Czym jest norma ISO 27001 i jak ją wdrożyć?

Jest to pierwsza część z całej serii artykułów i podcastów do normy ISO 27001 – System bezpieczeństwa informacji oraz system cyberbezpieczeństwa.

Artykuł w formie podcastu -> Podcast "Czym jest norma ISO 27001 i jak ją wdrożyć?"

Czym właściwie jest norma ISO 27001? Jest to międzynarodowy standard systemu bezpieczeństwa informacji. Pozwala nam wdrożyć wytyczne i zabezpieczenia pod kątem wszystkich informacji jakie przetwarzamy w firmie, zaczynając od danych osobowych, infrastruktury IT, poprzez bezpieczeństwo know how.

Sama struktura normy jest analogiczna do standardu ISO 9001 – systemu zarządzania jakością i również opiera się na zarządzanie procesowym – cyklu ciągłego doskonalenia. Poza zdefiniowanym modelem zarządzania, norma ISO 27001 zawiera również, załącznik A, który wskazuje nam na szereg zabezpieczeń dla cyberbezpieczeństwa i przetwarzanych w firmie informacji.

Załącznik A jest obligatoryjnym elementem normy, który należy wdrożyć, wdrażając wytyczne normy ISO 27001.

Zanim o tym czy warto wdrażać system bezpieczeństwa informacji, to wyobraźmy sobie dzisiaj firmę która może działań bez dostępu do sieci, e-maili, programów IT, urządzeń elektronicznych. Chyba ciężko nam będzie znaleźć branżę w której nie używa się powyższych elementów infrastruktury IT.

Nawet w najbardziej analogowej firmie potrzebny jest dziś e-mail, smartfon, aplikacje, przetwarzamy dane osobowe, niestety wszystkie te elementy wiążą się też z ryzykami. Na co dzień słyszymy jak duża jest skala ataków cyberprzestępców, wirusów itp.

Dzisiaj tak naprawdę jeden atak hackerski, jest w stanie mocno poturbować każdą firmę a nawet doprowadzić ją do upadku, co zdarzało mi się w mojej pracy zawodowej spotykać.

Coraz więcej firm staje się ofiarami ataków cyberprzestępców, czy złośliwych oprogramowani.

Dlatego należy zadać sobie pytanie nie, czy nasza firma również będzie zaatakowana, ale kiedy to się stanie i czy jesteśmy na to gotowi?

Statystyka jest nieubłagana, np. średnio tylko 5% plików w firmach jest prawidłowo chronionych, ponad 70% włamań do systemów IT jest realizowany dla pieniędzy a 25% dla szpiegostwa, co 39 sekund na świecie następuje włamanie cyberprzestępców do przedsiębiorstw, a włamania wykrywane są średnio po 206 dniach.

Dlatego z całą pewnością warto wdrożyć system bezpieczeństwa informacji w każdym biznesie wraz z odpowiednimi zabezpieczeniami. Bardzo ważne jest też aby budować świadomość zespołu w zakresie bezpiecznej pracy.

Wyobraź sobie że dzisiaj z Twojej firmy wyciekają kontakty do klientów, kontrahentów, know how, dostępy itp. Jest to ogromne ryzyko finansowe, biznesowe ale tez wizerunkowe.

Nie pisze tego, aby Ciebie straszyć, ale abyś już teraz mógł podejście do bezpieczeństwa informacji profilaktycznie. Codziennie można przeczytać na różnego portalach, o nowych wyciekach, atakach czy nawet upadkach firm.

Co zrobisz, jeżeli jutro Twoja firma stanie się ofiarą ataku np., typu ransomware, i wszystkie Twoje bazy danych, piki, foldery zostaną zaszyfrowane, to uniemożliwi pracę dla całego zespołu oraz wprowadzi duży uszczerbek wizerunkowy.

Warto się zabezpieczyć wcześniej.

