Bezpieczeństwo informacji w biznesie: od prostego do złożonego.

Bezpieczeństwo informacji to zestaw środków służących do kompleksowej ochrony informacji i infrastruktury, które umożliwiają zabezpieczenie i ochronę informacji w celu zachowania poufności, dostępności i integralności danych. Zadania związane z bezpieczeństwem informacji sprowadzają się do minimalizowania szkód, a także przewidywania zagrożeń i skutków oraz zapobiegania im.

Najnowsze osiągnięcia technologiczne stały się niezbędnym narzędziem dla wszystkich organizacji. Zarówno procesy wykorzystywane obecnie przez firmy, jak i informacje, którymi się posługują, przeniosły się z nośnika fizycznego na nośnik elektroniczny, innymi słowy, z formatu papierowego na cyfrowy. Transformacja ta oznaczała łatwiejszą dostępność, wykorzystanie i obsługę tych informacji, które można przeglądać lub przetwarzać z dowolnego urządzenia cyfrowego (telefonu komórkowego, tabletu, laptopa itp.) za pośrednictwem Internetu. W tym kontekście bezpieczeństwo informacji i ochrona danych stanowią aktualny problem nie tylko dla międzynarodowych korporacji czy firm z indeksu IBEX35, ale także dla MŚP. 

Niniejszy artykuł ma na celu przeanalizowanie, dlaczego ważna jest ochrona naszych danych przed hakerami oraz przedstawienie podstawowych zasad budowania systemu bezpieczeństwa informacji, który pokaże interesariuszom, że moja firma dobrze chroni "dane".

Dlaczego jest to tak ważne?

Informacja jest istotną częścią normalnego rozwoju firmy.

Powinna być uważana za największy niematerialny zasób firmy, o ogromnej wartości dla organizacji. 

Wiadomości o naruszeniach bezpieczeństwa, masowych atakach na firmy, kradzieży danych i innych cyberprzestępstwach są regularnie zgłaszane na całym świecie. Żyjemy w cyfrowym świecie, w którym codziennie wysyłamy i odbieramy wszelkiego rodzaju dane, online sprawdzamy wyciągi z kont, przeglądamy faktury, składamy zamówienia, kupujemy i sprzedajemy za pośrednictwem stron internetowych, oglądamy filmy, seriale itp. A jednak do dziś wydaje nam się, że celem cyberataków są duże firmy, banki, administracja publiczna, strony rządowe itp. Niestety tak nie jest. Statystyki mówią nam, że co sekundę gdzieś na świecie dochodzi do cyberataku, dlaczego więc przyjmujemy za pewnik, że "mojej firmie się to nie przydarzy"?

Postęp technologiczny pomógł ułatwić, a nawet uprościć wiele elementów naszego codziennego życia. Ułatwił i uprościł niektóre aspekty naszej działalności. Niestety, przyniósł ze sobą również wyzwania, które nadal budzą obawy menedżerów na wszystkich szczeblach. 

W świecie sieci i komunikacji istnieje wiele niewidocznych zagrożeń, takich jak cyberataki, sabotaż, usuwanie i modyfikowanie danych i poufnych informacji itp. Kazuistyka ta dotyczy nie tylko dużych firm czy organizacji z rozbudowaną infrastrukturą.  W dzisiejszych czasach ani duże firmy, ani rządy, ani małe firmy czy osoby prywatne nie są zwolnione z tego obowiązku. Wszyscy jesteśmy narażeni na ewentualny atak komputerowy.

Cały ten kontekst sprawia, że konieczne jest posiadanie ISMS (Systemu Zarządzania Bezpieczeństwem Informacji) w naszych firmach, opartego na międzynarodowych standardach certyfikacji, który pomoże nam jako przewodnik do prawidłowego i optymalnego zarządzania ryzykiem IT.

