Raptoric Journal/Sigurnosni program i rizik

Sigurnosni program i rizik15. lipnja 2026. · 14 min čitanja

Informacijska sigurnost: što je i kako uspostaviti program

Informacijska sigurnost štiti povjerljivost, cjelovitost i dostupnost informacija, bez obzira na oblik. Evo po čemu se razlikuje od kibernetičke i IT sigurnosti, na čemu počiva i kako se gradi program koji stvarno smanjuje rizik.

Sigurnosni tim planira program informacijske sigurnosti uz nadzornu ploču u modernom uredu.

Autor

Ana Levantić

Sigurnosni program, rizik i usklađenost

Podijelite

LinkedInX / TwitterCopy link

Informacijska sigurnost je zaštita informacija od neovlaštenog pristupa, izmjene i gubitka, bez obzira na to nalaze li se u digitalnom sustavu, na papiru ili u glavama zaposlenika. Mnogi je poistovjećuju s antivirusom ili vatrozidom, no to je tek dio priče. Informacijska sigurnost je upravljačka disciplina: odluka o tome što štitite, koliko i kako, koju zatim dokazujete u praksi.

Pišemo iz perspektive inženjera koji grade i testiraju sigurnosne programe. Cijeli program informacijske sigurnosti vodimo kroz sigurnosni program i rizik, a formalni okvir detaljno opisujemo u tekstu o ISO 27001 u Hrvatskoj.

Što je informacijska sigurnost

Prema normi ISO/IEC 27000, informacijska sigurnost je očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija.¹ Ta tri svojstva čine takozvanu CIA trijadu i temelj su svake odluke o zaštiti. Kad procjenjujete rizik, zapravo se pitate koje od tih svojstava je ugroženo i koliko bi to štetilo poslovanju.

Svojstvo	Što znači	Primjer narušavanja
Povjerljivost	Informaciji pristupaju samo ovlašteni.	Curenje baze kupaca ili medicinske dokumentacije.
Cjelovitost	Informacija je točna i nepromijenjena.	Neovlaštena izmjena računa ili financijskog izvještaja.
Dostupnost	Informacija je dostupna kad zatreba.	Ransomware ili kvar koji zaustavi proizvodnju.

CIA trijada: tri svojstva koja informacijska sigurnost štiti. Izvor: ISO/IEC 27000.

Informacijska, kibernetička i IT sigurnost

Pojmovi se često miješaju, a razlika je u opsegu. Informacijska sigurnost je najširi pojam, kibernetička pokriva njezin digitalni dio, a IT sigurnost najuži tehnički sloj.

Pojam	Što štiti	Opseg
Informacijska sigurnost	Sve informacije, digitalne i fizičke.	Najširi: politike, ljudi, papir, sustavi.
Kibernetička sigurnost	Digitalne sustave, mreže i podatke.	Digitalni dio informacijske sigurnosti.
IT sigurnost	IT infrastrukturu, uređaje i servise.	Tehnički sloj kibernetičke sigurnosti.

Tri srodna pojma i njihov opseg.

Razlika nije akademska. Tvrtka koja sve svede na IT alate ostaje izložena na mjestima koja ti alati ne pokrivaju, od papirnatih ugovora i ključeva do ponašanja zaposlenika. Zato dobar program kreće od informacija, a ne od tehnologije.

Tri stupa: ljudi, procesi, tehnologija

Program informacijske sigurnosti drži se na tri stupa. Ako jedan zakaže, padaju i ostali. Najčešća pogreška je ulaganje samo u tehnologiju, dok ljudi i procesi ostaju neuređeni.

Ljudi: svjesnost, edukacija i jasne odgovornosti. Većina ozbiljnih proboja počinje phishingom i socijalnim inženjeringom, a ne ranjivošću u kodu.
Procesi: politike, upravljanje rizicima, postupanje s incidentima i pristup podacima. Procesi pretvaraju namjeru u ponovljivu praksu.
Tehnologija: kontrola pristupa, enkripcija, sigurnosne kopije, nadzor i dvofaktorska autentifikacija. Tehnologija provodi odluke, ali ih ne donosi.