Norma ISO 27001 jest również doskonałym elementem dopełniającym system zarządzania jakości wg. ISO 9001, gdzie możemy znaleźć obszary nadzoru na infrastrukturą IT, czy kontekst organizacji, bezpieczeństwo danych klientów, wymagania stron zainteresowanych, każdy klient i kontrahent chce aby jego dane były skutecznie chronione.

Z jakich obszarów do wdrożenia składa się norma ISO 27001:

- Polityka bezpieczeństwa informacji- jest to standard, procesów przetwarzania informacji oraz nadzoru nad infrastrukturą IT.

- Obszar procesów zarządzania organizacją bezpieczeństwa: zarządzanie aktywami, zarządzanie bezpieczeństwem zasobów ludzkich, od momentu zatrudnienia do zakończenia współpracy.

- Obszar zarządzania systemami, sieciami, infrastrukturą IT.

- Obszar zabezpieczeń IT – m.in. VPN, Antywirus, Firewall, kryptografia, szyfrowanie, kopie zapasowe itd.

- Obszar budowania świadomości – nawet najlepsze zabezpieczenia IT, nam nie pomogą jeżeli chodzi o socjotechnikę i manipulacje ludźmi -dlatego tak ważny jest czynnik ludzki.

- Kontrola dostępu – kontrola obszarów fizycznych - kto, gdzie ma dostęp w jakim zakresie oraz kontrola dostępów w systemach IT.

- Obszar zarządzania ciągłością działania w wielu aspektach, m.in.: brak dostępu do sieci, brak zasilania, naruszenia danych osobowych, atak w obszarze IT – jakie należy wykonać działania w poszczególnych przypadkach - Play Ciągłości działania dla konkretnych zagrożeń.

- Obszar identyfikacji ryzyka, zarządzania tymi ryzykami, niwelowania ich, wdrażania odpowiednich zabezpieczeń.

- Obszar zarządzania incydentami – analogicznie jak w normie ISO 9001 obszar nadzoru nad niezgodnościami. Jest to bardzo ważny element systemu bezpieczeństwa informacji ponieważ każdy incydent może być dla nas szansą na rozwój systemu oraz jego ciągłe doskonalenie.

- Obszar identyfikacji i wdrożenia wymagań prawnych, np. ochrona danych osobowych. 

Firmy często chcą wdrażać systemy bezpieczeństwa informacji, systemy cyberbezpieczeństwa, ale niestety dopiero po zidentyfikowanych atakach, gdzie okazuje się, że nie mają odpowiednich kopii zapasowych do odtworzenia danych lub wyciek był tak duży, że wizerunkowo mają już ogromne straty.

Wraz z rozwojem organizacji musi iść rozwój systemowy, zabezpieczeń, świadomości, procedur itp.

Normę ISO 27001 możemy dobrowolnie certyfikować w niezależnych akredytowanych jednostkach certyfikujących, jeżeli chcemy posiadać takie zewnętrzne potwierdzenie. Jest to bardzo dobry element marketingowy oraz doskonały krok do budowania zaufania wśród klientów i kontrahentów.

Korzyści z wdrożenia, to na pewno identyfikacja i spełnienie, wymagań prawnych.

System składa się z 3 filarów, infrastruktura IT, procedury systemowe, świadomość zespołu, te 3 elementy muszą iść ze sobą razem, żaden nie może być umniejszony.

Kolejną korzyścią jest profilaktyka, ponieważ system pomaga nam wdrażać i doskonalić zabezpieczenia, identyfikować ryzyka zanim się zmaterializują.

Zachowanie integralności , poufności, zarządzanie podatnościami czyli czynnikami ryzyka, to również bardzo waży elementem wpływający na bezpieczeństwo biznesowe naszej firmy dzięki systemowi bezpieczeństwa informacji wg. Normy ISO 27001.

Jeżeli interesuje Cię ta tematyka subskrybuj nasz kanał na YouTube oraz nasz Fanpage na Facebooku, to tam publikujemy informacje o nowych, ciekawych, ale przede wszystkich przydanych materiałach.

-> Kanał YouTube - Progress

-> Fanpage Facebook - Progress