U dinamičnom poslovnom okruženju, gdje se zahtjevi za usklađenošću sa međunarodnim standardima i zaštitom podataka neprestano razvijaju, kompanija ISOMONT d.o.o. prepoznaje ključnu ulogu koju ISO standardi i GDPR imaju u jačanju efikasnosti, bezbjednosti i povjerenja organizacija. U razgovoru sa Draganom Bulatović, izvršnom direktoricom kompanije otvorili smo niz važnih pitanja o svijesti i primjeni ISO standarda u Crnoj Gori, posebno ističući promjene koje su nastupile nakon sajber napada 2022. godine. Sa nama je podijelila dragocjena iskustva iz saradnje sa javnim i privatnim sektorom, ukazujući na standarde koji pobuđuju najveće interesovanje i na izazove s kojima se organizacije suočavaju prilikom njihove implementacije.

S obzirom da se kompanija ISOMONT d.o.o., čiji ste Vi osnivač i izvršna direktorica, bavi implementacijom ISO standarda i GDPR-a, te sprovođenjem akreditovanih obuka u navedenim oblastima, možete li nam reći šta govori praksa, kakva je svijest u Crnoj Gori po pitanju primjene zahtjeva ISO standarda?

Iskustvo koje mi imamo kroz višegodišnju saradnju sa javnim i privatnim sektorom pokazuje da svijest o značaju primjene ISO standarda u Crnoj Gori i dalje nije na zavidnom nivou i da i te kako postoji veoma veliki prostor za unapređenje. Ono što je evidentno i što moram istaći, jeste, da  se u poslednjih par godina, a posebno od 2022. godine, kada je bio sajber napad u Crnoj Gori, počinje polako da se podiže nivo svijesti organizacija koje su počele da prepoznaju da implementacija međunarodnih standarda nije samo forma, već međunarodno priznat alat za postizanje efektivnosti i efikasnosti, bolje zaštite informacija u kontekstu CIA (povjereljivosti, integriteta i dostupnsti), povjerenja klijenata i usklađenosti sa zakonodavstvom.

U praksi, najveće interesovanje postoji za standarde koji se direktno tiču unapređenja kvaliteta (ISO 9001), informacione bezbjednosti (ISO/IEC 27001), zaštite životne sredine (ISO 14001), kontinuiteta poslovanja (ISO 22301) kao i zaštite ličnih podataka kroz usklađivanje sa GDPR regulativom i standardom ISO/IEC 27701.

Međutim, i dalje u većoj mjeri imamo ograničeno razumijevanje benefita od primjene standarda – mnogi ih doživljavaju kao obavezu zbog učešća u postupcima javnih nabavki ili kao mandatorni zahtjev od klijenata, a ne kao priliku za strateško unapređenje poslovanja. Zato kroz naše obuke i projekte implementacije posebnu pažnju posvećujemo edukaciji i praktičnom prikazu benefita koje standardi donose. Zaista vjerujemo a i tvrdimo da kontinuiran rad na podizanju svijesti i kapaciteta u ovoj oblasti će rezultirati još većim brojem organizacija koje će standarde primjenjivati sa razumijevanjem i dugoročnom vizijom.

Kada govorimo o informacionoj i cyber bezbjednosti, kakva je svijest zaposlenih u javnom a kakva u privatnom sektoru?

Ono što bih, prije nego što odgovorim na Vaše pitanje, rekla jeste da su informaciona i sajber bezbjednost u današnjem digitalnom vremenu poslovanja i generalno življenja postali nužnost i za javni i za privatni sektor ali i za same građane. Svaka organizacija mora da preduzme proaktivne mjere kako bi zaštitila svoje informacije tokom njenog cijelog životnog ciklusa, dakle od momenta kreiranja, čuvavnja, prenošenja, obrađivanja do momenta uništavanja.

