Regulatorni okvirji na področju varnosti informacij so v letu 2024 poleg že znanih lastnosti informacij kot so zaupnost, celovitost in razpoložljivost, posebej izpostavili še avtentičnost. V praksi ugotavljamo, da ponekod prihaja do poenostivitev in napačnega razumevanja razlik med celovitostjo in avtentičnostjo. V ta namen je nastal spodnji zapis. (Delno je uporabljen ChatGPT.) Pojma avtentičnost in celovitost se nanašata na dva različna vidika varnosti informacij in sistemov. Avtentičnost Avtentičnost se nanaša na zagotovitev, da so identitete subjektov (uporabnikov, naprav ali sistemov) ter izvor podatkov ali komunikacij zanesljivo preverjene in da niso lažno predstavljene. Gre za to, da lahko organizacije zaupajo, da:
AREM
Ali lahko varnostni inženir preiskuje revizijske sledi, ki vsebujejo osebne podatke?
Dilema 1: Ali lahko? V podjetju v Sloveniji se je zgodil varnostni incident. Varnostni inženir želi preiskati vsebino revizjskih sledi v katerih pa se nahajajo tudi IP številke uporabnikov informacijskega sistema s katerimi je mogoče prepoznati identiteto uporabnika. Ali je takšno pregledovanje revizijskih, ki se izvajajo s strani varnostnega inženirja na podlagi prijavljenega varnostnega incidenta skladno z ZVOP-2? V skladu z Zakonom o varstvu osebnih podatkov (ZVOP-2) je pregledovanje revizijskih sledi, ki vsebujejo osebne podatke, kot so IP naslovi uporabnikov, dopustno, če je to potrebno za izkazovanje zakonitosti obdelave, izvajanje notranjega nadzora, nadzorov s strani pristojnih organov, zagotavljanje celovitosti in
Akt o umetni inteligenci – kaj to pomeni za podjetja?
Akt o umetni inteligenci (UREDBA (EU) 2024/1689 EVROPSKEGA PARLAMENTA IN SVETA z dne 13. junija 2024) je prvi okvir na ravni EU, ki določa harmonizirana pravila na področju uporabe sistemov umetne inteligence, prepovedi nekaterih praks umetne inteligence, posebne zahteve za visokotvegane sisteme UI in obveznosti za operaterje takšnih sistemov. Uredba (EU) 2024/1689 vzpostavlja celovit pravni okvir za razvoj, uporabo in regulacijo sistemov umetne inteligence (UI) v EU, s čimer uvaja specifične zahteve za industrijske panoge in javni sektor, vključno s slovenskim trgom. Ta uredba je namenjena zagotavljanju skladnosti sistemov UI s temeljnimi pravicami in načeli EU, kot so varovanje zdravja,
Kaj so razlike med funkcijo in procesom organizacije?
V kontekstu finančnih institucij, zlasti v skladu z Aktom o digitalni operativni odpornosti (DORA) in povezanimi smernicami Evropskega bančnega organa (EBA), je pomembna razlika med kritično ali pomembno funkcijo in poslovnim procesom za regulativne, upravljavske in operativne namene. 1. Kritična ali pomembna funkcija (definicija DORA/EBA): Kritična ali pomembna funkcija je izraz, ki ga opredeljujejo regulativni okviri, vključno z DORA in smernicami EBA, in se nanaša na dejavnosti, storitve ali operacije, ki so bistvene za sposobnost institucije, da opravlja svoje osnovno poslovanje ali izpolnjuje regulativne zahteve. Neuspeh ali motnja takšnih funkcij bi lahko imela pomemben negativen vpliv na finančno stanje institucije,
Kaj so kritične ali pomembne funkcije finančne inštitucije?
Določanje kritičnih ali pomembnih funkcij je z Uredbo (EU) 2022/2554 evropskega parlamenta in sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor (v nadaljevanju tudi DORA) postala obveznost predvsem v povezavi z zunanjim izvajanjem IKT storitev. Kritična ali pomembna funkcija – definicija (EU) 2022/2554: „kritična ali pomembna funkcija“ pomeni funkcijo, katere motnja bi bistveno škodovala finančni uspešnosti finančnega subjekta ali trdnosti ali neprekinjenosti njegovih storitev in dejavnosti, oziroma katere prekinjeno, pomanjkljivo ali neuspešno izvajanje bi bistveno oviralo finančni subjekt, da neprekinjeno izpolnjuje pogoje in obveznosti iz njegovega pooblastila ali druge obveznosti v skladu z veljavnim pravom o finančnih storitvah; (Vir: DORA, Člen
Upravljanje tveganj IKT – kaj, kako in zakaj=?
