În lumea noastră a datelor comodificate, standardele de securitate cibernetică trebuie să fie ridicate și ascuțite. Majoritatea companiilor, chiar dacă nu sunt imediat legate de tehnologie, vor avea în cele din urmă nevoia de a se încadra din interior.
Cu mai mult de un deceniu în urmă, Organizația Internațională de Standarde a adoptat o specificație numită ISO 27001. Deci, ce anume este? Ce ne poate spune un audit ISO 27001 despre mașinațiile interioare ale unei organizații? Și cum decideți dacă firma dvs. trebuie auditată?
Ce este un sistem de management al securității informațiilor (ISMS)?
Un sistem de management al securității informațiilor (ISMS) este principala linie de apărare a unei organizații împotriva încălcări de date și alte tipuri de amenințări cibernetice din afară.
Un ISMS eficient asigură faptul că informațiile protejate rămân confidențiale și sigure, fidele sursei și accesibile persoanelor care au autorizația de a lucra cu acestea.
O greșeală obișnuită este să presupunem că un ISMS nu reprezintă mai mult decât un firewall sau alte mijloace tehnice de protecție. În schimb, un ISMS complet integrat este la fel de prezent în cultura companiei și în fiecare angajat, inginer sau altfel. Merge dincolo de departamentul IT.
Mai mult decât simpla politică și procedură oficială, sfera acestui sistem include și capacitatea echipei de a gestiona și rafina sistemul. Execuția și modul în care protocolul este aplicat sunt primordiale.
Aceasta implică adoptarea unei abordări pe termen lung a gestionării și atenuării riscurilor. Directorii unei companii trebuie să fie familiarizați cu orice risc asociat industriei în care lucrează în mod specific. Înarmați cu această perspectivă, ei vor putea construi zidurile în jurul lor în consecință.
Ce este exact ISO 27001?
În 2005, Organizația Internațională pentru Standardizare (ISO) și Electrotehnica Internațională Comisia (IEC) a reînnoit BS 7799, un standard de management al securității stabilit pentru prima dată de Grupul BSI de 10 ani anterior.
Acum cunoscut oficial sub numele de ISO / IEC 27001: 2005, ISO 27001 este un standard internațional de conformitate acordat companiilor care sunt exemplare în managementul securității informațiilor.
În esență, este o colecție riguroasă de standarde împotriva cărora sistemul de management al securității informațiilor al unei companii poate fi împiedicat. Acest cadru permite auditorilor să evalueze apoi tenacitatea sistemului în ansamblu. Companiile pot alege să facă un audit atunci când doresc să-și asigure clienții și clienții că datele lor sunt în siguranță în interiorul zidurilor lor.
În această colecție de prevederi sunt incluse: specificații privind politica de securitate, activ clasificare, securitate a mediului, gestionarea rețelei, întreținerea sistemului și continuitatea activității planificare.
ISO a condensat toate aceste fațete din cartea originală BSI, distilându-le în versiunea pe care o recunoaștem astăzi.
Săpăm în politică
Ce anume se evaluează atunci când o companie este supusă unui audit ISO 27001?
Obiectivul standardului este de a oficializa politica de informare eficientă și sigură la nivel internațional. Acesta stimulează o atitudine proactivă, care încearcă să evite problemele înainte ca aceasta să se întâmple.
ISO pune accentul pe trei aspecte importante ale unui ISMS sigur:
1. Analiza constantă și recunoașterea riscului: aceasta include atât riscurile actuale, cât și riscurile care se pot prezenta în viitor.
2. Un sistem robust și sigur: aceasta include sistemul așa cum există într-un sens tehnic, precum și orice controale de securitate pe care organizația le folosește pentru a se proteja împotriva riscurilor menționate anterior. Acestea vor arăta foarte diferit, în funcție de companie și industrie.
3. O echipă devotată de lideri: aceștia vor fi oamenii care pun efectiv controale pentru a lucra în apărarea organizației. Sistemul este la fel de eficient ca cei care lucrează la cârmă.