ISMS opiera się na trzech podstawowych filarach informacji:

  • Poufność: polega na uniemożliwieniu dostępu do informacji nieupoważnionym osobom, podmiotom lub procesom,
  • Integralność: tj. zachowanie dokładności informacji,
  • Dostępność: możliwość dostępu do informacji i systemów ich przetwarzania tylko i wyłącznie przez upoważnionych użytkowników, gdy jest to wymagane.

Zerowe ryzyko nie istnieje, dlatego żadna organizacja nie może zagwarantować absolutnego poziomu ochrony. Jednak dzięki systemowi zarządzania bezpieczeństwem informacji można zapewnić, że ryzyko związane z bezpieczeństwem informacji jest znane, akceptowane, zarządzane i minimalizowane.

Podczas wdrażania systemu zarządzania należy podkreślić znaczenie następujących aspektów:

  • Codzienne zagrożenia: nikt nie jest odporny na zmasowane ataki na strony internetowe, wiadomości e-mail od spamerów i dystrybutorów złośliwego oprogramowania, phishing i wirusy. Regularnie pojawiają się nowe rodzaje ataków i oszustw. Oznacza to, że zawsze powinniśmy pamiętać o prostych środkach zapobiegawczych, takich jak antywirus i aktualizacje oprogramowania,
  • Nowa" cyfrowa rzeczywistość: Pandemia przyniosła wielu firmom nowe modele pracy, takie jak "praca zdalna lub telepraca". Termin ten definiuje się jako pracę wykonywaną z lokalizacji innej niż główne biuro lub obiekt, w którym pracownik jest zatrudniony. Dla wielu firm określenie i wdrożenie tego "nowego miejsca pracy" było wyzwaniem. Nie wszystkie firmy miały zasoby, aby zapewnić bezpieczne połączenia, zakupić nowe oprogramowanie lub zapewnić pracownikom bezpieczny sprzęt. Wiele firm zdecydowało się jednak na przejście z "klasycznego" modelu na model hybrydowy, w którym pracownicy mogą pracować w domu lub w biurze, w tym w otwartych i współdzielonych przestrzeniach,
  • Wymogi prawne: Jednym z wymogów prawnych jest ochrona danych osobowych. Nieco ponad cztery lata temu Unia Europejska (UE) zaktualizowała swoje przepisy dotyczące ochrony danych, wprowadzając ogólne rozporządzenie o ochronie danych (RODO). Jest ono obowiązkowe i ma ogólne zastosowanie do wszystkich rodzajów podmiotów, od organów publicznych i administracji po małe i średnie przedsiębiorstwa, niezależnie od tego, czy przetwarzanie danych odbywa się w UE, czy poza nią, o ile dotyczy obywateli europejskich,
  • Czynnik ludzki: zawsze byli, są i prawdopodobnie będą ludzie, którzy nie traktują poważnie wymogów bezpieczeństwa. Zagrożenia dla prywatności wynikają głównie z ignorowania zasad, lekceważenia porad, zapominalstwa, a nawet roztargnienia pracowników. Prosty błąd użytkownika może doprowadzić do katastrofy informatycznej w całej firmie.

Oczywiste jest, że każda firma potrzebuje minimum ochrony bezpieczeństwa informacji. Jednak nie każdy jest skłonny zainwestować pieniądze i czas w stworzenie systemu zarządzania bezpieczeństwem informacji. Paradoksalnie, z drugiej strony są firmy, które posiadają niezbędne zasoby, ale nie zarządzają nimi we właściwy sposób. Oba przypadki są czasem wynikiem różnych mitów na temat systemów bezpieczeństwa informacji, które dziś, w tym artykule, chcielibyśmy obalić.

