Hyödykedatamaailmassamme kyberturvallisuusstandardien on oltava taivaan korkeita ja teräviä. Suurin osa yrityksistä joutuu lopulta tarvitsemaan itseään sisätiloista, vaikka ne eivät olekaan välittömästi teknisiin liittyviä.
Yli vuosikymmen sitten Kansainvälinen standardointijärjestö hyväksyi ISO 27001 -nimisen eritelmän. Joten mikä se on? Mitä ISO 27001 -tarkastus voi kertoa meille organisaation sisäisistä machinaatioista? Ja miten päätät, onko yrityksesi tarkastettava?
Mikä on tietoturvan hallintajärjestelmä (ISMS)?
Tietoturvan hallintajärjestelmä (ISMS) on organisaation pääpuolustuslinja tietorikkomukset ja muut kyberuhat ulkopuolelta.
Tehokas ISMS varmistaa, että suojattavat tiedot pysyvät luottamuksellisina ja turvallisina, uskollisina lähteelle ja niiden ihmisten saatavilla, joilla on lupa työskennellä sen kanssa.
Yleinen virhe on olettaa, että ISMS on vain palomuuri tai muu tekninen suojaustapa. Sen sijaan täysin integroitu ISMS on aivan yhtä läsnä yrityksen kulttuurissa ja jokaisessa työntekijässä, insinöörissä tai muutoin. Se menee paljon IT-osaston ulkopuolelle.
Enemmän kuin pelkkä virallinen käytäntö ja menettely, järjestelmän piiriin kuuluu myös tiimin kyky hallita ja tarkentaa järjestelmää. Suoritus ja tapa, jolla protokollaa todella käytetään, ovat ensiarvoisen tärkeitä.
Tähän sisältyy pitkän aikavälin lähestymistapa riskienhallintaan ja lieventämiseen. Yrityksen päämiesten on tunnettava läheisesti kaikki riskit, jotka liittyvät alaan, jolla he työskentelevät. Tämän oivalluksen avulla he pystyvät rakentamaan seinät itsensä ympärille vastaavasti.
Mikä on ISO 27001, tarkalleen?
Vuonna 2005 Kansainvälinen standardointijärjestö (ISO) ja Kansainvälinen sähkötekniikka Komissio (IEC) uudisti BS 7799: n, turvallisuudenhallintastandardin, jonka BSI Group vahvisti ensimmäisen kerran 10 vuoden ajan aiemmin.
Nyt virallisesti tunnettu ISO / IEC 27001: 2005, ISO 27001 on kansainvälinen vaatimustenmukaisuusstandardi, joka myönnetään yrityksille, jotka ovat esimerkillisiä tietoturvan hallinnassa.
Pohjimmiltaan se on tiukka kokoelma standardeja, joita yrityksen tietoturvan hallintajärjestelmä voidaan estää. Tämän kehyksen avulla tilintarkastajat voivat sitten arvioida koko järjestelmän sitkeyttä. Yritykset voivat halutessaan suorittaa tarkastuksen, kun he haluavat vakuuttaa asiakkailleen ja asiakkailleen, että heidän tietonsa ovat turvallisia seiniensä sisällä.
Tähän varausten kokoelmaan sisältyvät: turvallisuuspolitiikkaa, omaisuutta koskevat eritelmät luokittelu, ympäristövarmuus, verkon hallinta, järjestelmän ylläpito ja liiketoiminnan jatkuvuus suunnittelu.
ISO tiivisti kaikki nämä puolet alkuperäisestä BSI-peruskirjasta, tislaamalla ne tänä päivänä tunnustamaanmme versioon.
Kaivaminen politiikkaan
Mitä tarkalleen arvioidaan, kun yritykselle tehdään ISO 27001 -tarkastus?
Standardin tavoitteena on muodostaa tehokas ja turvallinen tietopolitiikka kansainvälisesti. Se kannustaa ennakoivaa asennetta, joka pyrkii välttämään ongelmia ennen niiden tapahtumista.
ISO korostaa turvallisen ISMS: n kolmea tärkeää näkökohtaa:
1. Jatkuva analyysi ja riskien tunnustaminen: tämä sisältää sekä nykyiset että tulevaisuudessa mahdollisesti esiintyvät riskit.
2. Vankka ja turvallinen järjestelmä: tämä sisältää järjestelmän sellaisena kuin se on teknisessä mielessä, samoin kuin kaikki turvatarkastukset, joita organisaatio käyttää suojautuakseen edellä mainituilta riskeiltä. Nämä näyttävät hyvin erilaisilta yrityksestä ja toimialasta riippuen.