Analiza acestor trei factori cheie care contribuie ajută auditorul să facă o imagine mai completă a capacității unei companii date de a opera în siguranță. Sustenabilitatea este favorizată față de un ISMS care se bazează doar pe forța tehnică brută.
Legate de: Cum să împiedicați angajații să fure datele companiei atunci când pleacă
Există un element uman important care trebuie să fie prezent. Modul în care oamenii din cadrul companiei exercită controlul asupra datelor și ISMS-urilor lor este deținut mai presus de orice. Aceste controale sunt cele care păstrează datele în siguranță.
Ce este anexa A la ISO 27001?
Exemple specifice de „controale” depind de industrie. Anexa A la ISO 27001 oferă companiilor 114 mijloace de control recunoscute oficial asupra securității operațiunilor lor.
Aceste controale se încadrează în una dintre cele paisprezece clasificări:
A.5—Politici de informare și securitate: politicile și procedurile instituționalizate pe care le urmează o companie.
A.6—Organizarea securității informațiilor: atribuirea responsabilității în cadrul organizației în ceea ce privește cadrul ISMS și implementarea acestuia. Aici este inclus, destul de ciudat, și politica care guvernează telelucrarea și utilizarea dispozitivelor în cadrul companiei.
A.7—Securitatea resurselor umane: se referă la integrare, offboarding și schimbarea rolurilor angajaților în cadrul organizației. Standardele de screening și cele mai bune practici în educație și formare sunt prezentate și aici.
A.8—Gestionarea activelor: implică manipularea datelor. Activele trebuie să fie inventariate, întreținute și păstrate private, chiar și între liniile departamentale, în unele cazuri. Proprietatea asupra fiecărui activ trebuie stabilită în mod clar; această clauză recomandă companiilor să elaboreze o „Politică de utilizare acceptabilă” specifică liniei lor de activitate.
A.9—Controlul accesului: cui îi este permis să gestioneze datele dvs. și cum veți limita accesul numai la angajații autorizați? Aceasta poate include stabilirea condiționată a permisiunii în sens tehnic sau accesul la clădirile blocate din campusul companiei dvs.
A.10—Criptografie: se ocupă în primul rând de criptare și alte modalități de protejare a datelor în tranzit. Aceste măsuri preventive trebuie gestionate activ; ISO descurajează organizațiile să considere criptarea ca o soluție unică pentru toate provocările nuanțate profund asociate cu securitatea datelor.
A.11—Securitate fizică și de mediu: evaluează securitatea fizică oriunde se află date sensibile, fie într-o clădire de birouri propriu-zisă, fie într-o cameră mică, cu aer condiționat, plină de servere.
A.12—Securitatea operațiunilor: care sunt regulile dvs. interne de securitate atunci când vine vorba de funcționarea companiei dvs.? Documentația care explică aceste proceduri ar trebui menținută și revizuită frecvent pentru a satisface nevoile de afaceri noi și emergente.
Managementul schimbărilor, managementul capacității și separarea diferitelor departamente se încadrează în această rubrică.
A.13—Managementul securității rețelei: rețelele care conectează fiecare sistem din cadrul companiei dvs. trebuie să fie etanșe și atent îngrijite.
Soluțiile de captare, cum ar fi firewall-urile, sunt făcute și mai eficiente atunci când sunt completate cu lucruri precum puncte de verificare frecvente, politici de transfer formalizate sau interzicerea utilizării rețelelor publice în timp ce gestionați datele companiei dvs., de exemplu.
A.14—Achiziționarea, dezvoltarea și întreținerea sistemului: dacă compania dvs. nu are deja un ISMS în vigoare, această clauză explică ceea ce aduce la masă un sistem ideal. Vă ajută să vă asigurați că domeniul de aplicare al ISMS acoperă fiecare aspect al ciclului de viață al producției.
O politică internă de dezvoltare sigură oferă inginerilor dvs. contextul de care au nevoie pentru a construi un produs conform încă din ziua în care începe activitatea lor.
