Dyskusja na temat zarządzania podatnościami

Seymour Uncategorized , , ,

Wycieki i naruszenia stają się coraz częstszym problemem. Powiedzenie “informacja to nowa ropa” podkreśla ogromną wartość danych i informacji, czyniąc je celem zarówno dla legalnych firm, jak i przestępców. Większość naruszeń bezpieczeństwa wynika z wykorzystywania luk w zabezpieczeniach, z których niektóre mogą być nieznane lub niewłaściwie zarządzane. Dlatego też solidna strategia zarządzania podatnościami jest niezbędna dla każdego kompleksowego programu bezpieczeństwa informacji.

Zarządzanie podatnościami obejmuje coś więcej niż tylko generowanie raportów za pomocą skanowania (często sformatowanych w formacie Excel lub PDF). Ponieważ podatności stwarzają ryzyko i codziennie pojawiają się nowe, stale zmieniają one krajobraz istniejących zagrożeń bezpieczeństwa.

Dlaczego zarządzanie podatnościami ma być priorytetem? Chociaż istnieje wiele powodów, dwa szczególnie się wyróżniają.

Po pierwsze, jest to uważane za najlepszą praktykę i część należytej staranności. Chociaż niektóre ramy bardziej skłaniają się ku zgodności niż faktycznemu bezpieczeństwu, odgrywają one zasadniczą rolę w kierowaniu rozwojem i oceną programu cyberbezpieczeństwa. Na przykład framework CIS Controls zapewnia kompleksowy zestaw mechanizmów kontrolnych, które pomagają organizacjom w zwiększaniu ich bezpieczeństwa informacji. Kategoryzuje on kontrole na poziomy Basic, Foundation i Organization, dostosowane do dojrzałości bezpieczeństwa organizacji, wrażliwości informacji i rodzaju działalności. Więcej szczegółów na ten temat można znaleźć w ich zasobach online. Warto zauważyć, że ciągłe zarządzanie lukami w zabezpieczeniach jest podstawowym aspektem każdego programu bezpieczeństwa informacji zgodnie z ramami CIS Controls.

Krytyczne mechanizmy kontroli bezpieczeństwa CIS

Źródło

Podstawa bezpieczeństwa: Widoczność i kontrola

Pierwsza zasada, poziom podstawowy, kładzie nacisk na widoczność i kontrolę. Ma to sens: nie można chronić tego, czego nie widać lub czym nie można zarządzać.

Ale spójrzmy prawdzie w oczy, czasami znaczenie podstawowych praktyk nie jest oczywiste. Przyjrzyjmy się zatem kolejnemu powodowi, dla którego warto wdrożyć solidny program zarządzania podatnościami.

Przykład Equifax: Przypadek zaniedbania łatania

Pamiętają Państwo masowe naruszenie danych Equifax w 2017 roku? Naruszenie dotyczyło 143 milionów klientów. Naruszenie to nastąpiło z powodu znanej luki w popularnym frameworku Java o nazwie Struts.

Łata usuwająca tę usterkę została wydana w marcu 2017 roku. Jednak już trzy dni później atakujący aktywnie ją wykorzystywali. Co szokujące, Equifax został zaatakowany mniej więcej dwa miesiące po udostępnieniu łatki.

Wniosek? Temu naruszeniu można było zapobiec za pomocą prostej poprawki.

Zarządzanie podatnościami: Należyta staranność w działaniu

Program zarządzania podatnościami pokazuje, że Państwa organizacja aktywnie pracuje nad zabezpieczeniem swoich systemów. Jest to kluczowy wskaźnik należytej staranności.

Niewidzialny obrońca: Jak konserwacja samochodu

Proszę pomyśleć o tym jak o posiadaniu samochodu. Zakup nowego samochodu jest ekscytujący, ale bieżące koszty utrzymania i ubezpieczenia mogą być uciążliwe.

Zarządzanie podatnościami jest podobne. Jest to ciągły, często niezauważalny wysiłek, który nie zdobywa nagród, ale jest niezbędny do zapobiegania poważnym problemom w przyszłości.

Proszę naprawić nasz stary komiks o błędach

Istotnym wyzwaniem jest zademonstrowanie wartości programu zarządzania podatnościami, upewniając się, że zespoły, którym powierzono zadanie naprawy, zajmują się właściwymi kwestiami i skutecznie zmniejszają ryzyko, a nie tylko stosują łatki w ciągłym cyklu.

