Στον κόσμο των εμπορευματοποιημένων δεδομένων μας, τα πρότυπα ασφάλειας στον κυβερνοχώρο πρέπει να είναι ψηλά και να είναι ευκρινή. Οι περισσότερες εταιρείες, ακόμη και αν δεν σχετίζονται άμεσα με την τεχνολογία, θα αντιμετωπίσουν τελικά την ανάγκη να ενωθούν από μέσα.
Πάνω από μια δεκαετία πριν, ο Διεθνής Οργανισμός Προτύπων υιοθέτησε μια προδιαγραφή που ονομάζεται ISO 27001. Τι ακριβώς είναι λοιπόν; Τι μπορεί να μας πει ένας έλεγχος ISO 27001 σχετικά με τους εσωτερικούς μηχανισμούς ενός οργανισμού; Και πώς αποφασίζετε εάν η εταιρεία σας πρέπει να ελεγχθεί;
Τι είναι ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS);
Ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) είναι η κύρια γραμμή άμυνας ενός οργανισμού κατά παραβιάσεις δεδομένων και άλλοι τύποι απειλών στον κυβερνοχώρο Απο έξω.
Ένα αποτελεσματικό ISMS διασφαλίζει ότι οι πληροφορίες που προστατεύονται παραμένουν εμπιστευτικές και ασφαλείς, πιστές στην πηγή και προσιτές στους ανθρώπους που έχουν την άδεια να συνεργαστούν με αυτήν.
Ένα συνηθισμένο λάθος είναι να υποθέσουμε ότι ένα ISMS δεν υπερβαίνει το τείχος προστασίας ή άλλα τεχνικά μέσα προστασίας. Αντ 'αυτού, ένα πλήρως ενσωματωμένο ISMS είναι το ίδιο παρόν στην κουλτούρα της εταιρείας και σε κάθε υπάλληλο, μηχανικό ή με άλλο τρόπο. Πηγαίνει πολύ πέρα από το τμήμα πληροφορικής.
Πέρα από την απλή επίσημη πολιτική και διαδικασία, το πεδίο εφαρμογής αυτού του συστήματος περιλαμβάνει επίσης την ικανότητα της ομάδας να διαχειρίζεται και να βελτιώνει το σύστημα. Η εκτέλεση και ο τρόπος εφαρμογής του πρωτοκόλλου είναι πρωταρχικής σημασίας.
Αυτό συνεπάγεται τη λήψη μακροπρόθεσμης προσέγγισης στη διαχείριση και τον μετριασμό των κινδύνων. Οι διευθυντές μιας εταιρείας πρέπει να γνωρίζουν στενά τους κινδύνους που σχετίζονται με τον κλάδο στον οποίο εργάζονται συγκεκριμένα. Οπλισμένοι με αυτήν την εικόνα, θα είναι σε θέση να χτίσουν τα τείχη γύρω τους ανάλογα.
Τι είναι ακριβώς το ISO 27001;
Το 2005, ο Διεθνής Οργανισμός Τυποποίησης (ISO) και ο Διεθνής Ηλεκτροτεχνικός Η Επιτροπή (IEC) ανανέωσε το BS 7799, ένα πρότυπο διαχείρισης ασφάλειας που θεσπίστηκε για πρώτη φορά από τον Όμιλο BSI 10 χρόνια προηγουμένως.
Τώρα επίσημα γνωστό ως ISO / IEC 27001: 2005, το ISO 27001 είναι ένα διεθνές πρότυπο συμμόρφωσης που απονέμεται σε εταιρείες που είναι υποδειγματικές στη διαχείριση ασφάλειας πληροφοριών.
Ουσιαστικά, είναι μια αυστηρή συλλογή προτύπων στα οποία μπορεί να αντιταχθεί το σύστημα διαχείρισης ασφάλειας πληροφοριών μιας εταιρείας. Αυτό το πλαίσιο επιτρέπει στους ελεγκτές να αξιολογήσουν έπειτα την αντοχή του συστήματος στο σύνολό του. Οι εταιρείες μπορούν να επιλέξουν να έχουν έλεγχο όταν θέλουν να διαβεβαιώσουν τους πελάτες και τους πελάτες τους ότι τα δεδομένα τους είναι ασφαλή εντός των τειχών τους.
Σε αυτήν τη συλλογή διατάξεων περιλαμβάνονται: προδιαγραφές σχετικά με την πολιτική ασφάλειας, περιουσιακό στοιχείο ταξινόμηση, περιβαλλοντική ασφάλεια, διαχείριση δικτύου, συντήρηση συστήματος και επιχειρησιακή συνέχεια σχεδίαση.
Το ISO συμπύκνωσε όλες αυτές τις πτυχές από τον αρχικό χάρτη BSI, αποστάζοντας τους στην έκδοση που αναγνωρίζουμε σήμερα.