Kada govorimo o informacionoj i cyber bezbjednosti, praksa pokazuje da svijest zaposlenih, naročito u javnom sektoru, i dalje nije na zadovoljavajućem nivou. Tehničke i tehnološke mjere zaštite mogu biti veoma sofisticirane, ali ukoliko zaposleni nisu primjereno edukovani i svjesni rizika koje oni svojim ponašanjem mogu proizvesti, organizacija i dalje ostaje i te kako ranjiva. Najčešći izazovi koje uočavamo odnose se na nedovoljno razumijevanje osnovnih pojmova iz oblasti bezbjednosti informacija, slab nivo prepoznavanja prijetnji poput phishing napada, loše upravljanje lozinkama, prije svega kreiranja, zapisivanja i dijeljenja lozinki (Higijeničarke!), kao i nedostatak dosljedne primjene usvojenih bezbjedonosnih politika i procedura, odnosno, usvojenih dokumentovanih informacija iz ove oblasti. Takođe, veoma veliki problem je i to što se često bezbjednost informacija posmatra kao isključiva odgovornost IT sektora, a ne kao zajednička odgovornost svih zaposlenih, pa kada spomente računar, mail, lozinku i sl., zaposleni u najvećem broju slučajeva kažu da se time bave kolege iz IT službe, kojih je činjenica u praksi jako malo u odnosu na ukupan broj svih zaposlenih.

Kada govorimo o privatnom sektoru, tu mogu reći da nivo svijesti zaposlenih varira – od visoke osviješćenosti, recimo u bankarskom i IT sektoru, do veoma niskog nivoa u manjim organizacijama koje još uvijek nijsu svjesne da su nama svima, dakle bez obzira čime se bavili, informacije ključni resursi koje moramo maksimalno da štitimo.

U Crnoj Gori je u decembru 2024. godine usvojen novi Zakon o Informacionoj bezbjednosti koji propisuje obavezu za ključne subjekte da implementiraju i sertifikuju standarde MEST ISO/IEC 27001, šta Vi mislite, kako zakonski okvir utiče na usklađenost sa standardom MEST ISO/IEC 27001 u oblasti informacionih sistema i zaštite podataka?

Upravo tako, u decembru prošle godine u Crnoj Gori je usvojen novi Zaokon o informacionoj bezbjednosti i zaista smatram da usvajanje ovog Zakona predstavlja važan iskorak za Crnu Goru, kada govorimo o unapređenju informacione bezbjednosti i jačanju cyber otpornosti. Jedna od novina ovog zakona je i uvođenje obaveze implementacije i sertifikacije standarda MEST ISO/IEC 27001 za ključne subjekte. Dakle,  zakon ne samo da harmonizuje nacionalni okvir sa evropskim i međunarodnim praksama, već i jasno stavlja fokus na proaktivno upravljanje rizicima u informacionim sistemima.

Standard MEST ISO/IEC 27001 – Bezbjednost informacija, sajber bezbjednost i zaštita privatnosti – Sistemi menadžmenta bezbjednošću informacija postavlja međunarodno priznate zahtjeve za planiranje, uspostavljanje (implementaciju), praćenje i stalno unapređenje Sistema menadžmenta bezbjednosti informacija (PDCA ciklus). Zakonska obaveza njegove primjene sada postaje pokretač usklađivanja – institucija i organizacija, posebno onih koje spadaju u kategoriju ključnih subjekata, te obavezuje na sistematsku ocjenu rizika sa aspekta informacione  bezbjednosti, implementaciju odgovarajućih organizacionih, tehnoloških, fizičkih i kontrola koje se odnose na ljude, a koje standard u Annex- A (dodatku) navodi, kao odgovor na sve nivoe rizika koji nisu prihvatljivi za organizaciju. U praksi, to znači jačanje internih kapaciteta, bolju dokumentovanost procesa, jasno definisane uloge, odgovornosti i ovlašćenja svih zaposlenih, redovno sprovođenje internih i eksternih audita i, što je najvažnije, utiče na promjenu svijesti jer informacione prijetnje više nisu samo tehnološko već i strateško pitanje.

Ono što takođe moram naglasiti jeste da mi već imamo veće interesovanje, od i državnih ali i privatnih  organizacija, za pomoć i podršku pri implementaciji ovog standarda i što je jako bitno i interesovanje za sprovođenjem obuka, jer organizacije žele da što spremnije odgovore na nove zakonske obaveze a sa druge strane da izbjegnu moguće sankcije. Tako da smatram da je Zakon dodatni podsticaj i prilika da se izgradi sistem koji štiti informacije, održava kontinuitet poslovanja i jača povjerenje korisnika i partnera.

Koje su ključne prepreke u primjeni zakona o informacionoj bezbjednosti prilikom implementacije ISO/IEC 27001 u organizacijama?