Odpowiedź: Ustalanie priorytetów

Podczas oceny podatności na zagrożenia każde środowisko ujawni dużą liczbę luk, niezależnie od poziomu jego dojrzałości. Sama liczba nowo zgłoszonych podatności może być przytłaczająca, co sprawia, że cel naprawienia wszystkich z nich jest nierealny i naraża program na niepowodzenie. Jakie jest zatem najlepsze podejście?

Proszę skupić się na wykorzystywanych podatnościach

W czasach, gdy zasoby ludzkie i finansowe muszą być zoptymalizowane, po co poświęcać znaczny wysiłek na łatanie każdego systemu pod kątem podatności o średnim znaczeniu krytycznym, na którą nie ma aktywnego exploita? Sformułowanie “wykorzystywana na wolności” ma tutaj kluczowe znaczenie – odnosi się do luk, dla których istnieje aktywny, dojrzały exploit wpływający na niedawną, krytyczną lukę. Są to kwestie, które naprawdę wymagają ustalenia priorytetów.

Powszechnie stosowaną metodą ustalania priorytetów jest CVSS Score, który ocenia takie czynniki jak krytyczność, wpływ i rozgłos podatności. Jednak ta punktacja nie zawsze jest wystarczająco kontekstowa. Nowoczesne narzędzia do oceny luk w zabezpieczeniach poprawiają to poprzez dostarczanie bardziej dostosowanych wskaźników rzeczywistego ryzyka, na przykład:

  • Bieżący poziom aktywności exploitów dla określonej podatności.
  • Przyszłe trendy, które mogą stanowić większe zagrożenie.
  • Porównywalne znaczenie różnych zasobów dla firmy, kierujące wysiłkami w zakresie ustalania priorytetów.

Konfigurowanie programu zarządzania podatnościami

Niniejsza dyskusja ma na celu uświadomienie nam, dlaczego program zarządzania podatnościami ma kluczowe znaczenie i jakie pułapki może napotkać. Ustanowienie takiego programu wymaga zrozumienia jego znaczenia i praktycznych kroków niezbędnych do jego wdrożenia i powodzenia.

Budowanie skutecznego programu zarządzania podatnościami: Kluczowe składniki

Poniżej znajduje się zestawienie kilku kluczowych elementów niezbędnych do stworzenia skutecznego programu zarządzania podatnościami:

Zatwierdzenie programu i akredytacja

Nie chodzi tylko o podpis na kartce papieru. Zatwierdzenie programu oznacza wspólne zrozumienie przez interesariuszy znaczenia programu i zaangażowanie w jego sukces. Podpis forma akredytacji może się różnić w zależności od Państwa organizacji (wielkość, kultura, dojrzałość). Może to być formalna polityka podpisana przez kierownictwo wyższego szczebla lub udokumentowane porozumienie między zaangażowanymi zespołami. Kluczem jest upewnienie się, że wszyscy rozumieją, że sukces programu ma kluczowe znaczenie dla ogólnego zarządzania ryzykiem i strategii ciągłości działania.

Wskaźniki, umowy SLA i KPI

  • Metryki to pomiary, które śledzą skuteczność Państwa programu. Przykłady obejmują liczbę zidentyfikowanych luk w zabezpieczeniach, czas potrzebny na ich załatanie oraz odsetek systemów zgodnych z Państwa polityką bezpieczeństwa.
  • Umowy SLA (umowy o gwarantowanym poziomie usług) określają oczekiwane standardy wydajności dla różnych aspektów programu. Na przykład, umowa SLA może określać, jak szybko krytyczna luka musi zostać załatana.
  • KPI (kluczowe wskaźniki wydajności) to określony zestaw wskaźników, które są najważniejsze dla pomiaru ogólnego sukcesu Państwa programu. Powinny one być dostosowane do celów bezpieczeństwa Państwa organizacji.

Proces i polityka zarządzania podatnościami

Określa kroki związane z identyfikacją, klasyfikacją, ustalaniem priorytetów, naprawą i ponownym testowaniem luk w zabezpieczeniach. Proces polityka ustanawia jasne wytyczne dotyczące działań związanych z zarządzaniem podatnościami, w tym ról i obowiązków, procedur raportowania i procesów eskalacji.

