W tej części badania przeanalizowano dane z 2018 r., pochodzące z audytów systemów zarządzania bezpieczeństwem informacji przeprowadzonych przez DNV według normy ISO/IEC 27001 w certyfikowanych przedsiębiorstwach. Z analizy ilościowej i jakościowej tych danych wyłania się całościowy obraz funkcjonowania systemów zarządzania.
The aim is to provide targeted insight to what process areas, sub-processes or activities cause the most issues in organizations seeking to achieve and/or maintain certification to an information security management system standard. The results came from analyzing audits conducted worldwide by DNV on more than 1,700 companies certified to ISO/IEC 27001.ISO/IEC 27001
Klasyfikacja wyników
Obliczenia statystyczne opierają się na ustaleniach audytów. Na potrzeby niniejszego badania wprowadzono podział na ustalenia „poważne” i „drugorzędne”. Do poważnych ustaleń zalicza się niezgodności duże i małe. Za ustalenia drugorzędne uznano spostrzeżenia oraz możliwości wprowadzenia udoskonaleń.
Wyniki
W 78% firm poddanych audytowi według ISO/IEC 27001 wystąpiło co najmniej jedno ustalenie (dowolnej kategorii), a w 40% pojawiło się co najmniej jedno ustalenie poważne, tj. niezgodność duża (Kat. 1) lub mała (Kat. 2). W blisko 40% firm odnotowano ustalenia mieszczące się w zakresie rozdziału A.12, zawierającego wymagania dotyczące zarządzania systemem informatycznym, a także po części wymagania dotyczące sieci informatycznych.
Wymagania w pigułce
W stosunku do trzech najczęściej występujących ustaleń dotyczących poważnych błędów (z wyłączeniem 9.2 i 9.3, które pojawiają się we wszystkich systemach zarządzania, a tym samym są w tym przypadku mniej istotne) przeprowadzono pogłębioną analizę jakościową, mającą na celu klasyfikację źródłowych przyczyn nieprawidłowości oraz działań korygujących wprowadzonych przez przedsiębiorstwa w celu rozwiązania problemu i zapobiegnięcia jego ponownemu wystąpieniu.
ISO/IEC 27001
W przypadku firm certyfikowanych według normy ISO/IEC 27001 w szczególności istotne są następujące kwestie:6.1.2 Ocena ryzyka dotyczącego bezpieczeństwa informacji
Organizacja powinna zdefiniować i realizować proces oceny ryzyka dotyczącego bezpieczeństwa informacji. Powinien on obejmować ustalenie podejścia do zarządzania ryzykiem dotyczącym bezpieczeństwem informacji, kryteriów akceptacji ryzyka w tym obszarze, a także identyfikację, analizę oraz ocenę ryzyk. Obowiązujących wymagań nie spełnia 27% firm, zazwyczaj z dwóch powodów: pierwszym z nich jest to, że przyjęte podejście nie zapewnia spójności i aktualności wyników, np. brak skali oceny wartości prawdopodobieństwa i następstwa zagrożeń, drugim natomiast jest brak identyfikacji wszystkich istotnych zagrożeń (zwykle organizacje koncentrują się na ryzyku informatycznym oraz na zagrożeniach zewnętrznych). Działania korygujące polegają zazwyczaj na przeglądach oceny ryzyka oraz przeglądach ryzyk.
6.1.3 Postępowanie wobec ryzyka dotyczącego bezpieczeństwa informacji
Organizacja powinna sporządzić plan ograniczania ryzyka oraz sformułować deklarację stosowania uwzględniającą środki nadzoru ujęte w Aneksie A normy. Tu zwykle pojawiają się następujące ustalenia: plan ograniczania ryzyka nie zawiera terminów realizacji działań i nie wskazuje odpowiedzialności w tym zakresie, natomiast ewentualne wyłączenia środków nadzoru określonych w Aneksie A normy nie są odpowiednio uzasadnione (na przykład, organizacje często wyłączają stosowanie środka A.12.1.1, gdyż uważają, że ma on zastosowanie tylko w odniesieniu do projektowania oprogramowania, a nie do jego pozyskiwania). Działania korygujące wymagają lepszego planowania działań ograniczających ryzyko lub spójnego uzasadniania akceptacji zagrożeń, bądź lepszego rozumienia istoty środków nadzoru określonych w Aneksie A normy, gdyż czasem są one wdrażanie, jednakże organizacje, z uwagi na brak zrozumienia, uważają że nie mają one zastosowania.
A.9.2.5 Przegląd praw dostępu użytkowników
Organizacja powinna w regularnych odstępach czasu przeprowadzać przeglądy praw dostępu użytkowników. Wymagania tego nie spełnia 3% audytowanych organizacji – przeglądy nie są prowadzone, bądź mają tylko częściowy charakter. Przyczyna leży zazwyczaj w braku świadomości ze strony właścicieli poszczególnych systemów oraz w złożoności tego zadania – a to z uwagi na złożoność współczesnych systemów informatycznych oraz wielość uprawnień przyznawanych użytkownikom. Działania korygujące wymagają zwykle prawidłowego planowania i przeprowadzania przeglądów. W niektórych przypadkach firmy inicjują projekt polegający na wymianie oprogramowania i przechodzeniu na zautomatyzowane generowanie raportów uprawnień lub zautomatyzowaną analizę ustawionych w systemie uprawnień oraz ról wskazanych w oprogramowaniu wykorzystywanym w obszarze HR.
A.8.1.1 Inwentaryzacja aktywów
Posiadane aktywa należy identyfikować i inwentaryzować. 3% audytowanych organizacji nie spełnia tego wymagania, nie umieszczając w spisie inwentarza wszystkich posiadanych aktywów. Zwykle jest to spowodowane ilością i złożonością aktywów oraz stosowaniem niewłaściwych narzędzi inwentaryzacji (np. spis prowadzony w arkuszu kalkulacyjnym lub dokumencie), bądź błędną definicją pojęcia „aktywa” (w efekcie powstaje spis inwentarza zawierający zbyt wiele mało istotnych elementów, takich jak myszki czy klawiatury, albo spis nie dość szczegółowy w stosunku do potrzeb danej organizacji). Działania korygujące ograniczają się zwykle do korekty spisu inwentarza, powinny jednakże prowadzić do przeglądu narzędzi inwentaryzacji aktywów (ponadto, powinny uwzględniać stosowanie narzędzia wykrywania w systemach informatycznych oraz prawidłowego wyznaczania odpowiednich funkcji w organizacji) oraz rodzaju aktywów, jakie należy inwentaryzować w celu zapewnienia właściwego zarządzania nimi.