Kakšne so najpogostejše vrzeli kibernetske varnosti v slovenskih organizacijah?
Novi ZInf (slovenski NIS 2) bo kot kaže šel v potrjevanje konec oktobra 2024, datum sprejema zaradi procedure še ni znan, kljub temu direktiva NIS 2 prične veljati s 17.10.2024.
Po besedah direktorja inšpekcije za informacijsko varnost, Matjaž Merljak iz URSIV-a, so ključne pomanjkljivosti oz. ranljivosti slovenskih organizacij naslednje:
- Organizacije nimajo popisanih informacijskih virov, zato je upravljanje in preprečevanje izrab teh ranljivosti zelo oteženo, popisi so včasih samo delni in nepovezani z bistvenimi oz. pomembnimi storitvami.
- Ni izvedene BIA analize – ocene tveganja za popisana sredstva.
- Če IT upravlja zunanje podjetje je nujno imeti zanje določene varnostne zahteve ključnega dobavitelja v internih aktih ali v pogodbi.
- Organizacija ne izvaja testiranja postopkov upravljanja v izrednih dogodkih (neprekinjenost in okrevanje po izrednem dogodku).
- Niso določene odgovorne osebe za ključne procese.
- Ni določene minimalne ravni poslovanja (pogodba ali interni akt).
- Ni rednega izobraževanja zaposlenih in odgovornih oseb vezano na IT varnost.
- Organizacije nimajo sprejetega postopka upravljanja in obveščanja incidentov.
Vir: Kibernetski cunami, konferenca o informacijski varnosti na GZS (18.10.2024)