Inwentaryzacja zasobów

Posiadanie kompleksowej i dokładnej inwentaryzacji wszystkich Państwa zasobów IT (sprzętu, oprogramowania, aplikacji) jest niezbędna. Pozwala to zidentyfikować, które systemy są podatne na ataki i ustalić priorytety działań naprawczych w oparciu o ich krytyczność.

Narzędzia

Istnieją różne narzędzia do skanowania luk w zabezpieczeniach dostępne w celu zautomatyzowania procesu identyfikacji luk w Państwa systemach. Narzędzia te mogą pomóc zaoszczędzić czas i zasoby, ale powinny być używane w połączeniu z innymi działaniami związanymi z zarządzaniem podatnościami.

Pomiar programu

Regularnie pomiar Wydajność programu ma kluczowe znaczenie dla identyfikacji obszarów wymagających poprawy. Śledząc wskaźniki i KPI w czasie, można ocenić skuteczność programu i w razie potrzeby wprowadzić poprawki.

Zaangażowanie liderów i odpowiedzialność za program

To podstawa. Podpisanie programu to nie tylko dokument: oznacza to wspólne zrozumienie znaczenia programu i zaangażowanie w jego realizację. Konkretna forma zatwierdzenia (np. polityka podpisana przez kierownictwo, dostosowanie zespołu) może się różnić w zależności od wielkości, kultury i poziomu dojrzałości organizacji. Kluczowym wnioskiem jest to, że kierownictwo uznaje zarządzanie podatnością na zagrożenia za istotny element ogólnego zarządzania ryzykiem i strategii ciągłości działania.

Program vs. Project Mindset

Jest to ciągły wysiłek, a nie jednorazowa naprawa. Projekty mają określony początek, środek i koniec. Program zarządzania podatnościami jest ciągły. Obejmuje ciągłe monitorowanie, komunikację, ocenę i dostosowanie w razie potrzeby. Proszę pomyśleć o tym w ten sposób: Wdrożenie narzędzia do zarządzania podatnościami to projekt. Aktywne zarządzanie podatnościami poprzez ciągłe monitorowanie, komunikację i analizę wyników to sam program.

Ustalanie oczekiwań: Metryki, umowy SLA i wskaźniki KPI

Mając zapewnione poparcie kierownictwa, musimy teraz zdefiniować, jak wygląda sukces naszego programu zarządzania podatnościami. Proszę pamiętać, że zarządzanie lukami w zabezpieczeniach jest zasadniczo zarządzaniem ryzykiem, a każda firma ma własną tolerancję na ryzyko. Usuwanie luk w zabezpieczeniach wymaga czasu i zasobów, a do firmy należy decyzja, jak szybko chce zająć się różnymi poziomami ryzyka.

Podczas gdy CISO (Chief Information Security Officer) może zalecić idealne czasy naprawy, narzucanie umów SLA (Service Level Agreement), które kolidują z apetytem firmy na ryzyko, jest receptą na porażkę.

Oto podejście bardziej oparte na współpracy:

  1. Rejestracja ryzyka dla rozszerzonej naprawy: Podobnie jak w przypadku innych rodzajów ryzyka, można zarejestrować i zaakceptować wyjątkowo długi czas naprawy, uznając związane z tym ryzyko.
  2. KPI: Pomiar sukcesu za pomocą umów SLA: Kluczowe wskaźniki wydajności (KPI) są miarą sukcesu programu. Powinny one śledzić, jak dobrze program spełnia ustalone umowy SLA. Na przykład wskaźnik KPI może pokazywać, że 95% umów SLA zostało spełnionych w określonych ramach czasowych, chociaż celem było 98%.

Metryki: Definiowanie tego, co ma znaczenie

Wskaźniki mają kluczowe znaczenie dla zrozumienia, czy program osiąga swoje cele. Oto zestawienie kluczowych terminów:

  1. SLA (umowy o gwarantowanym poziomie usług): Określają one oczekiwaną wydajność dla różnych aspektów programu. Przykładowa umowa SLA może określać, że krytyczna luka musi zostać załatana w ciągu 30 dni, z krótszym okresem (np. 72 godziny), jeśli trwa poważna kampania exploitów.
  2. KPI (kluczowe wskaźniki wydajności): Są to konkretne wskaźniki, które są najważniejsze dla oceny ogólnej skuteczności programu. Powinny być one dostosowane do celów bezpieczeństwa organizacji.