3. Omistautunut johtajajoukkue: nämä ovat ihmisiä, jotka todella asettavat valvonnan toimimaan organisaation puolustamiseksi. Järjestelmä on vain yhtä tehokas kuin ruorissa työskentelevät.
Näiden kolmen avaintekijän analysointi auttaa tilintarkastajaa saamaan täydellisemmän kuvan tietyn yrityksen kyvystä toimia turvallisesti. Kestävyyttä suositaan ISMS: ään verrattuna, joka perustuu vain raakaan tekniseen voimaan.
Liittyvät: Kuinka estää työntekijöitä varastamasta yritystietoja lähtiessään
On tärkeä inhimillinen elementti, jonka on oltava läsnä. Tapa, jolla yrityksen sisällä olevat henkilöt hallitsevat tietojaan ja ISMS: ää, pidetään ennen kaikkea. Nämä ohjaimet pitävät tiedot tosiasiassa turvassa.
Mikä on ISO 27001: n liite A?
Erityiset esimerkit "valvonnasta" riippuvat toimialasta. ISO 27001 -standardin liite A tarjoaa yrityksille 114 virallisesti tunnustettua keinoa valvoa toimintojensa turvallisuutta.
Nämä hallintalaitteet kuuluvat yhteen neljästoista luokituksesta:
A.5—Tiedotus- ja turvallisuuspolitiikat: yrityksen noudattamat institutionaaliset käytännöt ja menettelytavat.
A.6—Tietoturvan organisointi: vastuun jakaminen organisaation sisällä ISMS-järjestelmän puitteissa ja sen toteuttamisessa. Kummallakin tavalla tähän sisältyy myös etätyötä ja laitteiden käyttö yrityksen sisällä.
A.7—Henkilöresurssien turvallisuus: huolenaiheet alukseen nousemisesta, alukseen purkamisesta ja työntekijöiden roolien vaihtamisesta organisaatiossa. Myös seulontastandardit ja parhaat käytännöt koulutuksessa on kuvattu tässä.
A.8—Vahvuuksien hallinta: sisältää käsiteltäviä tietoja. Varat on inventoitava, ylläpidettävä ja pidettävä yksityisinä, jopa osastojen yli. Jokaisen omaisuuden omistajuus on määritettävä selvästi; tässä lausekkeessa suositellaan, että yritykset laativat omalle toimialalleen "hyväksyttävän käytön käytännön".
A.9—Kulunvalvonta: kenellä on lupa käsitellä tietojasi, ja miten rajoitat pääsyn vain valtuutettuihin työntekijöihin? Tähän voi sisältyä ehdollisen luvan asettaminen teknisessä mielessä tai pääsy lukittuihin rakennuksiin yrityksesi kampuksella.
A.10—Salaus: käsittelee ensisijaisesti salausta ja muita tapoja suojata siirretyt tiedot. Näitä ennalta ehkäiseviä toimenpiteitä on hallinnoitava aktiivisesti. ISO ei kannusta organisaatioita pitämään salausta yhden koon ratkaisuna kaikkiin tietoturvaan liittyviin syvästi vivahteisiin liittyviin haasteisiin.
A.11—Fyysinen ja ympäristöturvallisuus: arvioi fyysisen turvallisuuden missä tahansa arkaluontoisessa datassa, joko todellisessa toimistorakennuksessa tai pienessä, ilmastoidussa huoneessa, joka on täynnä palvelimia.
A.12—Operations Security: Mitkä ovat sisäiset turvallisuussäännöt yrityksesi toiminnassa? Näitä menettelytapoja selittävät asiakirjat tulisi ylläpitää ja tarkistaa säännöllisesti vastaamaan uusia, uusia liiketoiminnan tarpeita.
Muutosten hallinta, kapasiteetin hallinta ja eri osastojen erottaminen kuuluvat kaikki tähän otsakkeeseen.
A.13—Verkon suojauksen hallinta: Verkkojen, jotka yhdistävät yrityksen kaikki järjestelmät, on oltava ilmatiiviitä ja huolellisesti hoidettuja.
Palomuurien kaltaiset kattavat ratkaisut ovat entistäkin tehokkaampia, kun niitä täydennetään usein tarkistettavilla tarkistuspisteillä, virallisilla siirtokäytännöillä tai julkisten verkkojen käytön kieltäminen esimerkiksi käsittelemällä yrityksesi tietoja.
A.14—Järjestelmän hankinta, kehittäminen ja ylläpito: Jos yritykselläsi ei vielä ole ISMS-järjestelmää, tämä lauseke selittää, mitä ihanteellinen järjestelmä tuo pöytään. Se auttaa varmistamaan, että ISMS: n soveltamisala kattaa kaikki tuotannon elinkaaren osat.
