U digitalnom dobu u kojem poslovanje svakog poduzeća, bez obzira na veličinu, ovisi o informacijskim sustavima, kibernetička sigurnost više nije opcija - ona je imperativ. To dokazuju već i najosnovnije statistike: kibernetički napad dogodi se svakih 39 sekundi, a globalna šteta od kibernetičkog kriminala do kraja 2025. godine procjenjuje se na nevjerojatnih 10,5 bilijuna dolara godišnje.
Prema podacima Ministarstva unutarnjih poslova, u Hrvatskoj je 2024. godine šteta samo od prijavljenih kibernetičkih napada iznosila 10,5 milijuna eura dok je stvarna brojka vjerojatno znatno veća. Premda su na meti bile institucije poput HANFA-e, Porezne uprave i HNB-a, velik broj privatnih tvrtki također je bio oštećen napadima. Prema najnovijim podacima MUP-a i Nacionalnog CERT-a, u Hrvatskoj se svakog dana dogodi prosječno pet ozbiljnih kibernetičkih napada, a tijekom 2024. godine prijavljeno je ukupno 2167 kibernetičkih kaznenih djela - čak 21,7 posto više nego godinu ranije.
Unatoč poraznim podacima, PwC-ovo istraživanje pokazuje da je samo dva posto tvrtki potpuno spremno na kibernetičke rizike, ali čak 77 posto organizacija planira povećati proračune za sigurnost u sljedećoj godini.
U takvom okruženju, gdje je prijetnja svakodnevna, a stručnjaka kronično nedostaje, jedno od mogućih rješenja pronalazi se u modelu CISO as a Service (CISO-aaS). Ovaj koncept, koji u Hrvatskoj nudi tvrtka Span, omogućuje organizacijama pristup vrhunskom stručnjaku za informacijsku sigurnost bez potrebe za stalnim zaposlenjem.
- CISO-aaS je nastao kao odgovor na stvarne potrebe korisnika, osobito nakon incidenata, kada su prepoznali vrijednost osobe koja zna upravljati krizom i komunicirati s regulatorima, ali i ima podršku cijele organizacije poput Spana. Osim toga, tržište se suočava s kroničnim nedostatkom kvalificiranih CISO-a, oni su rijetki, skupi i često nedostupni - objašnjava nam Neven Zitek, direktor poslovnih rješenja za kibernetičku sigurnost u Spanu, koji je u tvrtki već 11 godina.
Nekoliko važnih uloga
CISO-aaS ima nekoliko ključnih uloga unutar organizacije. Primarno je odgovoran za definiranje i provedbu sigurnosne strategije, upravljanje rizicima, edukaciju zaposlenika, odgovor na incidente te usklađivanje s relevantnim regulativama poput Zakona o kibernetičkoj sigurnosti (NIS2).
Jedna od najvećih prednosti ovog modela je fleksibilnost. Tvrtke mogu angažirati stručnjaka prema stvarnim potrebama, bilo da se radi o nekoliko sati tjedno, podršci za određene projekte ili dugoročnom angažmanu. U slučaju CISO-aaS usluge u Spanu, korisnici dobivaju podršku cijelog tima stručnjaka i pristup naprednim alatima, što često nadmašuje mogućnosti pojedinca zaposlenog unutar klasične organizacije.
Dnevne aktivnosti CISO-aaS funkcije obuhvaćaju analizu sigurnosnih izvještaja i statusa otvorenih incidenata, osobito kada je korisnik pod aktivnim nadzorom putem SOC-a (Security Operations Center) ili CSIRT-a (Computer Security Incident Response Team). U tom kontekstu, CISO-aaS redovito pregledava dnevne izvještaje, alarme i preporuke koje dolaze iz tehničkih timova. Osim toga, značajan dio vremena posvećen je sastancima s različitim dionicima - od tehničkih timova do menadžmenta - da bi se osigurala usklađenost sigurnosnih procesa s poslovnim ciljevima.
Na kraju radnog dana, CISO-aaS priprema izvještaje koji mogu biti namijenjeni internoj upotrebi, regulatornim tijelima ili kao dio SLA (Service Level Agreement) obveza. To uključuje i ažuriranje sigurnosnih registara, evidencija rizika te izradu preporuka za daljnje unaprjeđenje sigurnosnog okvira.