Dostosowanie umów SLA do poziomów ryzyka

Ważne jest, aby zdefiniować umowy SLA w oparciu o podatność lub krytyczność ryzyka. Oto przykładowy podział:

  1. Recenzje: 1 miesiąc
  2. Wysoka: 3 miesiące
  3. Średni: 6 miesięcy
  4. Niski: bieżące monitorowanie

Pomiar wydajności programu za pomocą wskaźników KPI

Oto kilka interesujących wskaźników KPI służących do oceny skuteczności programu:

  • Ramy czasowe usuwania podatności według krytyczności: Czy podatności są usuwane w oczekiwanych ramach czasowych dla ich poziomu krytyczności?
  • Czas naprawy według typu zasobu: Które rodzaje zasobów wymagają najdłuższego czasu na naprawę?
  • Redukcja poziomu narażenia: W jaki sposób program wpłynął na ogólny poziom narażenia na luki w zabezpieczeniach? Czy postępy programu spełniają oczekiwania?
  • Najczęstsze typy podatności: Jakie rodzaje podatności są najczęściej wykrywane (np. problemy z łataniem, błędy konfiguracji, błędy w kodzie)? Czy skupiamy się na właściwych problemach?
  • Powtarzalność podatności w nowych systemach: Czy wcześniej wyeliminowane podatności pojawiają się ponownie w nowych systemach? Czy przestrzegane są podstawowe standardy bezpieczeństwa?

Współpraca jest kluczowa

Proszę pamiętać, że to tylko przykłady. Uzgodnione wskaźniki powinny być ustalane wspólnie z zespołami biznesowymi i wsparcia. Celem jest zdefiniowanie realistycznych oczekiwań, które są zgodne z apetytem organizacji na ryzyko.

Zdefiniowanie metryk jest krytycznym krokiem, ponieważ przygotowuje grunt pod sukces programu poprzez ustalenie jasnych oczekiwań. Dobre wskaźniki zapewnią podstawę do pomiaru skuteczności programu i zapewnienia pożądanego poziomu bezpieczeństwa.

Kręgosłup bezpieczeństwa: Standardy zarządzania podatnościami

Po położeniu podwalin nadszedł czas, aby utrwalić zasady programu w standardzie (lub polityce) zarządzania podatnościami. Oto kilka kluczowych elementów, które powinien zawierać ten standard:

1. Cele programu: Wyznaczanie kierunku

Jasno określone cele zapewniają kierunek i cel programu. Określają one, co program ma osiągnąć.

2. Role i obowiązki: Wspólny wysiłek

Standard powinien określać role i obowiązki różnych interesariuszy zaangażowanych w program. Można to osiągnąć za pomocą matrycy RACI (Odpowiedzialny, Odpowiedzialny, Konsultowany, Poinformowany), aby zapewnić jasną własność i odpowiedzialność.

3. Klasyfikacja podatności: Ustalanie priorytetów zagrożeń

Standard powinien definiować kryteria klasyfikacji podatności w oparciu o stopień ważności (krytyczny, wysoki, średni, niski). Pomaga to w ustaleniu priorytetów działań naprawczych poprzez skupienie się na podatnościach o największym potencjalnym wpływie.

4. Pomiar sukcesu: Śledzenie wydajności

Standard powinien określać oczekiwane wskaźniki pomiaru skuteczności programu. Przykłady obejmują czas potrzebny na załatanie luk w zabezpieczeniach i odsetek systemów zgodnych z politykami bezpieczeństwa.

5. Zgoda: Zapewnienie zgodności

Zaangażowanie zespołów biznesowych, rozwojowych i wsparcia systemowego w tworzenie polityki sprzyja świadomości programu i zrozumieniu indywidualnych obowiązków.

Zatwierdzenie i podpisanie przez kierownictwo wyższego szczebla mają kluczowe znaczenie. Będą oni ostatecznie odpowiedzialni za monitorowanie wyników programu i zapewnienie jego ciągłego powodzenia.

Znaczenie inwentaryzacji aktywów: Wiedza o tym, co należy chronić

Program bezpieczeństwa informacji obraca się wokół ochrony zasobów i informacji. Skuteczne ustalanie priorytetów (w tym alokacja budżetu) zależy od zrozumienia potencjalnego wpływu, jak omówiono wcześniej. Krytyczne zasoby biznesowe i te zawierające wrażliwe informacje gwarantują priorytetowe inwestycje w bezpieczeństwo.

