Progress Q&S – Wdrożenia, Audyt, Szkolenia

Menu
Facebook Linkedin Youtube Instagram
Menu
circle, tech, technology-5090539.jpg

Procesy cyberbezpieczeństwa w systemie zarządzania

/ Bez kategorii / By

Procesy cyberbezpieczeństwa

Bardzo ważny zakres procesów, który choć występuje dziś w praktycznie każdej branży, jest niestety zaniedbany przez wiele firm lub traktowany jako coś odrębnego od systemu zarządzania procesami. Tymczasem są ich nieodłączną częścią. Procesy IT, a tym samym procesy cyberbezpieczeństwa, występują w większości procesów głównych, administracyjnych czy wspomagających. Spójrzmy tylko na procesy magazynowania, zarządzania zasobami ludzkimi, obsługi klienta, reklamacji, czy produkcji. Wszędzie tam występują systemy IT, programy, aplikacje, poczta elektroniczna, sieć itd.

Na początek musimy wyjaśnić sobie czego dotyczą procesy cyberbezpieczeństwa. Najłatwiej będzie je określić jako

    • system zabezpieczenia technicznego, np. Infrastruktura IT, serwerownie, antywirusy i inne rozwiązania zabezpieczające sieć firmową,

    • zabezpieczenia fizyczne, czyli kontrola dostępu do wejść do pomieszczeń, kamery, czujniki alarmowe itd.  

    •  rozwiązania organizacyjne

O tych ostatnich będziemy dziś głównie mówić, ponieważ większość firm posiada dziś choćby minimalne zabezpieczenia IT, również często zabezpieczenia fizyczne, ale jeżeli chodzi o zabezpieczenia organizacyjne, to tu zaczynają się problemy w dużej części podmiotów.

Jeżeli mówimy o rozwiązaniach organizacyjnych to są to dobrze znane nam sposoby postępowania w poszczególnych procesach udokumentowane często jako procedury, instrukcje, polityki, listy kontrolne czy przewodniki.

Tak samo powinniśmy podejść do procesów cyberbezpieczeństwa w naszych systemach zarządzania.

Norma ISO 27001

Z pomocą tu oczywiście przychodzi nam Norma ISO 27001 oraz ISO 27002 jako rozbudowana forma standardu dotyczącego bezpieczeństwa informacji oraz zabezpieczeń w obszarze IT. Oczywiście, jeżeli dana firma nie potrzebuje lub nie chce wdrażać całej tej normy to, nie ma takiej potrzeby, również bez jej wsparcia jesteśmy w stanie stworzyć odpowiednie procesy cyberbezpieczeństwa dla naszej firmy. Ja oczywiście zachęcam na zagłębienie się w tematykę bezpieczeństwa informacji w zakresie normy ISO 27001.

Cyberbezpieczeństwo w normie ISO 9001

Nawet jeżeli w Waszej firmie posiadacie wdrożony system zarządzania w oparciu normę ISO 9001 to również procesy cyberbezpieczeństwa Was dotyczą, choć wiele osób nie zdaje sobie z tego sprawy. Sama norma nie wskazuje nam na ten obszar, ale dotyczy wiele innych, które często są wdrażane.

Zaczynając od samego początku pkt. 4.1 normy ISO 9001 – Organizacja powinna określić zewnętrzne i wewnętrzne kwestie, które są istotne dla jej celów i kierunku strategicznego i wpływają na zdolność do osiągnięcia zamierzonego(-ych) wyniku(-ów) systemu zarządzania jakością. Chyba żaden jakościowiec nie zaprzeczy, że systemy IT i cyberbezpieczeństwo wpływają na ich zdolność do osiągnięcia wyników czy realizację istotnych celów.

Idąc dalej, pkt. 4.4 normy ISO 9001 – Organizacja powinna określić procesy potrzebne w systemie zarządzania jakością i ich zastosowanie w całej organizacji. Ten punkt może bardzo konkretnie odnosić się do procesów cyberbezpieczeństwa, które są dziś potrzebne praktycznie w 90% firm.

Pkt. 6.1 normy ISO 9001 ryzyka i szanse – znów mamy, nie bezpośrednie, ale chyba dla większości konkretne odniesienia normy do ryzyk związanych z cyberbezpieczeństwem, gdzie jeżeli dziś firmy nie identyfikują takiego ryzyka, a tym samym planu w zakresie jego niwelowania lub eliminiacji,to same nastawiają się na potencjalne zagrożenia i problemy.