A.15—Politica de securitate a furnizorilor: atunci când faceți afaceri cu furnizori terți din afara companiei dvs., ce măsuri de precauție sunt luate pentru a preveni scurgerile sau încălcările datelor partajate cu aceștia?
A.16—Gestionarea incidentelor de securitate a informațiilor: când lucrurile merg prost, compania dvs. oferă probabil un cadru pentru modul în care problema ar trebui raportată, abordată și prevenită în viitor.
ISO caută sisteme de represalii care să permită figurilor de autoritate din cadrul companiei să acționeze rapid și cu mari prejudecăți după ce a fost detectată o amenințare.
A.17—Aspecte de securitate a informațiilor privind managementul continuității activității: în caz de dezastru sau orice alt incident puțin probabil care vă perturbă irevocabil operațiunile, un plan va trebui să fie la locul său pentru a păstra bunăstarea companiei și a datelor sale până când afacerea va relua ca normal.
Ideea este că o organizație are nevoie de un mod de a păstra continuitatea securității prin momente ca acestea.
A.18—Conformitate: în cele din urmă, ajungem la contractul propriu-zis al acordurilor la care o companie trebuie să subscrie pentru a îndeplini cerințele pentru certificarea ISO 27001. Obligațiile tale sunt prezentate în fața ta. Tot ce vă mai rămâne de făcut este să semnați pe linia punctată.
ISO nu mai cere ca companiile conforme să utilizeze numai controale care se încadrează în categoriile enumerate mai sus. Cu toate acestea, lista este un loc minunat pentru a începe dacă tocmai începeți să puneți bazele ISMS ale companiei dvs.
Legate de: Cum să vă îmbunătățiți atenția cu bune practici de securitate
Ar trebui ca firma mea să fie auditată?
Depinde. Dacă sunteți un start-up foarte mic care lucrează într-un domeniu care nu este sensibil sau cu risc ridicat, probabil că vă puteți abține până când planurile dvs. pentru viitor sunt mai sigure.
Mai târziu, pe măsură ce echipa ta crește, te-ai putea regăsi în una dintre următoarele categorii:
- Este posibil să colaborați cu un client important care solicită companiei dvs. să fie evaluată pentru a vă asigura că vor fi în siguranță cu dvs.
- S-ar putea să doriți să treceți la o IPO în viitor.
- Ați fost deja victima unei încălcări și trebuie să vă gândiți din nou la modul în care gestionați și protejați datele companiei dvs.
Prognoza pentru viitor poate să nu fie întotdeauna ușoară. Chiar dacă nu vă vedeți în niciunul dintre scenariile de mai sus, nu este rău să fiți proactivi și să începeți să încorporați unele dintre practicile recomandate de ISO în regimul dvs.
Puterea este în mâinile tale
Pregătirea ISMS pentru un audit este la fel de simplă ca și preluarea diligenței, chiar și în cazul în care lucrați astăzi. Documentația trebuie păstrată și arhivată întotdeauna, oferindu-vă dovezile că va trebui să susțineți revendicările dvs. de competență.
Este la fel ca la școala medie: faci temele și primești nota. Clienții sunt sănătoși și sănătoși, iar șeful tău este foarte fericit cu tine. Acestea sunt obiceiuri simple de învățat și de păstrat. Vă veți mulțumi mai târziu, când omul cu clipboard va veni în cele din urmă să sune.
Iată care sunt atacurile cibernetice pe care trebuie să le urmăriți în 2021 și cum puteți evita căderea victimelor lor.
Citiți în continuare
- Securitate
- Securitatea calculatorului
- Securitatea datelor
Emma Garofalo este o scriitoare cu sediul în prezent în Pittsburgh, Pennsylvania. Când nu se străduiește la biroul ei pentru a avea nevoie de o zi de mâine mai bună, ea poate fi găsită de obicei în spatele camerei sau în bucătărie.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