Sisäinen turvallisen kehityksen käytäntö antaa insinööreille kontekstin, jonka heidän on rakennettava vaatimustenmukainen tuote siitä päivästä lähtien, jolloin heidän työnsä alkaa.
A.15—Toimittajan turvallisuuskäytäntö: Kun teet liiketoimintaa kolmansien osapuolten toimittajien kanssa yrityksen ulkopuolella, mitkä varotoimet toteutetaan estämään vuotoja tai heidän kanssaan jaettujen tietojen rikkomuksia?
A.16—Tietoturvaloukkausten hallinta: Kun asiat menevät pieleen, yrityksesi todennäköisesti tarjoaa jonkin verran puitteita siitä, miten ongelmasta tulisi raportoida, puuttua ja estää tulevaisuudessa.
ISO etsii vastatoimia, joiden avulla yrityksen viranomaiset voivat toimia nopeasti ja suurella ennakkoluulolla uhkan havaittuaan.
A.17—Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat: katastrofin tai muun epätodennäköisen tapahtuman sattuessa, joka häiritsee toimintaasi peruuttamattomasti, suunnitelma on oltava paikallaan yrityksen ja sen tietojen hyvinvoinnin säilyttämiseksi, kunnes liiketoiminta jatkuu normaalia.
Ajatuksena on, että organisaatio tarvitsee jonkinlaisen tavan säilyttää turvallisuuden jatkuvuus tällaisina aikoina.
A.18—Vaatimustenmukaisuus: lopuksi olemme päässeet varsinaiseen sopimukseen, jonka yrityksen on tehtävä, jotta se täyttää ISO 27001 -sertifikaatin vaatimukset. Sinun velvollisuutesi on määritelty sinulle. Sinun ei tarvitse tehdä muuta kuin allekirjoittaa katkoviivalla.
ISO ei enää edellytä, että vaatimusten mukaiset yritykset käyttävät vain edellä lueteltuihin luokkiin sopivia hallintalaitteita. Luettelo on hyvä paikka aloittaa, jos kuitenkin olet vasta aloittamassa yrityksesi ISMS: n perustaa.
Liittyvät: Kuinka parantaa tietoisuutta hyvillä turvallisuuskäytännöillä
Pitäisikö yritykseni tarkastaa?
Se riippuu. Jos olet hyvin pieni aloittelija, joka työskentelee alalla, joka ei ole herkkä tai vaarallinen, voit todennäköisesti lykätä, kunnes tulevaisuuden suunnitelmat ovat varmemmat.
Myöhemmin joukkueen kasvaessa saatat joutua johonkin seuraavista luokista:
- Saatat työskennellä tärkeän asiakkaan kanssa, joka pyytää yritystäsi arvioimaan sen varmistamiseksi, että he ovat turvallisia kanssasi.
- Haluat ehkä siirtyä listautumisantiin tulevaisuudessa.
- Olet jo joutunut rikkomuksen uhriksi ja sinun on ajatteltava uudelleen tapaa, jolla hallinnoit ja suojaat yrityksesi tietoja.
Tulevaisuuden ennustaminen ei välttämättä aina ole helppoa. Vaikka et näe itseäsi missään edellä mainituista tilanteista, ei ole haittaa olla ennakoiva ja aloittaa sisällyttää joitain ISO: n suosittelemia käytäntöjä järjestelmään.
Voima on käsissäsi
ISMS: n valmisteleminen tarkastusta varten on yhtä helppoa kuin huolellisuus, vaikka työskenteletkin tänään. Dokumentaatio on aina ylläpidettävä ja arkistoitava, mikä antaa sinulle todisteet siitä, että sinun on varmuuskopioitava pätevyysvaatimuksesi.
Se on aivan kuin lukiossa: teet kotitehtävät ja saat arvosanan. Asiakkaat ovat turvassa ja terveet, ja pomosi on erittäin tyytyväinen sinuun. Nämä ovat yksinkertaisia tapoja oppia ja pitää. Kiität itseäsi myöhemmin, kun leikepöydällä varustettu mies vihdoin soittaa.
Tässä ovat kyberhyökkäykset, joita sinun on pidettävä silmällä vuonna 2021, ja miten voit välttää niiden joutumisen uhriksi.
Lue seuraava
- Turvallisuus
- Tietoturva
- Tietoturva
Emma Garofalo on kirjailija, joka työskentelee tällä hetkellä Pittsburghissa, Pennsylvaniassa. Kun hän ei vaivaudu työpöydälleen paremman huomisen kaipaamiseksi, hänet voidaan tavallisesti löytää kameran takana tai keittiössä.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.