Powszechne błędne przekonania:

  • Wysoka cena: systemy bezpieczeństwa dla dużych firm są zwykle opracowywane indywidualnie i są wspierane przez kilku ekspertów. Jednak każda firma potrzebuje tego typu ochrony. Istnieje możliwość znacznie bardziej przystępnych cenowo i ekonomicznych metod,
  • Pełne bezpieczeństwo. Jednym z najczęstszych błędów jest przekonanie, że podłączenie oprogramowania i narzędzi monitorujących jest wystarczające do ochrony naszej firmy. Niestety tak nie jest, ponieważ każdy system będzie wymagał konserwacji i aktualizacji. "Skonfiguruj" i "zrelaksuj się" nie działają w bezpieczeństwie informacji,
  • To tylko oprogramowanie i maszyny. Nie, bezpieczeństwo informacji zależy bezpośrednio od użytkowników, tj. osób, które mają do czynienia z informacjami. Zarówno stażysta, jak i starszy pracownik mogą przypadkowo pobrać złośliwe oprogramowanie na służbowego laptopa, ujawnić poufne informacje w sieciach społecznościowych, zapomnieć o zmianie hasła itp. Dlatego konieczne jest poinformowanie i przeszkolenie wszystkich osób, które są podłączone do danych firmowych i obsługują je, w zakresie zasad bezpieczeństwa informacji, a także regularne sprawdzanie zgodności z tymi zasadami i zapewnianie dobrych praktyk,
  • To bardzo trudne. To prawda, ochrona informacji nie jest łatwym zadaniem. Jednak dla "zwykłego" pracownika, dla zwykłego użytkownika, nie jest tak trudno kontrolować pocztę elektroniczną, nie pobierać niczego "nieznanego", zmieniać hasła na czas (jeśli system nie ostrzega) itp. Resztą zajmie się kompetentny specjalista.

Istnieje wiele innych popularnych błędnych przekonań, na przykład, że koszt bezpieczeństwa informacji nie rekompensuje efektu końcowego lub że eksperci ds. cyberbezpieczeństwa i audytorzy są zbyt wymagający. Gdybyśmy porównali na przykład koszty wynikające z wyłączenia maszyn w fabryce w wyniku złośliwego oprogramowania lub kradzieży tajnych informacji z komputera, koszty z pewnością nie wydawałyby się tak wysokie. Ponadto należy pamiętać, że każda firma jest wyjątkowa, a zatem system zarządzania bezpieczeństwem informacji może być dostosowany do potrzeb danej firmy bez ponoszenia wygórowanych kosztów.

System informatyczny.

Kiedy mówimy o systemach informatycznych, musimy pamiętać, że w każdym systemie komputerowym występują cztery główne elementy, na których musimy skupić naszą uwagę: 

  1. Dane: wszelkie informacje, które mogą być odczytywane, interpretowane i udostępniane wewnątrz lub na zewnątrz firmy,
  2. Pracownicy: użytkownicy, którzy obsługują te dane i informacje,
  3. Oprogramowanie: za pomocą jakich narzędzi informatycznych dane te są obsługiwane wewnętrznie (systemy operacyjne, aplikacje, bazy danych itp.),
  4. Sprzęt: za pomocą którego lub na którym systemie dane są przetwarzane lub przechowywane (laptop, serwer, telefon komórkowy itp.).

Zasady tworzenia systemów bezpieczeństwa.

Jak wspomniano powyżej, nie wszystkie firmy mogą sobie pozwolić na złożone i kosztowne systemy zarządzania. Istnieją jednak ogólne zasady, których przestrzeganie pozwoli osiągnąć optymalny poziom ochrony informacji:

  • Znaczenie danych dla biznesu. Pierwszym krokiem jest analiza wszystkich procesów biznesowych, zagrożeń i znaczenia niektórych istotnych danych. Wszystko to jest niezbędne do prawidłowego doboru środków ochrony. Przykładem może być firma, w której wszyscy pracownicy muszą mieć dostęp do CRM. Oznacza to, że konieczne jest zapewnienie precyzyjnego poziomu ochrony dla każdego użytkownika, niezależnie od rodzaju połączenia (na miejscu w biurze, zdalnie w domu klienta itp.).
  • Zgodność z prawem. Drugim krokiem jest identyfikacja, klasyfikacja i wybór przepisów, które mają zastosowanie do firmy. Należy pamiętać, że istnieją różne wymogi prawne, które muszą być przestrzegane na poziomie lokalnym i stanowym (ustawa 34/2002, ustawa 24/2015, RODO itp.). Oczywiste jest, że jeśli będziesz przestrzegać wymogów i wytycznych określonych przez prawo, Twoi klienci, współpracownicy i inne zainteresowane strony będą mieli większe zaufanie do Twojej firmy. 
  • Prostota. W procesie wdrażania systemu zarządzania kluczowe znaczenie ma maksymalne uproszczenie. Pośrednio przyczynia się to do dokładniejszej pracy, większej wygody obsługi i spokoju pracowników. Niezbędna jest równowaga między prostotą a niezawodnością.