Kompleksowa inwentaryzacja zasobów ma fundamentalne znaczenie dla ustalenia priorytetów. Wykracza to poza wersje sprzętu lub oprogramowania, ale obejmuje systemy, dane i same informacje.

W związku z przepisami dotyczącymi prywatności danych, takimi jak LGPD (brazylijskie ogólne prawo o ochronie danych), zarządzanie danymi jest ważniejsze niż kiedykolwiek. Wiedza na temat posiadanych danych, ich lokalizacji, klasyfikacji i własności staje się coraz bardziej istotna.

Program zarządzania podatnością na zagrożenia będzie kamieniem węgielnym dla decyzji dotyczących zarządzania ryzykiem, a inwentaryzacja zasobów i danych będzie kierować tymi wyborami. Podczas gdy narzędzia do zarządzania podatnościami mogą identyfikować i klasyfikować podatności w oparciu o możliwość wykorzystania i potencjalny wpływ, rzeczywisty wpływ zależy od materializacji podatności i krytyczności dotkniętego zasobu i jego danych.

Skuteczne zarządzanie inwentaryzacją staje się niezbędne do ustalenia priorytetów alokacji zasobów (czasu i budżetu) na usuwanie podatności.

Narzędzia do zarządzania podatnościami: Odsłanianie arsenału technologicznego

Teraz, dla techników, tutaj sprawy stają się ekscytujące! To tutaj technologia wkracza do gry i zaczynamy widzieć namacalne rezultaty.

Chociaż nie będę zagłębiał się w rekomendacje dotyczące konkretnych narzędzi (decyzje zależą od czynników takich jak budżet, funkcje i wsparcie dostawcy), mogę zaoferować pewne wskazówki dotyczące tego, czego można oczekiwać od narzędzia do ciągłego zarządzania podatnościami.

Rodzaje narzędzi do oceny podatności

Istnieją dwie główne kategorie narzędzi:

  1. Samodzielne/profesjonalne: Są one zazwyczaj używane przez konsultantów przeprowadzających jednorazowe oceny, takie jak oceny ryzyka, audyty lub testy penetracyjne. Narzędzie jest instalowane na komputerze osobistym, skanowanie jest uruchamiane, raporty są dostarczane, a konsultant idzie dalej. Nie ma ciągłego monitorowania.
  2. Monitorowanie przedsiębiorstwa/ciągłe: Funkcjonują one jako usługa ciągła. Często działają w modelu klient-serwer, ze skanerami działającymi okresowo i wysyłającymi raporty do centralnej konsoli. Kluczową różnicą w stosunku do wersji autonomicznych jest możliwość planowania ciągłego skanowania, analizowania trendów i wykorzystywania wskaźników priorytetyzacji w oparciu o ewolucję podatności.

Ciągłe monitorowanie za pomocą narzędzi klasy korporacyjnej

W przypadku ciągłego programu zarządzania lukami w zabezpieczeniach, wysoce zalecane jest narzędzie typu korporacyjnego. Oto, czego można oczekiwać od takiego narzędzia:

  • Zautomatyzowane planowanie: Automatyczne i wielokrotne uruchamianie skanowania na podstawie wstępnie zdefiniowanych harmonogramów.
  • Analiza trendów: Śledzenie trendów i porównywanie wyników w czasie w celu monitorowania skuteczności programu.
  • Priorytetyzacja podatności: Wykorzystanie wstępnie zdefiniowanych reguł (często opartych na etykietach lub tagach) do ustalania priorytetów luk w zabezpieczeniach w celu ich naprawy.
  • Widoki i pulpity środków zaradczych: Tworzenie konfigurowalnych pulpitów nawigacyjnych, które śledzą usuwanie luk w zabezpieczeniach według typu zasobu, klasy podatności lub wersji oprogramowania.
  • Monitorowanie SLA i KPI: Monitorowanie zgodności ze zdefiniowanymi umowami SLA (Service Level Agreements) i KPI (Key Performance Indicators).
  • Raportowanie: Generowanie przejrzystych, konfigurowalnych raportów w celu podejmowania świadomych decyzji.
  • Kompatybilność systemu: Należy upewnić się, że narzędzie obsługuje różne typy systemów w Państwa środowisku.