Myślę, że warto jeszcze wskazać pkt. 7.1.3 normy ISO 9001 – Organizacja powinna określić, zapewnić i utrzymać infrastrukturę dla funkcjonowania procesów w tym oczywiście Infrastrukturę IT.

To tylko część, wymagań, co do których procesy cyberbezpieczeństwa mają ogromne znaczenie i powinny być ujęte w systemie zarządzania jakością.

Po co nam procesy cyberbezpieczeństwa – Ciągłość działania i warunki nadzorowane

Procesy cyberbezpieczeństwa pozwalają nam to stworzenie warunków nadzorowanych w naszych procesach, czyli takich, które obejmują udokumentowane informacje dotyczące sposób postępowania, zasobów dla procesu, osoby odpowiedzialne, mierniki i analizy. Dodatkowo specyfika procesów cyberbezpieczeństwa polega na tym, że jeżeli nie będziemy ich mieli pod kontrolą, to może się szybko okazać, że jeden mały incydent może doprowadzić do przerwania ciągłości działania wszystkich innych procesów.

Wyobraź sobie teraz, że w Twojej firmie wyłącza się Internet, systemy IT, poczta elektroniczna, lub tracicie wszystkie dane/informacje, na których na co dzień pracujecie. Jak myślisz, jak długo Twoja firma będzie w stanie wytrzymać taki stan?

Podstawowe elementy procesów cyberbezpieczeństwa

Warto określić podstawowe elementy procesów cyberbezpieczeństwa, które możemy już teraz ująć na naszym systemie zarządzania.

Zaczynając od najprostszego, który już stworzy nam podwaliny warunków nadzorowanych, czyli opis zabezpieczeń technicznych, fizycznych i organizacyjnych wraz z harmonogramem ich przeglądów oraz przypisanymi osobami odpowiedzialnymi za każdy obszar. Częstotliwość przeglądów powinny wynika z analizy ryzyka i istotności dane zabezpieczenia dla naszych pozostałych procesów.

Kolejnym podstawowym udokumentowanym zakresem powinna być Polityka zabezpieczeń, która może określać zasady postępowania w takich obszarach jak m.in.:

 

    • Nadawanie dostępów do systemów IT

    • Zasady zarządzania kluczami lub dostępem do pomieszczeń

    • Zasady przechowywania, kopiowania, udostępniania i niszczenia dokumentów, które można podzielić na odpowiednie poziomy poufności

    • Zasady postępowania z elektronicznymi nośnikami informacji

    • Zasady konserwacji i przeglądu infrastruktury IT

    • Zasady użytkowania poczty elektronicznej

    • Zasady bezpieczeństwa przy pracy zdalnej i oczywiście wiele innych elementów, natomiast te powyższe to podstawa procesów cyberbezpieczeństwa.

Kolejnym ważnym, często niedocenianym elementem do momentu wydarzenia się incydentu związanego z bezpieczeństwem są Plany ciągłości działania. Są to po prostu schematy postępowania na wypadek wystąpienia konkretnego zdarzenia, które opisują nam jak należy się zachować w danej sytuacji ( np. do kogo ją zgłosić i w jakiej formie oraz wszelkie inne szczegóły postępowania). Do jakich sytuacji należy odnieść plany ciągłości działania? Odpowiedź, jaką uwielbiamy: „to zależy” . Jako podstawę można zaproponować:

 

    • postępowania z incydentami IT,

    • postępowanie na wypadek braku dostępu Internetu,

  • postępowanie na wypadek pożaru lub innej klęski żywiołowej.

Podsumowanie

Już wdrożenie tych wymienionych podstaw procesów cyberbezpieczeństwa pomoże Waszej firmie określić postępowanie z ryzykiem z tym związanymi i na pewno pozwoli spać spokojniej. Powiedzmy sobie szczerze – dzięki temu również pozostałe procesy operacyjne, administracyjne i wspomagające będą lepiej nadzorowane oraz będą miały szansę na zachowanie ciągłości działania, co dla Waszych klientów i kontrahentów może być kluczowe.

Sprawdź jak możemy Ci pomóc w opracowaniu procesów cyberbezpieczeństwa w Twojej firmie

Usługi - Bezpieczeństwo informacji - cyberbezpieczeństwo

Zobacz nasz kurs

Skuteczny Audytor Systemów - podejście, techniki, metody, narzędzia!

W którym pokazuje jak całą metodykę prowadzenia audytów systemów, metody techniki, podejście,
a dodatkowo otrzymujesz GRATIS kurs Wymagania
i praktyczne podejście do normy ISO 9001 i wiele więcej

Zobacz więcej