Od čega štitimo informacije

Prijetnje dolaze izvana i iznutra, namjerno i slučajno. Dobar program ne pretpostavlja samo hakera u kapuljači, nego i umornog zaposlenika koji pogriješi.

Vanjski napadači koji ciljaju podatke ili novac, od pojedinaca do organiziranih skupina.
Zlonamjerni softver i ransomware, koji šifrira ili krade podatke.
Phishing i socijalni inženjering, koji ciljaju ljude umjesto sustava.
Interne prijetnje, od nezadovoljnih zaposlenika do zlouporabe ovlasti.
Ljudske pogreške, poput pogrešno poslane e-pošte ili krivo postavljene cloud kante.
Kvarovi i gubitak opreme te propusti dobavljača s pristupom vašim podacima.

Kako uspostaviti program, korak po korak

Program se ne kupuje, nego gradi. Ovo je redoslijed koji daje rezultat i izbjegava trošenje novca na alate koji ne rješavaju vaše stvarne rizike. Cijeli ciklus je trajan, po načelu planiraj, provedi, provjeri, poboljšaj.

01
Popišite imovinu
Utvrdite koje informacije imate, gdje su, tko im pristupa i koliko su vrijedne. Bez te slike svaka kasnija odluka je nagađanje.
02
Procijenite rizik
Za svaku imovinu procijenite prijetnje i ranjivosti te kombinirajte vjerojatnost i učinak u ocjenu rizika.
03
Postavite politike i odgovornosti
Definirajte pravila pristupa, klasifikacije i postupanja te tko je za što odgovoran.
04
Uvedite kontrole
Primijenite organizacijske, ljudske, fizičke i tehnološke mjere razmjerne riziku.
05
Educirajte ljude
Redovita i konkretna edukacija mijenja ponašanje, jer ljudi su najčešća ulazna točka.
06
Nadzirite i mjerite
Pratite događaje, mjerite učinkovitost kontrola i prikupljajte dokaze da sustav radi.
07
Testirajte i poboljšavajte
Dokažite da kontrole drže kroz procjenu ranjivosti i penetracijsko testiranje, pa ispravljajte slabosti.

Mjere i kontrole

Kontrole su konkretna sredstva kojima smanjujete rizik. Norma ISO/IEC 27002 razvrstava ih u četiri teme, što je koristan okvir i izvan certifikacije.²

Tema	Primjeri
Organizacijske	Politike, upravljanje dobavljačima, klasifikacija, postupanje s incidentima.
Ljudi	Provjere pri zapošljavanju, svjesnost, edukacija, odgovornosti.
Fizičke	Kontrola pristupa prostorima, zaštita opreme, sigurno odlaganje.
Tehnološke	Kontrola pristupa, enkripcija, sigurnosne kopije, upravljanje ranjivostima, nadzor.

Četiri teme kontrola prema ISO/IEC 27002.

Tko želi mjerljiv i priznat okvir, gradi sustav upravljanja informacijskom sigurnošću (ISMS) prema ISO 27001. On povezuje sve gore navedeno u trajan, vođen proces koji se može i certificirati.

Uloga vodstva

Informacijska sigurnost je odgovornost vodstva, ne samo IT odjela. Tko upravlja, taj odlučuje o prioritetima i proračunu, a sve češće i osobno odgovara. NIS2 i Zakon o kibernetičkoj sigurnosti izričito traže da uprava odobri i nadzire mjere te prođe osposobljavanje.³

Manje organizacije rijetko imaju direktora sigurnosti na puno radno vrijeme. Tu pomaže model virtualnog CISO-a (vCISO): iskusno vodstvo u dogovorenom opsegu, bez troška izvršne pozicije.

