Ataki z pierwszych stron gazet prawie zawsze dotyczą korporacyjnych gigantów, departamentów rządowych lub dużych organizacji usługowych, ale żadna organizacja, niezależnie od tego, jak mała, nie może uważać się za bezpieczną w obliczu działań, które są skutecznie zorganizowanymi operacjami przestępczymi.
Jeszcze przed pandemią cyfryzacja i łączność stawały się coraz ważniejsze dla nowoczesnych organizacji. Umożliwienie pracownikom łączenia się z sieciami z niemal każdego miejsca na świecie pozwoliło utrzymać, a nawet zwiększyć wydajność i obniżyć koszty.
Zwiększona cyfryzacja iwzajemne połączenia niosą ze sobą zagrożenia, które w wielu organizacjach są słabo rozumiane. Wirusy komputerowe, worms i trojany krążą po Internecie niemal od początku jego istnienia. Często postrzegane są po prostu jako irytujące rozproszacze uwagi, którym musi zająć się dział IT. Zakres możliwych zakłóceń w działalności i strat finansowych dopiero zaczyna być uświadmiany.
Prawdopodobnie największym zagrożeniem jest obecnie oprogramowanie ransomware, za pomocą którego organizacje i właściciele zainfekowanych sieci są szantażowani w celu przekazania dużych sum pieniędzy, aby odzyskać kontrolę nad swoimi systemami. Według raportu amerykańskiego specjalisty od cyberbezpieczeństwa, firmy SonicWall, w 2021 roku miało miejsce około 623 milionów ataków ransomware. Przy tak wysokim ryzyku niezwykle istotne jest, aby firmy podjęły kroki w celu zrozumienia swojego kontekstu biznesowego i ochrony.
Łatwo powiedzieć, ale od czego zacząć?
Ogólnie przyjmuje się, że zarządzanie informacjami, danymi i cyberbezpieczeństwem nie różni się tak bardzo od zarządzania każdą inną formą ryzyka biznesowego. Czyli ustanowienie procedur i przeszkolenie pracowników w celu zrozumienia, w jaki sposób powstają zagrożenia i jaki jest najlepszy sposób zapobiegania im lub przynajmniej zarządzania nimi, tak aby zminimalizować zakłócenia. Pierwszym krokiem na drodze do tego celu jest przyjrzenie się, w jaki sposób certyfikowany system zarządzania bezpieczeństwem informacji (ISMS) pomaga firmom zrozumieć obraz ryzyka, zarządzać nim i poprawiać wyniki.
ISO/IEC 27001 to najbardziej uznana międzynarodowa norma dotycząca systemów zarządzania bezpieczeństwem informacji. Zawiera ona szczegółowe wymagania dotyczące ustanawiania, wdrażania, utrzymywania, monitorowania i doskonalenia ISMS. Jest to certyfikowana norma z serii ISO/IEC 27000. Pozostałe normy zawierają wytyczne, jak np. Załącznik A ISO/IEC 27002, który mieści wymagania dotyczące kontroli bezpieczeństwa w zakresie zagrożeń związanych z chmurą i automatyzacją, złośliwym oprogramowaniem i ransomware, cyberbezpieczeństwem i prywatnością.
Dzięki temu idealnie nadaje się do zarządzania ciągle zmieniającym się obrazem ryzyka w sposób ustrukturyzowany. Podobnie jak w przypadku wszystkich norm systemów zarządzania ISO, nie jest to jednorazowe ćwiczenie typu "dopasuj i zapomnij". Norma podlega rewizji, aby zapewnić, że oferowana przez nią ochrona jest tak dynamiczna, jak próby wymyślania przez przestępców nowych środków do osiągnięcia swoich celów. Wersja z 2022 roku ma lepiej uwzględniać aktualne scenariusze technologiczne i być zharmonizowana z innymi głównymi normami ISO dotyczącymi systemów zarządzania, np. jakością, środowiskiem oraz bezpieczeństwem i higieną pracy.
Korzyści z certyfikacji przez stronę trzecią
Jak już wspomniano ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia zarządzania bezpieczeństwem informacji. Jednak nawet w przypadku ścisłego przestrzegania i pomyślnego wdrożenia, jak można mieć całkowitą pewność, że wszystko jest zgodne z normą i przedstawić swoje wyniki klientom i innym interesariuszom?
W nowoczesnym świecie biznesu niezależne dowody wydajności są ważne dla budowania zaufania wobec wewnętrznych i zewnętrznych interesariuszy. Muszą oni wiedzieć, że nie tylko traktujesz sprawy poważnie, ale że jesteś zaangażowany i wdrożyłeś niezbędne kroki w celu zarządzania odpowiednim ryzykiem, poprawy wydajności i ochrony swojej firmy. W niektórych przypadkach możliwość przedstawienia dowodów jest istotna dla dalszego przetrwania.
Znaczenie bezpieczeństwa informacji szybko rośnie nie tylko ze względu na wewnętrzne zaufanie. Coraz więcej organizacji wymaga od swoich partnerów podjęcia kroków w celu zarządzania ryzykiem związanym z bezpieczeństwem informacji, danych i cyberbezpieczeństwem. Dlatego certyfikacja przez stronę trzecią staje się niezbędnym krokiem.
Norma ISO/IEC 27001 może być dla niektórych nieznana, ale nie ma powodu, aby wątpić, że jej przyjęcie i uzyskanie certyfikatu poprawi wydajność. Liczne badania wskazują, że w przypadku różnych standardów systemów zarządzania, te, które podlegają certyfikacji, osiągają znacznie więcej.
Głównym zadaniem jednostek certyfikujących jest ocena, czy system zarządzania spełnia wymagania normy ISO/IEC 27001. Jednak jednostki na co dzień widzą wiele działających systemów i podczas regularnych audytów identyfikują wszelkiego rodzaju problemy i najlepsze sposoby radzenia sobie z nimi. Nie mogąc kierować usprawnieniami, aby uniknięcia konfliktu interesów, kompetencje i doświadczenie audytora mogą wnieść cenny wgląd w największe ryzyka i działania stosowane przez innych w celu usunięcia luk.
