Introduction

Kome je ovaj priručnik namenjen?

Ovaj priručnik je napisan sa jednostavnim ciljem: da pomogne organizacijama civilnog društva da kreiraju razumljivi i primenjivi plan sajber bezbednosti. Kako se svet sve više premešta na internet, sajber bezbednost nije samo pomodni termin već i koncept od kritičnog značaja za uspeh neke organizacije i bezbednost nekog tima. Naročito u slučaju organizacija civilnog društva aktivnih na polju demokratije, zastupanja, odgovornosti i ljudskih prava, bezbednost informacija (kako na internetu, tako i van njega) predstavlja izazov koji zahteva fokus, investicije i budnost. 

Vaša organizacija će u nekom momentu - ako se to već nije desilo - biti na meti sajber napada. Ne pokušavamo da vas uplašimo, to je realna situacija čak i za organizacije koje sebe ne smatraju atraktivnim metama.  

Tokom prosečne godine, Centar za strateška i međunarodna istraživanja, koji vodi ažurirani spisak onoga što zovu „Značajni sajber incidenti“ beleži stotine ozbiljnih sajber napada, od kojih su mnogi usmereni na desetine ako ne i stotine organizacija odjednom. Pored takvih prijavljenih napada, verovatno postoje stotine manjih koji svake godine prođu nezapaženo ili neprijavljeno, a od kojih su mnogi usmereni protiv organizacija civilnog društva koje rade na promovisanju demokratije, odgovornosti države i ljudskih prava. Organizacije koje zastupaju žene ili druge marginalizovane grupe često su omiljena meta napada.  

Sajbernapadi poput ovih imaju dalekosežne posledice. Bilo da je njihov cilj da vam uzmu pare, ućutkaju vas, poremete funckionisanje vaše organizacije, ukaljaju vašu reputaciju ili čak ukradu informacije sa ciljem da psihički ili fizički naškode vašim partnerima ili osoblju, takve pretnje morate shvatiti ozbiljno 

Ono što je dobro jeste što ne morate da postanete programer ili tehnološki stručnjak kako biste odbranili sebe i organizaciju od uobičajenih pretnji. Ali morate da budete spremni da uložite malo napora, energije i vremena u formulisanje i sprovođenje robusnog organizacionog bezbednosnog plana. 

Ako nikad niste razmišljali o sajber bezbednosti u okviru svoje organizacije, niste imali vremena da se time bavite ili znate neke osnovne stvari o toj temi ali mislite da bi vaša organizacija mogla da poboljša svoju sajber bezbednost, onda je ovaj priručnik za vas. Bez obzira na to odakle dolazite, ovaj priručnik za cilj ima da vašoj organizaciji pruži ključne informacije koje su joj potrebne za uspostavljanje robusnog plana sajber bezbednosti. Plana koji se neće svesti samo na reči na papiru i koji će vam omogućiti da primenite najbolju praksu.
 


What is a security plan and why should my organization have one?

Bezbednosni plan predstavlja niz pisanih politika, postupaka i uputstava koje je vaša organizacija usvojila da bi postigla nivo bezbednosti koji vi i vaš tim smatrate adekvatnim kako bi osigurali bezbednost osoblja, partnera i informacija.

Dobro osmišljen i ažuriran bezbednosni plan vas istovremeno čini bezbednim i delotvornijim pružajući vam osećaj sigurnosti neophodan za fokusiranje na svakodnevne bitne poslove vaše organizacije. Bez promišljanja sveobuhvatnog plana lako je ostati slep na određene vrste pretnji, preterano se skoncentrisati na samo jedan rizik ili ignorisati sajber bezbednost dok ne dođe do krize.

Kad počnete da radite na bezbednosnom planu morate sebi postaviti neka važna pitanja kako biste započeli proces procene rizika.  Pružanje odgovora na ova pitanja pomaže vašoj organizaciji da razume jedinstvene pretnje sa kojima se suočavate i dozvoljava vam da napravite odmak i sveobuhvatno promislite o tome šta vam je potrebno kako biste se zaštitili, kao i od koga to tačno treba da se zaštite. Obučeni procenitelji, uz pomoć sistema kao što je Internews SAFETAG revizijski okvir, mogu da pruže podršku vašoj organizaciji tokom ovog postupka. Ako možete da dobijete pristup tom nivou ekspertize, to vredi, ali čak i ako ne možete da prođete kroz punu procenu, trebalo bi da organizujete sastanke u okviru organizacije kako biste razmotrili ova ključna pitanja. 

1

Kakvu imovinu vaša organizacija poseduje i šta želite da zaštitite? 

Možete početi da odgovarate na ovo pitanje tako što ćete evidentirati svu imovinu vaše organizacije. Informacije poput poruka, mejlova, kontakata, dokumenata, kalendara i lokacija su sve vrste imovine. Telefoni, kompjuteri i drugi uređaji takođe mogu biti imovina. Kao i ljudi, veze i odnosi. Popišite svu vašu imovinu i pokušajte da razvrstate različite stavke na osnovu značaja koji imaju za vašu organizaciju, mesta gde ih držite (možda na više digitalnih i fizičkih lokacija) i onoga što druge sprečava da tim stavkama pristupe, oštete ih ili poremete. Imajte na umu da nije sve podjednako važno. Ukoliko su neki podaci javni, ili ih pak sami objavljujete, to nisu tajne koje morate da štitite. 