Συμμετοχή στην πολιτική
Τι ακριβώς αξιολογείται όταν μια εταιρεία υποβάλλεται σε έλεγχο ISO 27001;
Στόχος του προτύπου είναι να επισημοποιήσει αποτελεσματικά και ασφαλή πολιτική πληροφοριών διεθνώς. Ενθαρρύνει μια προληπτική στάση, που επιδιώκει να αποφύγει προβλήματα πριν συμβεί.
Το ISO δίνει έμφαση σε τρεις σημαντικές πτυχές ενός ασφαλούς ISMS:
1. Συνεχής ανάλυση και αναγνώριση κινδύνου: αυτό περιλαμβάνει τόσο τους τρέχοντες κινδύνους όσο και τους κινδύνους που ενδέχεται να παρουσιαστούν στο μέλλον.
2. Ένα στιβαρό και ασφαλές σύστημα: αυτό περιλαμβάνει το σύστημα όπως υπάρχει με τεχνική έννοια, καθώς και τυχόν ελέγχους ασφαλείας που χρησιμοποιεί ο οργανισμός για να προστατευθεί από τους προαναφερθέντες κινδύνους. Αυτά θα φαίνονται πολύ διαφορετικά, ανάλογα με την εταιρεία και τον κλάδο.
3. Μια αφοσιωμένη ομάδα ηγετών: αυτοί θα είναι οι άνθρωποι που θα ελέγχουν πραγματικά την εργασία για την υπεράσπιση του οργανισμού. Το σύστημα είναι εξίσου αποτελεσματικό με εκείνους που εργάζονται στο τιμόνι.
Η ανάλυση αυτών των τριών βασικών συντελεστών βοηθά τον ελεγκτή να ζωγραφίσει μια πληρέστερη εικόνα της ικανότητας μιας δεδομένης εταιρείας να λειτουργεί με ασφάλεια. Η βιωσιμότητα ευνοείται από ένα ISMS που βασίζεται μόνο σε ωμή τεχνική δύναμη.
Σχετιζομαι με: Πώς να κρατήσετε τους υπαλλήλους από το να κλέβουν τα δεδομένα της εταιρείας όταν φεύγουν
Υπάρχει ένα σημαντικό ανθρώπινο στοιχείο που πρέπει να υπάρχει. Ο τρόπος με τον οποίο τα άτομα εντός της εταιρείας ασκούν έλεγχο στα δεδομένα τους και στο ISMS τους διατηρείται πάνω απ 'όλα. Αυτά τα στοιχεία ελέγχου είναι αυτά που διατηρούν τα δεδομένα ασφαλή.
Τι είναι το Παράρτημα Α του ISO 27001;
Συγκεκριμένα παραδείγματα "ελέγχων" εξαρτώνται από τον κλάδο. Το παράρτημα Α του ISO 27001 προσφέρει στις εταιρείες 114 επίσημα αναγνωρισμένα μέσα ελέγχου της ασφάλειας των δραστηριοτήτων τους.
Αυτοί οι έλεγχοι εμπίπτουν σε μία από τις δεκατέσσερις ταξινομήσεις:
Α.5—Πολιτικές πληροφοριών και ασφάλειας: οι θεσμοθετημένες πολιτικές και διαδικασίες που ακολουθεί μια εταιρεία.
A.6—Οργάνωση της ασφάλειας πληροφοριών: η ανάθεση ευθύνης εντός του οργανισμού σε σχέση με το πλαίσιο του ISMS και την εφαρμογή του. Περιλαμβάνεται εδώ, παραδόξως, είναι επίσης η πολιτική που διέπει την τηλεργασία και το χρήση συσκευών εντός της εταιρείας.
A.7—Ασφάλεια ανθρώπινων πόρων: αφορά την επιβίβαση, την έξοδο και τους υπαλλήλους που αλλάζουν ρόλους εντός του οργανισμού. Περιγράφονται επίσης τα πρότυπα ελέγχου και οι βέλτιστες πρακτικές στην εκπαίδευση και την κατάρτιση.
A.8—Διαχείριση περιουσιακών στοιχείων: περιλαμβάνει τον χειρισμό των δεδομένων. Τα περιουσιακά στοιχεία πρέπει να απογραφούν, να διατηρηθούν και να διατηρηθούν ιδιωτικά, ακόμη και σε διαμεριστικές γραμμές σε ορισμένες περιπτώσεις. Η κυριότητα κάθε περιουσιακού στοιχείου πρέπει να καθοριστεί με σαφήνεια. Αυτή η ρήτρα συνιστά στις εταιρείες να εκπονήσουν μια "Πολιτική Αποδεκτής Χρήσης" που να αφορά συγκεκριμένα τον επιχειρηματικό τους κλάδο.