SAST i DAST: Zabezpieczanie kodu

Statyczne testy bezpieczeństwa aplikacji (SAST) i dynamiczne testy bezpieczeństwa aplikacji (DAST) istnieją już od jakiegoś czasu, ale ich znaczenie wzrosło wraz z rozwojem zwinnych modeli rozwoju, takich jak DevOps.

  1. SAST (testowanie statyczne): Testowanie to odbywa się w czasie wdrażania i analizuje kod bezpośrednio, wyszukując błędy, które mogą powodować luki w zabezpieczeniach. Narzędzia SAST zalecają deweloperom poprawki.
  2. DAST (testowanie dynamiczne): Testy te są przeprowadzane z aplikacją już działającą w środowisku produkcyjnym. Narzędzia DAST wykorzystują dane wejściowe i logikę rozmytą do wykrywania luk w zabezpieczeniach podczas działania aplikacji.

Dobra wiadomość: integracja z potokami CI/CD (Continuous Integration/Continuous Delivery) jest możliwa przy użyciu oprogramowania do automatyzacji, takiego jak Jenkins. Pozwala to na zautomatyzowane testowanie SAST i DAST po każdym nowym wydaniu, proaktywnie identyfikując i eliminując luki w zabezpieczeniach na wczesnym etapie cyklu rozwoju.

Trzymanie ręki na pulsie: monitorowanie programu

Podobnie jak każdy inny program, zarządzanie podatnościami wymaga ciągłego monitorowania i zarządzania, aby upewnić się, że spełnia swoje cele. Celem jest przecież ciągłe zmniejszanie ogólnej powierzchni ataku i ryzyka Państwa organizacji. Wskaźniki dostarczają cennych informacji, ale czasami konieczne jest podjęcie dodatkowych działań w celu wyeliminowania odchyleń w programie lub udoskonalenia strategii zarządzania.

Cykl ciągłego doskonalenia: PDCA w działaniu

Zarządzanie podatnością na zagrożenia odbywa się zgodnie z cyklem ciągłego doskonalenia podobnym do modelu PDCA (Plan-Do-Check-Act). Poniżej znajduje się podział na fazy:

  1. Plan: Proszę zidentyfikować nowe luki w zabezpieczeniach, nadać im priorytety w oparciu o ryzyko i opracować plany naprawcze.
  2. Proszę wykonać: Wdrożenie planów naprawczych, łatanie luk w zabezpieczeniach i usuwanie słabych punktów w zabezpieczeniach.
  3. Proszę sprawdzić: Ciągłe monitorowanie skuteczności programu za pomocą wskaźników i identyfikowanie obszarów wymagających poprawy.
  4. Proszę działać: Proszę podjąć działania naprawcze w oparciu o swoje ustalenia, takie jak dostosowanie strategii ustalania priorytetów lub udoskonalenie harmonogramów skanowania podatności.

Ten cykliczny proces zapewnia, że Państwa program pozostaje dynamiczny i dostosowuje się do ewoluujących zagrożeń i podatności.

Cykl życia zarządzania podatnościami

Źródło

Podsumowanie: Monitorowanie i ciągłe doskonalenie

Oto kilka kluczowych wniosków dotyczących skutecznego monitorowania programu:

  • Proszę przyjąć cykl PDCA: Ciągłe identyfikowanie obszarów wymagających poprawy poprzez cykl Planuj-Wykonaj-Sprawdź-Działaj. Proszę udoskonalać swój program w oparciu o bieżące monitorowanie i analizę.
  • Ustalanie priorytetów w oparciu o ryzyko: Priorytetyzacja działań związanych z usuwaniem luk w zabezpieczeniach w oparciu o powiązane z nimi poziomy ryzyka. W pierwszej kolejności należy skupić się na usuwaniu najbardziej krytycznych podatności.
  • Przejrzystość jest kluczowa: Należy zapewnić jasny wgląd w program wszystkim zaangażowanym interesariuszom. Zwiększa to świadomość i zrozumienie programu.
  • Raportowanie w celu zapewnienia odpowiedzialności: Proszę regularnie informować interesariuszy o skuteczności programu w zmniejszaniu ogólnego ryzyka. Należy wykazać wartość programu w poprawie stanu bezpieczeństwa organizacji.

Więcej informacji

Copyright © 2024 . Powered by Medisat WordPress Theme