Kada da govorimo o implementaciji standarda ISO/IEC 27001, u praksi se organizacije, pogotovu one koje se prvi put susrijeću sa sistemskim pristupom upravljanju bezbjednošću informacija, suočavaju sa brojnim i značajnim preprekama. Neke od ključnih prepreka su nedostatak stručnog kadra, kako u javnom tako i u privatnom sektoru, nemaju dovoljno internih resursa sa znanjem i iskustvom iz oblasti informacione bezbjednosti, što otežava pravilnu implementaciju zahtjeva standarda i usklađivanje sa zakonom. Ograničena budžetska sredstva su takođe veoma velika prepreka. Uspostavljanje ISMS-a (Sistem menadžmenta bezbjednosti informacija) zahtijeva ulaganje prvenstveno u edukaciju svih zaposlenih, u tehničku infrastrukturu, kontinuirano održavanje sistema i sertifikaciju što može biti izazov, naročito za javni sektor. Nerazumijevanje obaveza – neke organizacije i dalje posmatraju ovaj standard kao glavnu obavezu IT sektora, bez uključivanja menadžmenta i ostalih sektora, i bez jasnog uvida u koristi koje ovaj standard donosi. Zatim nepostojanje jasnih procedura rada, institucije i organizacije često nemaju već razvijene interne politike i procedure (usvojene dokumentovane informacije) koje su osnova za ISMS, što usporava proces i povećava rizik od formalizma umjesto stvarne bezbjednosti i ono što je takođe bitno jeste da smo i dalje skloni otporu promjenama a sama implementacija standarda zahtijeva promjenu organizacione kulture i navika zaposlenih. Dakle, bez adekvatne edukacije i podrške najvišeg rukovodstva, otpor promjenama može znatno usporiti ili otežati primjenu usvojenih dokumentovanih informacija iz informacione bezbjednosti. Zato je veoma važno da se proces implementacije i primjene zahtjeva ovog standarda posmatra strateški, kao investicija u stabilnost, otpornost i reputaciju Vlade, institucija i organizacija a ne samo kao ispunjavanje zakonske obaveze i statistike.

Koji su najveći izazovi prilikom integracije zahtjeva MEST ISO/IEC 27001 u postojeće procese upravljanja informacionom bezbjednošću unutar organizacije?

Najveći izazovi proizilaze iz potrebe da se uspostavi sistemski, a ne ad-hoc pristup upravljanju informacionom bezbjednošću i da se obezbijedi kontinuirana uključenost najvišeg rukovodstva. Uključenost najvišeg rukovodstva – standard jasno stavlja odgovornost za bezbjednost na najviši nivo upravljanja. U praksi, ovo se često zanemaruje i bez podrške najvišeg rukovodstva, vrha piramide, sistem ostaje samo mrtvo slovo na papiru, što nikako nije dobro. Zatim. organizacije često već imaju usvojene određene bezbjednosne  mjere i politike, ali one nisu strukturisane na način koji standard zahtijeva. Izazov je integrisati postojeće prakse u jedinstven sistem menadžmenta koji uključuje dokumentovanje, revizije, ciljeve, KPI-jeve i upravljanje rizicima a da se ne naruši postojeća zona komfora zaposlenih. Upravljanje rizicima sa aspekta informacione bezbjednosti na struktuiran način jer neke organizacije imaju praksu da prepoznaju rizike, međutim, često ne postoji formalizovan proces njihove ocjene, tretiranja i praćenja u skladu sa recimo međunarodno priznatim smjernicama i principima – ISO/IEC 27005:2022. Dakle, standard traži jasan, dosljedan i dokumentovan pristup ovom segmentu. Obezbjeđivanje resursa i obuka zaposlenih takođe su neki od izazova pogotovo u dijelu tehničkih i tehnoloških, kadrovskih i finansijskih resursa i naravno, ono o čemu najviše govorimo i što je ujedno i najveći izazov je svijest zaposlenih jer oni imaju ključnu ulogu u svakodnevnoj primjeni usvojenih bezbjednosnih politika i procedura a ujedno su i najveća unutrašnja prijetnja za organizaciju.

Kako organizacije mogu mjeriti uspjeh implementacije standarda MEST ISO/IEC 27001 i osigurati kontinuirano usklađivanje sa standardom?