Wszystko to może wydawać się trudne, kosztowne, czasochłonne i poza zasięgiem małej firmy, ale tak nie jest. 

System informatyczny każdej firmy, aby mógł być uznany za bezpieczny, musi być kompletny i poufny (dostępny tylko dla upoważnionych osób), niepodważalny (nie można zaprzeczyć podjętym działaniom) i mieć dobrą dostępność (stabilny i dostępny w czasie). Niektóre ze środków zalecanych przez specjalistów w celu zapobiegania cyberatakom to:

  1. Ochrona sprzętu: serwerów, laptopów, telefonów komórkowych.
    Dotyczy to nie tylko ochrony fizycznej, ale także logicznej. Każdy zasób IT musi być w pełni zaktualizowany. Klasyczne "domyślne" aktualizacje systemu mogą być irytujące, ale są niezbędne, ponieważ usuwają luki w zabezpieczeniach. Oprócz zwykłych aktualizacji, każdy zasób komputerowy musi mieć zainstalowany program antywirusowy lub anty-malware, który z kolei musi być aktualizowany.
  2. Silne hasła: do kont i aplikacji.
    Nigdy nie używaj "prostych" haseł zawierających imię twojego dziecka lub partnera (alexey1234), porę roku (spring2022) lub haseł zawierających tylko cyfry (123456) lub litery (asdfg).  Zdecydowanie zaleca się posiadanie różnych haseł do różnych aplikacji lub kont, nawet w ramach jednej firmy. Oczywiście nie należy używać tych samych osobistych haseł do kont służbowych.  I zawsze łącz cyfry, wielkie i małe litery oraz symbole. Dzięki temu są one znacznie trudniejsze do złamania.
  3. Phishing: sprawdzanie autentyczności linków i profili.
    Phishing to obecnie jedna z najłatwiejszych form cyberataku, w której ludzie próbują uzyskać poufne informacje w nieuczciwy sposób, zwykle za pośrednictwem poczty elektronicznej. Obecnie istnieją miliony fałszywych profili w sieciach społecznościowych, które są tworzone w celu przechwytywania danych osobowych i poufnych informacji. Aby uniknąć ataku, istnieją dwie linie obrony. Pierwsza jest "techniczna" i większość firm już ją posiada. Jest to specjalne oprogramowanie do wykrywania i eliminowania fałszywych wiadomości e-mail. Druga linia to sam użytkownik, jego wiedza i zachowanie w obliczu nieznanej wiadomości e-mail. 
  4. Nielegalne treści: pirackie oprogramowanie.
    Aby zaoszczędzić na kosztach, czasami próbujemy pobrać i zainstalować pirackie oprogramowanie. Istnieje wiele stron internetowych, które oferują możliwość pobrania oprogramowania "za darmo". Te "gratisy" są idealnym źródłem do zainstalowania złośliwego oprogramowania w systemie i ułatwienia ataku. Pamiętaj, że nawet jeśli pobieranie jest legalne, konieczne jest sprawdzenie, czy strona nie jest podejrzana.
  5. Backup: kopie zapasowe.
    Kopia zapasowa to kopia danych, plików lub poufnych informacji, która jest wykonywana okresowo. Tworzenie kopii zapasowych jest niezbędne dla każdego rodzaju działalności. Jeśli padniemy ofiarą jakiegoś ataku (utrata lub modyfikacja), dzięki kopii zapasowej zawsze będziemy w stanie odzyskać informacje. Istnieją narzędzia do automatycznego tworzenia kopii zapasowych, które ułatwiają to zadanie automatycznie, pozwalając nam zapomnieć o tworzeniu kopii zapasowej, choć oczywiście nie zwalnia nas to z konieczności przetestowania i przywrócenia niektórych plików, aby sprawdzić, czy proces kopiowania działa poprawnie.
  6. Unikanie podawania danych osobowych.
    Istnieje już wiele firm, w których zabronione jest wykorzystywanie danych firmowych, takich jak adres e-mail, do rejestracji w sieciach społecznościowych lub na stronach niezwiązanych z działalnością firmy. Nie zaleca się podawania danych osobowych w sieciach społecznościowych, tylko wtedy, gdy jest to niezbędne, zawsze unikając podawania pełnych danych osobowych (imię i nazwisko, data urodzenia, adres e-mail, numer telefonu komórkowego itp.) 
  7. Zgłaszanie: komunikacja z władzami.
    Za każdym razem, gdy natkniesz się na nieodpowiednie treści lub stronę, która może stanowić zagrożenie dla użytkownika, najlepiej zgłosić to właściwym organom, które są odpowiedzialne za tego typu proces. W przeciwnym razie pozwalasz im nadal stanowić zagrożenie dla użytkowników systemu cybernetycznego.
  8. Kultura bezpieczeństwa informacji.
    Niezależnie od rodzaju firmy, działalności, wielkości projektu, a nawet budżetu, należy pamiętać, że bezpieczeństwo informacji zależy od każdego pracownika. Wszystkie powyższe to podstawowe środki ochrony danych. Z mojego punktu widzenia najważniejsze jest stworzenie wewnętrznej kultury bezpieczeństwa informacji poprzez szkolenie i informowanie wszystkich użytkowników, którzy mają dostęp do wewnętrznych systemów firmy.