A.9—Έλεγχος πρόσβασης: ποιος επιτρέπεται να χειρίζεται τα δεδομένα σας και πώς θα περιορίσετε την πρόσβαση μόνο σε εξουσιοδοτημένους υπαλλήλους; Αυτό μπορεί να περιλαμβάνει τη ρύθμιση άδειας υπό όρους με τεχνική έννοια ή την πρόσβαση σε κλειδωμένα κτίρια στην πανεπιστημιούπολη της εταιρείας σας.
Α.10—Κρυπτογράφηση: ασχολείται κυρίως με την κρυπτογράφηση και άλλους τρόπους προστασίας των δεδομένων κατά τη μεταφορά. Αυτά τα προληπτικά μέτρα πρέπει να αντιμετωπίζονται ενεργά. το ISO αποθαρρύνει τους οργανισμούς να θεωρήσουν ότι η κρυπτογράφηση είναι μια λύση ενός μεγέθους για όλες τις βαθιά αποχρώσεις που σχετίζονται με την ασφάλεια των δεδομένων.
Α.11—Φυσική και περιβαλλοντική ασφάλεια: αξιολογεί τη φυσική ασφάλεια οπουδήποτε βρίσκονται ευαίσθητα δεδομένα, είτε σε κτίριο γραφείων είτε σε μικρό, κλιματιζόμενο δωμάτιο γεμάτο διακομιστές.
Α.12—Ασφάλεια λειτουργιών: ποιοι είναι οι εσωτερικοί σας κανόνες ασφαλείας όσον αφορά τη λειτουργία της εταιρείας σας; Η τεκμηρίωση που εξηγεί αυτές τις διαδικασίες πρέπει να διατηρείται και να αναθεωρείται συχνά για να ικανοποιεί νέες, αναδυόμενες επιχειρηματικές ανάγκες.
Η διαχείριση αλλαγών, η διαχείριση ικανοτήτων και ο διαχωρισμός των διαφόρων τμημάτων εμπίπτουν σε αυτόν τον τίτλο.
Α.13—Διαχείριση ασφάλειας δικτύου: τα δίκτυα που συνδέουν κάθε σύστημα εντός της εταιρείας σας πρέπει να είναι αεροστεγή και προσεκτικά.
Οι λύσεις Catch-all, όπως τα τείχη προστασίας, γίνονται ακόμη πιο αποτελεσματικές όταν συμπληρώνονται με πράγματα όπως συχνά σημεία ελέγχου επαλήθευσης, επίσημες πολιτικές μεταφοράς ή από απαγόρευση της χρήσης δημόσιων δικτύων για παράδειγμα, όταν χειρίζεστε τα δεδομένα της εταιρείας σας
Α.14—Απόκτηση, ανάπτυξη και συντήρηση συστήματος: εάν η εταιρεία σας δεν διαθέτει ήδη ISMS, αυτή η ρήτρα εξηγεί τι φέρνει στο τραπέζι ένα ιδανικό σύστημα. Σας βοηθά να διασφαλίσετε ότι το πεδίο εφαρμογής του ISMS καλύπτει κάθε πτυχή του κύκλου ζωής παραγωγής σας.
Μια εσωτερική πολιτική ασφαλούς ανάπτυξης δίνει στους μηχανικούς σας το πλαίσιο που χρειάζονται για να δημιουργήσουν ένα συμβατό προϊόν από την ημέρα που ξεκινά η εργασία τους.
Α.15—Πολιτική ασφάλειας προμηθευτή: όταν συνεργάζεστε με τρίτους προμηθευτές εκτός της εταιρείας σας, ποιες προφυλάξεις λαμβάνονται για την αποφυγή διαρροών ή παραβίασης των δεδομένων που κοινοποιούνται μαζί τους;
Α.16—Διαχείριση συμβάντων ασφάλειας πληροφοριών: όταν τα πράγματα πάνε στραβά, η εταιρεία σας πιθανότατα παρέχει κάποιο πλαίσιο για το πώς θα πρέπει να αναφερθεί, να αντιμετωπιστεί και να προληφθεί το πρόβλημα στο μέλλον.
Το ISO αναζητά συστήματα αντιποίνων που επιτρέπουν σε πρόσωπα εξουσίας εντός της εταιρείας να ενεργούν γρήγορα και με μεγάλη προκατάληψη μετά την ανίχνευση απειλής.
Α.17—Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρησιακής συνέχειας: σε περίπτωση καταστροφής ή κάποιου άλλου απίθανου συμβάντος που διαταράσσει αμετάκλητα τις λειτουργίες σας, ένα σχέδιο θα πρέπει να είναι σε θέση να διατηρήσει την ευημερία της εταιρείας και των δεδομένων της έως ότου η επιχείρηση ξαναρχίσει κανονικός.