Ono što bih htjela odmah da naglasim jeste da nijednoj organizaciji ili instituciji ne bi trebao da bude glavni cilj i motiv za implementaciju standarda sam sertifikat izdat od strane akreditovane sertifikacione kuće, već zaista bi trebalo da to bude sposobnost organizacije da kontinuirano štiti informacije i da adekvatno reaguje na sve učestalije promjene u okruženju.  Dakle, kao način kako neka organizacija treba da prati efikasnost i efektivnost uspostavljenog ISMS-a je prvo i osnovno postavljanje ciljeva iz oblasti informacione bezbjednosti, tako da budu SMART a onda i jasno definisanje KPI-jeva, kao što su recimo broj bezbjedonosnih incidenata, vrijeme odgovora na incidente, broj sprovedenih obuka, stepen usklađenosti sa politikama itd. Zatim sprovođenje redovnih ali i vanrednih internih audita, redovna ocjena rizika sa aspekta informacione bezbjednosti kao i monitornig nad sprovođenem definisanog tretmana, takođe i redovno sprovođenje sastanaka presipitivanja od strane najvišeg rukovodstva. Naravno, podjednako je bitno simulacija određenih incidenata i praćenja ponašanja zaposlenih kao i redovna eksterna penetraciona testiranja, jer treba da shvatimo da je to “živ” sistem koji se mora kontinuirano pratiti i stalno težiti ka unapređenju.

Koje su najčešće greške koje organizacije prave tokom implementacije standarda MEST ISO/IEC 27001 i kako ih izbjeći?

Definitivno jedna od većih grešaka koja se u startu napravi jeste to što se ovaj standard posmatra kao da je IT standard i da je implementacija istog zadatak isključivo IT sektora. Dakle, prvo odmah da pojasnimo vašim čitaocima, standard MEST ISO/IEC 27001 nije tehnički standard, već standard sa aspekta menadžmenta jer i u samom nazivu kaže sistemi menadžmenta bezbjednosti informacija, što dalje implicira da se standard odnosi na sve zaposlene uključujući i najviše rukovodstvo. Ono što dodatno potvrđuje da nije ni u  novoj verziji tehnički standrad jeste što u dodatku A imate 37 organizacionih a 34 tehnološke kontrole. Zatim neke organizacije se fokusiraju na dokumentaciju „radi audita“, a ne na stvarnu primjenu kontrola, što odmah navodi na zaključak da se želi zadovoljiti forma a ne suština. Česta je i greška da se rizici generišu “po šablonu” bez uvida u konkretan kontekst organizacije i bez usvojene dokumentovane procedure upravljanje istima,  dakle od same metodologije, recimo koristeći pristup zasnovan na standardu ISO/IEC 27005, sa realnim scenarijima i relevantnim prijetnjama, a kada govorimo o informacionoj bezbjednosti sve polazi od ocjene rizika i sve bazira na rezultatima ocjene rizika sa aspekta informacione imovine.

Kako standard ISO/IEC 27001 utiče na procese obuke zaposlenih i svijest o bezbjednosti podataka unutar organizacije?

Prvo i osnovno je da u svakoj organizaciji je neophodno da se  kontinuirano radi na obuci zaposlenih u cilju upoznavanja sa usvojenim dokumentovanim informacijama iz ove oblasti a onda i u cilju važnosti poštovanja istih. I sam standard zahtijeva da u organizaciji svi zaposleni budu obučeni u vezi sa bezbjedonosnim politikama i procedurama, odnosno, dokumentovanim informacijama, koje se primjenjuju. Dakle, podstiče se na razvoj specifičnih programa obuke koji omogućavaju zaposlenima da prepoznaju i razumiju rizike vezane za bezbjednost informacija i kako da ih minimiziraju, odnosno, upravljaju sa istima.

Takođe je jako bitno da zaposleni imaju svijest o prijetnjama i ranjivostima, standard naglašava važnost podizanja svijesti zaposlenih o potencijalnim prijetnjama i ranjivostima, kao što su recimo phishing napadi, krađa podataka, malware, i druge vrste bezbjedonosnih incidenata, poput dijeljenje lozinki, zapisivanje i isticanje lozinki na monitorima, odlaganje povjerljivih informacija u korpi za otpad, bez adekvatog uništenja, upotrebu USB-a bez preduzetih mjera zaštite, upotrebe prenosivih uređaja bez jasno definisanih procedura, konektovanje na javne Wifi mreže i sl. Dakle, zaposleni moraju biti svjesni kako da prepoznaju takve prijetnje i postupaju u skladu sa usvojenim dokumentovanim informacijama (politikama i procedurama) u navedenim oblastima.