CISO-aaS ne smije biti nametljiv
Proces implementacije CISO-aaS usluge započinje detaljnom procjenom rizika, nakon čega slijedi analiza poslovnog okruženja i strateških ciljeva organizacije. Na temelju tih saznanja definira se optimalni model angažmana koji odgovara specifičnim potrebama korisnika. Cijeli postupak oslanja se na međunarodno priznate standarde i okvire kao što su ISO 27001, NIST CSF i CIS Controls. Klijent na raspolaganju ima cijeli tim stručnjaka, od forenzike do cloud securityja, a usluga se nadograđuje na postojeće resurse i kapacitete tvrtke.
Zitek ističe da CISO-aaS nije nametljiv. On pomaže organizacijama da sazru, razviju vlastite kapacitete i uspostave sigurnosnu kulturu.
- Naš cilj nije samo tehnička zaštita nego i edukacija, savjetovanje i strateško vođenje kroz sve izazove digitalnog poslovanja - naglašava Zitek.
Najveći interes za CISO-aaS dolazi iz sektora gdje je IT kritičan za poslovanje, primjerice financija, zdravstva i energetike, ali i od sve više srednje velikih tvrtki koje nemaju resurse za zapošljavanje stalnog CISO-a.
- Tržište u Hrvatskoj postaje sve svjesnije potrebe za ovakvom uslugom, ponajviše zahvaljujući regulativi poput NIS2 i Zakona o kibernetičkoj sigurnosti. Sigurnost više nije jednokratni projekt, nego kontinuirani proces - dodaje Zitek, koji očekuje da će potražnja za CISO-aaS-om u regiji značajno rasti sljedećih tri do pet godina, i to zbog sve strožih regulatornih zahtjeva i kroničnog nedostatka iskusnih stručnjaka.
Jedan od najizazovnijih slučajeva s kojima su se susreli u Spanu bio je angažman nakon ozbiljnog sigurnosnog incidenta u tvrtki koja nije imala ni osnovne sigurnosne mehanizme.
- IT odjel je bio u konstantnom "vatrogasnom režimu". Gasili su "požare", ali nisu imali vremena ni resursa za strateški pristup. Nije bilo klasifikacije podataka, jasnih procedura ni svijesti o sigurnosti - prisjeća se Zitek.
U takvom okruženju, posao CISO-aaS-a nije bio samo tehnički. Zitek priča da je trebalo izgraditi povjerenje, educirati ključne ljude i uspostaviti osnovne sigurnosne procese.
- Bez podrške uprave i komunikacije, ni najbolja tehnička rješenja ne mogu zaživjeti - ističe Zitek.
Usluga je poput živog organizma
Usluga CISO-aaS, opisuje Zitek, razvija se poput pravog živog organizma. Prati promjene prijetnji i tehnologija, ali i zakonodavstva. Span razvoj ove usluge temelji na iskustvu iz stvarnih incidenata, povratnim informacijama korisnika te kontinuiranom učenju i usavršavanju. Nemaju samo tehničku ulogu nego i savjetodavnu, edukativnu i stratešku.
- Usluga se redovito ažurira da bi uključivala nove regulatorne obveze, poput onih iz direktive NIS2, a korisnicima se pruža podrška u pripremi dokumentacije, usklađivanju procesa i edukaciji zaposlenika - dodaje Zitek.
Za one koji još uvijek oklijevaju s outsourcingom sigurnosti, Zitek poručuje kako "sigurnost više nije luksuz, već preduvjet opstanka".
- CISO-aaS omogućuje pristup vrhunskoj ekspertizi i strateškom vodstvu bez potrebe za zapošljavanjem, što je posebno važno u vremenu kada su prijetnje sve sofisticiranije, a regulativa sve zahtjevnija. Outsourcing sigurnosti ne znači gubitak kontrole, naprotiv, to je način da se sigurnost vodi profesionalno, sustavno i u skladu s poslovnim ciljevima - zaključuje Zitek.
Sponzorirani sadržaj nastao je u suradnji sa Spanom
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....