Η ιδέα είναι ότι ένας οργανισμός χρειάζεται κάποιο τρόπο να διατηρήσει τη συνέχεια της ασφάλειας σε καιρούς όπως αυτές.
Α.18—Συμμόρφωση: τέλος, φτάνουμε στο πραγματικό συμβόλαιο συμφωνιών στις οποίες πρέπει να εγγραφεί μια εταιρεία προκειμένου να πληροί τις απαιτήσεις για πιστοποίηση ISO 27001. Οι υποχρεώσεις σας καθορίζονται ενώπιόν σας. Το μόνο που μένει να κάνετε είναι να συνδεθείτε στη διακεκομμένη γραμμή.
Το ISO δεν απαιτεί πλέον οι συμμορφούμενες εταιρείες να χρησιμοποιούν μόνο ελέγχους που ταιριάζουν στις κατηγορίες που αναφέρονται παραπάνω. Η λίστα είναι ένα εξαιρετικό μέρος για να ξεκινήσετε εάν μόλις αρχίσετε να θέτετε τα θεμέλια του ISMS της εταιρείας σας, ωστόσο.
Σχετιζομαι με: Πώς να βελτιώσετε την προσοχή σας με καλές πρακτικές ασφάλειας
Πρέπει να ελεγχθεί η εταιρεία μου;
Αυτο εξαρταται. Εάν είστε μια πολύ μικρή επιχείρηση που εργάζεστε σε ένα πεδίο που δεν είναι ευαίσθητο ή υψηλού κινδύνου, πιθανότατα μπορείτε να καθυστερήσετε έως ότου τα σχέδιά σας για το μέλλον είναι πιο σίγουρα.
Αργότερα, καθώς η ομάδα σας μεγαλώνει, μπορείτε να βρεθείτε σε μία από τις ακόλουθες κατηγορίες:
- Μπορεί να συνεργάζεστε με έναν σημαντικό πελάτη που ζητά να αξιολογηθεί η εταιρεία σας προκειμένου να διασφαλιστεί ότι θα είναι ασφαλής μαζί σας.
- Ίσως θέλετε να πραγματοποιήσετε μετάβαση σε IPO στο μέλλον.
- Έχετε ήδη πέσει θύμα παραβίασης και πρέπει να ξανασκεφτείτε τον τρόπο με τον οποίο διαχειρίζεστε και προστατεύετε τα δεδομένα της εταιρείας σας.
Η πρόβλεψη για το μέλλον μπορεί να μην είναι πάντα εύκολη. Ακόμα κι αν δεν βλέπετε τον εαυτό σας σε κανένα από τα παραπάνω σενάρια, δεν είναι κακό να είστε προληπτικοί και να αρχίσετε να ενσωματώνετε ορισμένες από τις προτεινόμενες πρακτικές του ISO στο καθεστώς σας.
Η δύναμη είναι στα χέρια σας
Η προετοιμασία του ISMS για έλεγχο είναι τόσο απλή όσο η δέουσα επιμέλεια, ακόμη και όσο εργάζεστε σήμερα. Η τεκμηρίωση πρέπει πάντα να διατηρείται και να αρχειοθετείται, δίνοντάς σας τα αποδεικτικά στοιχεία ότι θα πρέπει να δημιουργήσετε αντίγραφα ασφαλείας των αξιώσεών σας.
Είναι ακριβώς όπως στο γυμνάσιο: κάνετε την εργασία και παίρνετε το βαθμό. Οι πελάτες είναι ασφαλείς και υγιείς και το αφεντικό σας είναι πολύ ευχαριστημένο μαζί σας. Αυτές είναι απλές συνήθειες για μάθηση και διατήρηση. Θα ευχαριστήσετε τον εαυτό σας αργότερα όταν ο άντρας με ένα πρόχειρο έρχεται τελικά να καλεί.
Εδώ είναι οι διαδικτυακές επιθέσεις που πρέπει να παρακολουθείτε το 2021 και πώς μπορείτε να αποφύγετε να πέσετε θύμα σε αυτές.
Διαβάστε Επόμενο
- Ασφάλεια
- Ασφάλεια του υπολογιστή
- Ασφάλεια δεδομένων
Η Emma Garofalo είναι συγγραφέας που εδρεύει στο Πίτσμπουργκ της Πενσυλβανίας. Όταν δεν δουλεύει μακριά στο γραφείο της και θέλει καλύτερο αύριο, συνήθως βρίσκεται πίσω από την κάμερα ή στην κουζίνα.
Εγγραφείτε στο Newsletter μας
Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Ένα ακόμη βήμα…!
Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.