Upravljanje tveganj IKT je v zadnjih letih postalo tudi formalna obveznost v večinih gospodarskih panog. Močan premik pri virih, ki jih organizacije namenjajo upravljanju tveganj IKT zazanavamo v finančni industriji, zavarovalništvu in v zadnjem času tudi v javni upravi. Opaziti je mogoče, da se oblikujejo stebri ponudnikov storitev, ki se osredotočajo na nudenje tehničnih storitev na področju informacijske varnosti, kot so varnostna preverjanja posamičnih IKT rešitev in sistemov, kot tudi sodelovanje pri testiranju scenarijev, s katerimi poskušajo organizacije preverjati svojo digitalno operativno odpornost. Nekateri večji ponudniki so se bolj ali manj uspešno preoblikovali iz ponudnikov telekomunikacijskih storitev ali storitev sitemske
Kako sta povezna nagnjenost k tveganjem organizacije in toleranca tveganja?
Nagnjenost k tveganju in toleranca do tveganja sta dva povezana, a različna pojma na področju upravljanja s tveganji in naložb. Oba se nanašata na pripravljenost in sposobnost posameznika ali organizacije, da prevzame tveganje, vendar imata različna poudarka in posledice. Tukaj je razlaga vsakega izraza: Nagnjenost k tveganju: Nagnjenost k tveganju je širši in bolj strateški koncept. Nanaša se na krovni odnos subjekta ali posameznika do tveganja in njihovo pripravljenost sprejeti tveganje pri doseganju svojih ciljev.Pogosto je postavljen na višji ravni znotraj organizacije in je opredeljen v smislu strateških ciljev na visoki ravni in poslovnih ciljev. Pomaga pri vodenju odločanja na
Zrelostna lestvica – optimizacija procesov
Kako lahko ocenimo, kje smo na poti OPTIMIZACIJE procesov, katere so razlike med ravnmi zrelosti, kaj je potrebno za napredek? Potrebno je razumeti, da je dokumentacija procesov samo eden od osnovih korakov na poti optimizacije. To je lahko pot na dolge proge, vendar so na voljo tudi bližnjice. Odgovor o tem lahko podajo nekateri formalni okviri ali umetna inteligenca. Mi smo glede na izkušnje naših strank oblikovali tole. Upamo, da vam bo v pomoč. Raven 1: Začetna/Ad-hoc optimizacija Opis: Prizadevanja za optimizacijo so sporadična in nejasna. Sistematičen pristop k izboljšanju procesov ne obstaja.Značilnosti:Ni formalne strategije za optimizacijo.Minimalno zbiranje in analiza
Zrelostna lestvica – dokumentiranje procesov
Kako lahko ocenimo, kje smo na poti dokumentiranja procesov, katere so ravni zrelosti pri tem? Odgovor na to vprašanje nam lahko danes podajo nekateri formalni okviri ali umetna inteligenca. Mi smo glede na izkušnje naših strank oblikovali tole. Upamo, da vam bo v pomoč. Raven 1: Začetna/Ad-hoc dokumentacija Opis: Na tej stopnji so prakse dokumentacije ad-hoc in nekonsistentne.Značilnosti:Obstaja omejena dokumentacija, pogosto temelječa na posameznem znanju.Ni standardiziranih predlogov ali smernic.Minimalen ali noben nadzor nad različicami dokumentov.Pot do izboljšav: Raven 2: Osnovna dokumentacija Opis: Osnovne prakse dokumentacije so vzpostavljene, vendar se morda ne dosledno upoštevajo.Značilnosti:Na voljo so standardizirani predlogi in smernice.Dokumentirani so
Obvladovanje tveganj kibernetske varnosti
Kaj je ocenjevanje tveganj kibernetske varnosti ? Zakaj je smiselno izvajati ocene tveganj kibernetske varnosti ? Kdo naj izvaja oceno tveganj kibernetske varnosti ? Kakšen okvir je smiselno vzeti pri ocenjevanju tveganj kibernetske varnosti ? Kako pogosto naj se izvaja ocena kibernetske varnosti ? Kako naj se izvede ocena kibernetske varnosti ? Kaj naj bo rezultat ocene tveganj kibernetske varnosti ? Vabljeni na klepet in z veseljem vam bomo pomagali na vseh ravneh obvladovanja kibernetske varnosti.