Wczesne etapy wdrożenia

Udowodniono, że wszystkie firmy odnoszą znaczne korzyści z wdrożenia SZBI, osiągnięcia zgodności z normą ISO 27001 i zapewnienia bezpieczeństwa informacji.

Jeśli chodzi o wdrażanie ISMS, być może najczęstszym pytaniem jest "od czego zacząć". Cóż, wszystko zaczyna się od kompleksowej analizy luk lub pentestu. Tego typu audyty pomagają nam zidentyfikować luki w zabezpieczeniach lub luki w naszym systemie oraz zrozumieć, jak procesy organizacji działają pod względem bezpieczeństwa informacji. Analiza pokaże różnicę między obecną a pożądaną wydajnością. Następnym krokiem jest przeprowadzenie analizy wpływu. Ten krok ma na celu zapewnienie podstawy do identyfikacji krytycznych procesów biznesowych oraz oceny ich wpływu i priorytetu. Dzięki wynikom analizy luk i wpływu biznesowego możliwe jest ustalenie podstawowych i niezbędnych elementów do wdrożenia SZBI (np. ISO/IEC 27001). Analiza ta pomaga również ustalić zasoby finansowe potrzebne do wdrożenia SZBI.

Jak DNV może pomóc w tym procesie?

Po wdrożeniu systemu zarządzania należy wykazać wewnętrznie i zewnętrznie, że firma wdrożyła/zintegrowała system. W tym celu dostępnych jest kilka narzędzi, takich jak certyfikacja różnych norm międzynarodowych, na przykład ISO27001.

