy są one odpowiednio nadawane i wykorzystywane zgodnie z przeznaczeniem.

Zakres procesu

Proces zarządzania dostępem:

• Wykonuje polityki określone w procesie zarządzania bezpieczeństwem informacji w celu zarządzania poufnością, dostępnością i integralnością danych organizacji.
• Zapewnia nadanie odpowiednich uprawnień do usług ale nie zapewnia dostępności tych usług dla użytkowników. Za to odpowiada proces zarządzania dostępnością.
• Wykorzystuje do nadawania uprawnień Service Desk lub zespół utrzymania. Przełożeni użytkowników składają zgłoszenia (service request) o nadanie uprawnień.
• Oprócz nadawania uprawnień bardzo częstymi zgłoszeniami od użytkowników jest resetowanie lub zmiana hasła do istniejących kont. To jest bardzo absorbujące zajęcie, ponieważ mimo polityki haseł, którą wszyscy powinni znać oraz komunikatów, przypominających o zmianie hasła, część użytkowników nie stosuje się do nich. Niestety później zwraca się o reset hasła do Service Desku. Można oczywiście wdrożyć automatyczny system, który w bezpieczny sposób będzie resetował hasła użytkowników aby zmniejszyć ilość zgłoszeń do Service Desk.

Wartość dla biznesu

Jakie korzyści i wartość dla biznesu daje prawidłowe funkcjonowanie procesu zarządzania dostępem?

• Zapewnia kontrolowany dostęp do usług, pozwalający na zachowanie poufności danych
• Zapewnia wymagane uprawnienia dla użytkowników, niezbędne do realizacji ich obowiązków zawodowych
• Zmniejsza ilość błędów we wprowadzaniu danych lub korzystaniu z krytycznych systemów przez pracowników o niewystarczających kompetencjach
• Zapewnia możliwość audytu wykorzystania usług lub śledzenia ich nadużyć
• Zapewnia możliwość odebrania uprawnień, w krótkim czasie (ważne ze względu bezpieczeństwa)
• Zapewnia zgodność z regulacjami (np. SOX, HIPAA, COBIT)

Co powinna zawierać polityka zarządzania dostępem?

Najważniejsze elementy, jakie powinny znaleźć się w polityce zarządzania dostępem to:

• Administrowanie dostępem i związane z tym aktywności powinny być ściśle określone i wynikać z polityk zarządzania bezpieczeństwem informacji
• Logowanie i śledzenie wszystkich prób dostępu do usług, w celu weryfikacji czy usługi są wykorzystywane zgodnie z przeznaczeniem. Należy zapewnić mechanizmy, które będą rejestrować zdarzenia, w przypadku nieautoryzowanego dostępu lub nadużycia usług.
• Zarządzanie dostępem powinno odbywać się w bliskiej współpracy z działem HR, który odpowiada za zmiany kadrowe. Wymagana jest bardzo dobra komunikacja pomiędzy HR i IT aby przekazywać na czas informacje o nadaniu, zmianie lub odebraniu uprawnień.
• Określenie zasad zarządzania historią zdarzeń. Kto miał dostęp lub próbował mieć dostęp do usług. Są to niezbędne działania w celach audytowych. Należy również przechowywać informację, jakie uprawnienia zostały nadane, do jakich usług, przez kogo i kiedy.
• Zdefiniowanie jasnych i zrozumiałych procedur związanych z obsługą, eskalacją i komunikowaniem o zdarzeniach bezpieczeństwa.

Podstawowe zasady

Najważniejsze zasady, których powinniśmy przestrzegać.

• Uprawnienia powinny być nadawane do usług zdefiniowanych w katalogu usług. W samym katalogu usług, należy umieścić informacje związane z dostępem do usługi, polityką haseł itp.
• Dostęp odnosi się do poziomu i zakresu funkcjonalności usługi lub danych, do którego użytkownik jest uprawniony. Ważne jest, aby na etapie projektowania usługi, pamiętać o zasadach i wymaganiach bezpieczeństwa, które później pozwolą prawidłowo i z odpowiednią gradacją zarządzać dostępem do usługi.
• Tożsamość związana jest z informacjami o użytkowniku i powinna go jednoznacznie identyfikować w organizacji. Wymagane jest zdefiniowanie atrybutów użytkownika, które będą dla niego unikalne.
• Uprawnienia odnoszą się do aktualnych ustawień, na podstawie których użytkownik ma dostęp do usługi lub grupy usług. Typowe uprawnienia lub poziom dostępu to odczyt, zapis, wykonywalność, zmiana, usuwanie.
• W zarządzaniu dostępem i uprawnieniami należy wspierać się narzędziami, które pozwolą zastosować obowiązujące polityki i sprawnie nadawać, zmieniać lub odbierać uprawnienia. Nie są to łatwe zagadnienia. Nie efektywnie działające narzędzie może znacznie utrudnić i wydłużyć proces zarządzania uprawnieniami, a co gorsza może wpływać na obniżenie poziomu bezpieczeństwa w organizacji.

Bezpieczeństwo w IT zawsze było bardzo ważne a w ostatnim czasie jego rola jeszcze wzrosła. Zarządzanie dostępem do aplikacji i danych, to jego bardzo ważny element. Należy na niego zwrócić szczególna uwagę. Dzięki podjętym wysiłkom, możemy zwiększyć poziom bezpieczeństwa w organizacji oraz uniknąć zagrożeń, które są jak najbardziej realne i częstsze niż kiedykolwiek przedtem.

Pytanie: Na jaki aspekt bezpieczeństwa zwracasz szczególną uwagę w zarządzaniu dostępem?

Artykuł Zarządzanie dostępem zwiększa bezpieczeństwo pochodzi z serwisu Mariusz Siek.