Ono što je još jako bitno naglasiti jeste da obuke treba da budu sveobuhvatne i prilagođene različitim nivoima zaposlenih, dakle od najvišeg rukovodstva (predsjednika Vlade, Ministra, sekretara, gradonačelnika, izvršnog direktora…) do operativnih zaposlenih, uključujući i higijeničare i lica koja obavljaju poslove zaštitara, fizičko obezbjeđenje, ali i svih ostalih  zainteresovanih strana kako bi se razvila kultura bezbjednosti informacija na svim nivoima.

Kako i da li može najviše rukovodstvo da doprinese uspješnoj implementaciji standarda MEST ISO/IEC 27001?

Na samom početku ovdje moram istaći da primjena standrada sa aspekta menadžmenta, kao što je i standard METS ISO/IEC 27001, upravo kreće od vrha piramide i ide ka dnu piramide ,u bilo kojoj instituciji, državnoj ili privatnoj organizaciji, dakle od premijera Vlade, ministra, sekretara, gradonačelnika, direktora direktorata, izvršnog direktora i sl. pa sve samostalnog savjetnika III.

Dakle, uključenost najvišeg rukovodstva je od presudne važnosti za implementaciju i održavanje svih dokumentovanih informacija iz ove oblasti. Oni moraju pružiti snažnu podršku, maksimalnu uključenost i posvećenost, što i sam standard navodi u zahtjevu 5 Liderstvo, jer su oni krajnje odgovorni za funkcionisanje uspostavljenog sistema menadžmenta bezbjednosti informacija. Dakle, kroz aktivno učešće, dodjelu resursa, definisanja jasnih uloga, odgovornosti i ovlašćenja, postavljanje jasnih ciljeva i promovisanje kulture bezbjednosti, najviše rukovodstvo može značajno i dugoročno doprinijeti uspjehu implementacije i stalnom unapređenju ISMS-a.

Za kraj, koje bi bile vaše preporuke, za sve zainteresovane strane, koje su u obavezi da implementiraju standard MEST ISO/IEC 27001 prema ovom novom zakonu kako uspješno da sprovedu ovaj proces?

Pa prvo i osnovno da obezbijede kontinuiranu podršku najvišeg rukovodstva, koje mora da obezbijedi resurse, definiše i usvoji politiku bezbjednosti informacija, te definiše ciljeve informacione bezbjednosti tako da budu SMART, dodijeli jasne uloge, odgovornosti i ovlašćenja i svojim primjerom ukaže na značaj primjene uspostavljenog ISMS-a.  A da bi mogao ovaj korak da se uspješno sprovede potrebna im je edukacija kako bi se upoznali sa zahtjevima standarda i preporučenim kontrolama. Zatim da definišu kontekst organizacije, identifikuju sve zainteresovane strana, definišu njihove potrebe i očekivanja. Potrebno je da identifikuju svu informacionu imovinu, koju koriste u organizaciji, zatim za svaku imovinu da identifikuju ranjivosti i prepoznaju prijetnje, kako unutrašnje tako i spoljašnje. Izvrše ocjenu rizika na strukturisan način (preporučujem korišćenje metodologije koja je realna, mjerljiva i priznata kao dobra međunarodna praksa a koja je opisana u standardu ISO/IEC 27005:2022). Da na osnovu rezulata analize rizika razviju i usvoje dokumentovane informacije  jer  ISMS mora biti podržan jasnim i primjenjivim dokumentima kao što su politike bezbjednosti informacija, klasifikacije informacija, kontrole pristupa, upravljanja incidentima, do kontinuiteta poslovanja i sl. dokumentovane informacije treba da budu razumljive, najjednostavnije napisane, funkcionalne i redovno revidirane. Kontinuirano da se radi na obučavanju i podizanju nivoa svijesti svih zaposlenih jer su upravo oni često najslabija karika i najveća unutrašnja prijetnja. U principu zaposlenima treba da se objasni da se uvijek vode logikom SVE IM JE ZABRANJENO, OSIM ŠTO JE EKSPLICITNO DOZVOLJENO, a dozvoljeno je sve što piše u usvojenim politikama i procedurama (dokumentovanim informacijama). Na kraju jako bitno da uspostavite mehanizme praćenja i mjerenja realizacije bezbjednosnih ciljeva, analize incidenata, kontrola pristupa i izvještavanja jer su oni ključni elementi svakodnevnog funkcionisanja ISMS-a, a sve šta se ne mjeri – ne može se ni unaprijediti. Takođe, da sprovode redovne i vanredne interne audite kako bi mogli da redovno uoče slabosti i ali prepoznaju i prilike za unapređenje.