Zarządzanie bezpieczeństwem informacji to cykliczny proces, który obejmuje

  • Uświadomienie stopnia potrzeby ochrony informacji i proces wyznaczania celów,
  • Gromadzenie danych i analizę stanu bezpieczeństwa informacji w organizacji (przeszłość, teraźniejszość, przyszłość),
  • Ocenę ryzyka informacyjnego,
  • Planowanie środków przeciwdziałania ryzyku,
  • Wdrożenie odpowiednich mechanizmów kontroli, podział ról i obowiązków, szkolenie i motywowanie pracowników,
  • Prace operacyjne mające na celu wdrożenie środków ochrony,
  • Monitorowanie funkcjonowania mechanizmów kontroli,
  • Ocena ich skuteczności i odpowiednie działania naprawcze.

Zgodnie z normą ISO 27001, system zarządzania bezpieczeństwem informacji (ISMS) jest "częścią ogólnego systemu zarządzania organizacji, opartego na ocenie ryzyka biznesowego, który generuje, wdraża, obsługuje, przegląda, utrzymuje i poprawia bezpieczeństwo informacji". System zarządzania obejmuje strukturę organizacyjną, politykę, planowanie, obowiązki zawodowe, praktyki, procedury, procesy i zasoby.

Tworzenie i wdrażanie ISMS wymaga takiego samego podejścia, jak każdy inny system zarządzania i kontroli (ISO9001, ISO27701 itp.). Model procesu stosowany w ISO 27001 do opisania ISMS zapewnia ciągły cykl tych działań: planuj, wykonuj, sprawdzaj, działaj (PDCA).

Normę ISO27001 można wdrożyć w dowolnej organizacji publicznej lub firmie prywatnej (małej lub dużej). Metodologia PDCA jest na tyle elastyczna, że może zostać przyjęta przez dowolną wielkość lub sektor działalności.

Proces ciągłego doskonalenia zwykle wymaga początkowej inwestycji: dokumentacji działań, formalizacji podejścia do zarządzania ryzykiem, zdefiniowania metod analizy i alokacji zasobów. Kroki te służą do uruchomienia "cyklu". Nie muszą one zostać zakończone przed uruchomieniem etapów przeglądu.

Pierwszy etap planowania zapewnia prawidłowe ustalenie kontekstu i zakresu SZBI, ocenę ryzyka związanego z bezpieczeństwem informacji oraz zaproponowanie odpowiedniego planu zarządzania tym ryzykiem. Z kolei etap wykonania wdraża decyzje zidentyfikowane na etapie planowania. Etapy przeglądu i działania wzmacniają, korygują i ulepszają rozwiązania bezpieczeństwa, które zostały już zidentyfikowane i wdrożone.

Weryfikacje techniczne lub inspekcje mogą być przeprowadzane w dowolnym czasie i z dowolną częstotliwością, w zależności od firmy i konkretnej sytuacji. W przypadku niektórych systemów muszą być one zintegrowane ze zautomatyzowanymi procesami, aby zapewnić natychmiastowe wykonanie i reakcję. W przypadku innych procesów reakcja jest wymagana tylko w przypadku incydentów bezpieczeństwa, gdy wprowadzono zmiany w zasobach, a także gdy wystąpiły zmiany w zagrożeniach i podatnościach. Coroczne lub okresowe przeglądy lub audyty są wymagane w celu zapewnienia, że system zarządzania jako całość osiąga swoje cele.

Po wydaniu ponad 100 000 certyfikatów na całym świecie, staramy się zapewnić najwyższą jakość i uczciwość, jednocześnie rozwijając innowacyjne usługi, które dodają wartość do każdego rodzaju działalności. Naszą misją jest pomaganie naszym klientom we wszelkich potrzebach certyfikacyjnych w osiąganiu ich długoterminowych celów strategicznych w sposób zrównoważony.

Kierując się naszym celem ochrony życia, mienia i środowiska, DNV pomaga organizacjom osiągnąć większe bezpieczeństwo i zrównoważony rozwój w ich działalności.

Zobacz także

Webinaria

Sprawdź naszą aktualną ofertę darmowych webinariów

Certyfikacja

Sprawdź nasze aktualne usługi związane z Certyfikacją Systemów Zarządzania.

Newsletter

Zapisz się do naszego newslettera i otrzymuj najnowsze informacje z branży certyfikacji