2

Ko su vaši protivnici i kakve su nihove sposobnosti i motivacija?

„Protivnik“ je termin koji se redovno koristi na polju bezbednosti organizacija. Jednostavno rečeno, protivnici su akteri (pojedinci ili grupe) koji su zainteresovani da se okome na vašu organizaciju, poremete vam rad i dobiju pristup vašim informacijama ili ih unište, tačnije -negativci. U potencijalne protivnike mogu da spadaju finansijski prevaranti, konkurenti, lokalni ili nacionalni organi vlasti ili vlade, ili ideološki ili politički motivisani hakeri. Važno je da napravite spisak svojih protivnika i kritički razmislite o tome ko bi mogao hteti da negativno utiče na vašu organizaciju i zaposlene. Dok je lako zamišljati eksterne faktore (poput stranih vlada ili određenih političkih grupa) kao protivnike, imajte na umu i da protivnici mogu biti ljudi koje poznajete, poput ozlojeđenih zaposlenih, bivšeg osoblja i članova porodice ili partnera koji ne podržavaju vaše ciljeve. Različiti protivnici predstavljaju različite pretnje i poseduju različite resurse i sposobnosti da poremete vaše aktivnosti i dobiju pristup vašim informacijama ili ih unište. Na primer,vlade često imaju puno novca i sposobnosti koje podrazumevaju mogućnost isključivanja interneta ili upotrebe skupe tehnologije za nadzor, pružaoci mobilnih i internet usluga verovatno imaju pristup istorijatu poziva i sajtova koje ste posetili na internetu, vešti hakeri na javnim wifi mrežama mogu da presretnu loše obezbeđene komunikacije ili finansijske transakcije. Možete čak postati i sami sebi protivnik tako što, na primer, slučajno obrišete važne fajlove ili pošaljete privatnu poruku pogrešnoj osobi.  

Motivi protivnika će se verovatno razlikovati u zavisnosti od njihovih kapaciteta, interesa i strategija. Da li žele da diskredituju vašu organizaciju?  Možda žele da vas utišaju kako ne biste preneli vašu poruku? Ili vas možda vide kao konkurenciju i žele da steknu prednost? Važno je da razumete motivaciju vašeg protivnika pošto tako možete svojoj organizaciji pomoći da bolje procenite kakvu pretnju može da predstavlja.

3

Sa kakvim pretnjama se vaša organizacija suočava? Koliko su te pretnje izvesne i koliko veliki efekat bi mogle da imaju?

Dok budete identifikovali pretnje, verovatno ćete na kraju imati dugački spisak koji može biti zastrašujući. Može vam se učiniti da će bilo kakvi napori biti besmisleni ili možda nećete znati ni odakle da počnete. Kako biste osnažili vašu organizaciju da preduzme produktivne sledeće korake, korisno je da analizirate svaku pretnju na osnovu dva faktora; verovatnoće da će se pretnja ostvariti i njenog efekta. 

Kako biste procenili verovatnoću pretnje (možda na skali „niska, srednja ili visoka“ u zavisnosti od toga da li je malo verovatno da će se nešto desiti, da li bi moglo da se desi ili se često dešava) možete koristiti poznate informacije o kapacitetima i motivaciji vaših protivnika, analizu bezbednosnih incidenata u prošlosti, druga slična iskustva na nivou organizacije i, naravno, postojanje bilo kakvih strategija za ublažavanje efekata ovakvih incidenata koje je vaša organizacija formulisala.

Kako biste izmerili efekat pretnje, razmislite kako bi vaš svet izgledao kad bi se određena pretnja zaista ostvarila. Postavite si pitanja kao što su: „Kako je ova pretnja naškodila organizaciji i nama kao ljudima, fizički i psihički?“, „Koliko je dugotrajan ovaj efekat?“, „Da li ovo dovodi do drugih rizičnih situacija?“ i „Kako ovo podriva našu sposobnost da postignemo organizacione ciljeve sad i u budućnosti?” Dok odgovarate na ova pitanja, razmotrite da li je pretnja niska, srednja ili visoka.  

Kako biste lakše primenili ovajpostupak procene rizika, razmotrite da koristite tabelarni prikaz, poput ovog koji je kreirala Electronic Frontier Foundation. Imajte na umu da informacije koje generišete tokom ovog procesa ( poput spiska svojih protivnika i pretnji koje oni predstavljaju) mogu i same bite poverljive. Tako da je bitno da ih obezbedite. 

Jednom kad ste pretnje poređali po verovatnoći i efektu možete početi da pravite plan akcije zasnovan na tim informacijama. Fokusiranjem na pretnje koje će se najverovatnije ostvariti KAO I imati najnegativnije efekte, upotrebićete svoje ograničene resurse na najdelotvorniji i najefikasniji mogući način. Vaš cilj je da što je više moguće ublažite rizik, ali niko - čak ni najbolje opremljena vlada ili kompanija na svetu - ne može nikada da u potpunosti eliminiše rizik. I to je u redu - možete učiniti mnogo toga da zaštite sebe, svoje kolege i organizaciju tako što ćete se pobrinuti za najveće pretnje. 

Create a Security Plan