Iza okvira usklađenosti: izgradnja kulture bezbednosti zasnovane na riziku

Beograd, Srbija – 25. septembar 2025.

Od provera spiskova do značajnog smanjenja rizika u svakodnevnim operacijama

Propisna usklađenost se često postavlja kao konačni cilj programa bezbednosti, ali ona predstavlja samo osnovni nivo. Prava otpornost nastaje iz kulture u kojoj je bezbednost integrisana u svakodnevne odluke, a ne samo u izveštajima revizije. Ispunjavanje zahteva PCI DSS ili ISO 27001 može da zadovolji regulatore, ali ne garantuje da zaposleni u praksi donose informisane, na rizik usmerene izbore.

Okviri usklađenosti su neophodni. Oni postavljaju minimalne kontrole i pružaju spoljašnju odgovornost. Međutim, napadači se ne ograničavaju na granice usklađenosti. Oni iskorištavaju razlike između politike i ponašanja, ciljajući slepe tačke koje formalne revizije retko otkrivaju. Kultura bezbednosti zasnovana na riziku osigurava da se te slepe tačke neprestano identifikuju i ublažavaju.

Infosec Assessors Group (IAG) je u više industrija zapažao da organizacije vođene isključivo usklađenošću često ne uspevaju da prioritizuju nastajuće rizike. Na primer, mogu da šifruju čuvane podatke kao što je propisano, ali ne zaštite API krajnje tačke koje iste podatke izlažu. Usklađenost je postignuta, ali rizik ostaje neobrađen.

CypSec prevazilazi ovaj izazov ugrađivanjem upravljanja rizicima direktno u operativne tokove. Njegov okvir „policy-as-code“ dinamički prilagođava kontrole na osnovu kontekstualnih signala rizika. Time se obezbeđuje da sprovođenje bezbednosti ne bude statično, već da se razvija zajedno sa pretnjama i poslovnim procesima. Zaposleni dobijaju smernice u realnom vremenu, a ne samo krute politike.

"Usklađenost pokazuje regulatorima da pravilima možete da se povinujete. Kultura zasnovana na riziku pokazuje napadačima da ste spremni," izjavio je Frederik Rot, glavni direktor za informacionu bezbednost u CypSec-u.

Izgradnja kulture zasnovane na riziku zahteva promenu razmišljanja. Zaposleni moraju da vide kako se njihove radnje povezuju sa organizacionim rizikom. Kroz ciljane programe svesti, scenario zasnovano testiranje i kontinuiranu povratnu informaciju, organizacije mogu da izbace bezbednost iz odeljenja za usklađenost i ugrade je u svakodnevne odluke svakog člana osoblja.

Za rukovodstvo ova kultura stvara transparentnost. Metrike bezbednosti postaju zasnovane na riziku, a ne na usklađenosti, prikazujući koji resursi, uloge ili procesi predstavljaju najveću izloženost. Rukovodioci dobijaju jasniji uvid gde ulaganja donose najveće smanjenje stvarnog rizika, a ne samo povoljne nalaze revizije.

Industrije koje rukuju osetljivim podacima, finansijama, zdravstvom i državnim informacijama, posebno imaju koristi od ove promene. Regulatori sve više prepoznaju ograničenja proverne usklađenosti i očekuju dokaz proaktivnog upravljanja rizicima. Oni koji prihvate kulturu zasnovanu na riziku ne samo da ostaju usklađeni, već stiču konkurentsku prednost u poverenju i otpornosti.

Zajedno, Infosec Assessors Group i CypSec pomažu organizacijama da pređu daleko izvan usklađenosti, ujedinjujući revizije, upravljanje rizicima i kulturnu promenu. Rezultat je program bezbednosti koji ne samo da prolazi inspekcije, već se i prilagođava razvijajućim pretnjama, osposobljavajući zaposlene na svim nivoima da svakodnevno donose bezbedne izbore.

O Infosec Assessors Group-u: Infosec Assessors Group (IAG) je srpska konsultantska kuća za kibernetičku bezbednost specijalizovana za PCI DSS, ISO standarde, testiranje prodiranja i upravljanje rizicima. Za više informacija posetite infosecassessors.com.

O CypSec-u: CypSec isporučuje rešenja za upravljanje rizicima preduzeća, policy-as-code i rešenja za ljudski rizik. Zajedno sa IAG-om pomaže organizacijama da izgrade trajne kulture bezbednosti koje se prilagođavaju razvijajućim pretnjama. Za više informacija posetite cypsec.de.

Kontakt za medije: Darija Fedjaj, izvršna direktorka u CypSec-u – daria.fediay@cypsec.de.