Informacijska sigurnost i propisi

Više propisa traži upravo ono što čini dobar program. GDPR traži tehničke i organizacijske mjere zaštite osobnih podataka. NIS2 traži mjere upravljanja rizicima u ključnim i važnim sektorima. ENISA, agencija EU-a za kibernetičku sigurnost, te mjere povezuje s priznatim normama poput ISO 27001.³ Tvrtka s urednim programom ulazi u usklađivanje s prednošću, jer ne kreće od nule.

Najčešće zablude

To je IT problem. Nije: većina rizika dolazi iz procesa i ponašanja ljudi, ne iz tehnologije.
Premali smo da bismo bili meta. Automatizirani napadi ne biraju po veličini, a manje tvrtke često su slabije branjene.
Kupili smo alat, riješeno je. Alat bez konfiguracije, nadzora i procesa daje lažan osjećaj sigurnosti.
To je jednokratan projekt. Sigurnost je trajno stanje koje se održava kako se mijenjaju sustavi i prijetnje.

Kako Raptoric pomaže

Gradimo programe informacijske sigurnosti u kojima iza svake kontrole stoji stvaran rad. Kroz sigurnosni program i rizik slažemo procjenu rizika, politike i mjere prilagođene vašoj tvrtki, a kroz penetracijsko testiranje dokazujemo da kontrole drže pred stvarnim napadačem. Ako tek krećete, najbolji prvi korak je trezvena slika onoga što štitite i gdje su slabosti. Dogovorite uvodni razgovor i reći ćemo vam jasno odakle početi.

Česta pitanja

Koja je razlika između informacijske i kibernetičke sigurnosti?

Informacijska sigurnost štiti sve informacije, digitalne i fizičke, kroz ljude, procese i tehnologiju. Kibernetička sigurnost je njezin digitalni dio, usmjeren na sustave, mreže i podatke. Kibernetička sigurnost je podskup informacijske sigurnosti.

Odakle krenuti ako nemamo ništa uspostavljeno?

Krenite od popisa imovine i procjene rizika, ne od kupnje alata. Tek kad znate što štitite i čega se bojite, možete birati mjere koje stvarno smanjuju rizik. Širi uvod dajemo u tekstu o tome odakle krenuti s kibernetičkom sigurnošću.

Trebamo li ISO 27001 da bismo imali dobru informacijsku sigurnost?

Ne nužno. ISO 27001 daje mjerljiv i priznat okvir te certifikat koji traže klijenti i regulatori, ali dobar program možete imati i bez certifikata. Norma je koristan vodič jer sažima dobru praksu u 93 kontrole.

Tko je u tvrtki odgovoran za informacijsku sigurnost?

Krajnja odgovornost je na vodstvu. Operativno provođenje vodi voditelj sigurnosti ili imenovana osoba, a manje tvrtke koriste vanjskog vCISO-a. NIS2 odgovornost izričito stavlja na upravu.

Je li informacijska sigurnost samo za velike tvrtke?

Nije. Automatizirani napadi ne biraju po veličini, a manje tvrtke često su slabije branjene. Opseg mjera razmjeran je riziku, pa će manja tvrtka imati jednostavniji program, ali ne i nikakav.

Izvori

1ISO/IEC. ISO/IEC 27000:2018 Information security management systems — Overview and vocabulary. International Organization for Standardization, 2018. Poveznica
2ISO/IEC. ISO/IEC 27002:2022 Information security controls. International Organization for Standardization, 2022. Poveznica
3ENISA. NIS Directive — resources and guidance. European Union Agency for Cybersecurity, 2024. Poveznica

Želite li ovakvu provjeru na vlastitim sustavima?

Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.

Dogovorite razgovor

Nastavite čitati

Svi tekstovi →

01Sigurnosni program i rizik

Što je virtualni CISO (vCISO) i kada vam treba?

Čitajte →10 min čitanja

02Sigurnosni program i rizik

GDPR i zaštita osobnih podataka: vodič za tvrtke u Hrvatskoj

Čitajte →15 min čitanja

03Sigurnosni program i rizik

GDPR kazne: koliko su visoke i kako ih izbjeći

Čitajte →10 min čitanja