I vores verden af råvarer skal cybersikkerhedsstandarder være skyhøje og knivskarpe. De fleste virksomheder, selvom ikke straks teknologirelaterede, vil til sidst løbe ind i behovet for at binde sig indefra.
For mere end ti år siden vedtog Den Internationale Standardiseringsorganisation en specifikation kaldet ISO 27001. Så hvad er det nøjagtigt? Hvad kan en ISO 27001-revision fortælle os om en organisations indre bearbejdning? Og hvordan beslutter du, om din virksomhed skal revideres?
Hvad er et ISMS (Information Security Management System)?
Et informationssikkerhedsstyringssystem (ISMS) er en organisations vigtigste forsvarslinje mod databrud og andre typer cybertrusler udefra.
Et effektivt ISMS sikrer, at de oplysninger, der beskyttes, forbliver fortrolige og sikre, trofaste over for kilden og tilgængelige for de mennesker, der har tilladelse til at arbejde med det.
En almindelig fejl er at antage, at et ISMS ikke udgør mere end en firewall eller andre tekniske beskyttelsesmidler. I stedet er et fuldt integreret ISMS lige så til stede i virksomhedens kultur og hos hver medarbejder, ingeniør eller på anden måde. Det går langt ud over it-afdelingen.
Mere end blot officiel politik og procedure inkluderer omfanget af dette system holdets evne til at styre og forfine systemet. Udførelse og den måde, hvorpå protokollen faktisk anvendes, er altafgørende.
Dette indebærer en langsigtet tilgang til risikostyring og afbødning. En virksomheds ledere skal være fortrolige med enhver risiko forbundet med branchen, som de specifikt arbejder i. Bevæbnet med denne indsigt vil de være i stand til at bygge væggene omkring sig selv i overensstemmelse hermed.
Hvad er ISO 27001, nøjagtigt?
I 2005 Den Internationale Organisation for Standardisering (ISO) og den Internationale Elektrotekniske Kommissionen (IEC) moderniserede BS 7799, en sikkerhedsstyringsstandard, der først blev oprettet af BSI-gruppen i 10 år tidligere.
Nu officielt kendt som ISO / IEC 27001: 2005, er ISO 27001 en international standard for overholdelse, der tildeles virksomheder, der er eksemplariske inden for informationssikkerhedsstyring.
I det væsentlige er det en streng samling af standarder, som en virksomheds informationssikkerhedsstyringssystem kan holdes imod. Denne ramme giver revisorer mulighed for derefter at evaluere systemets holdbarhed som helhed. Virksomheder kan vælge at foretage en revision, når de vil forsikre deres kunder og kunder om, at deres data er sikre inden for deres vægge.
Inkluderet i denne samling af bestemmelser er: specifikationer vedrørende sikkerhedspolitik, aktiv klassificering, miljøsikkerhed, netværksadministration, systemvedligeholdelse og forretningskontinuitet planlægning.
ISO kondenserede alle disse facetter fra det originale BSI-charter og destillerede dem til den version, som vi genkender i dag.
Gravning i politikken
Hvad bliver der nøjagtigt evalueret, når en virksomhed gennemgår en ISO 27001-revision?
Standardens mål er at formalisere effektiv og sikker informationspolitik internationalt. Det tilskynder en proaktiv holdning, en, der søger at undgå problemer, før det sker.
ISO understreger tre vigtige aspekter af et sikkert ISMS:
1. Konstant analyse og anerkendelse af risiko: dette inkluderer både aktuelle risici og risici, der kan præsentere sig i fremtiden.
2. Et robust og sikkert system: dette inkluderer systemet, som det eksisterer i teknisk forstand, samt enhver sikkerhedskontrol, som organisationen bruger til at beskytte sig mod de førnævnte risici. Disse vil se meget forskellige ud, afhængigt af virksomheden og branchen.
3. Et hengivet team af ledere: disse vil være de mennesker, der rent faktisk sætter kontroller til at arbejde for at forsvare organisationen. Systemet er kun lige så effektivt som dem, der arbejder ved roret.
Analysering af disse tre vigtige bidragende faktorer hjælper revisoren med at tegne et mere komplet billede af en given virksomheds evne til at operere sikkert. Bæredygtighed foretrækkes frem for et ISMS, der kun er afhængig af brute teknisk kraft.
Relaterede: Sådan forhindres medarbejdere i at stjæle virksomhedsdata, når de forlader
Der er et vigtigt menneskeligt element, der skal være til stede. Den måde, som folk i virksomheden udøver kontrol over deres data og deres ISMS på, er frem for alt andet. Disse kontroller er det, der faktisk holder dataene sikre.
Hvad er bilag A til ISO 27001?
Specifikke eksempler på "kontrol" afhænger af branchen. Bilag A til ISO 27001 tilbyder virksomheder 114 officielt anerkendte måder at kontrollere sikkerheden i deres operationer på.
Disse kontroller falder ind i en af fjorten klassifikationer:
A.5—Informations- og sikkerhedspolitikker: de institutionaliserede politikker og procedurer, som en virksomhed følger.
A.6—Organisation af informationssikkerhed: tildelingen af ansvar inden for organisationen med hensyn til rammerne for ISMS og dets implementering. Medtaget her er mærkeligt nok også politik, der regulerer fjernarbejde og brug af enheder inden for virksomheden.
A.7—Human Resource Security: vedrører onboarding, offboarding og medarbejdere, der skifter roller i organisationen. Screeningsstandarder og bedste praksis inden for uddannelse er også beskrevet her.
A.8 -Kapitalstyring: involverer de data, der håndteres. Aktiver skal opgøres, vedligeholdes og holdes private, selv på tværs af afdelinger i nogle tilfælde. Ejerskabet af hvert aktiv skal fastlægges klart; denne klausul anbefaler, at virksomheder udarbejder en "politik for acceptabel brug", der er specifik for deres branche.
A.9—Adgangskontrol: hvem har lov til at håndtere dine data, og hvordan begrænser du adgangen til kun autoriserede medarbejdere? Dette kan omfatte indstilling af betinget tilladelse i teknisk forstand eller adgang til låste bygninger på din virksomheds campus.
A.10—Kryptografi: beskæftiger sig primært med kryptering og andre måder at beskytte data under transit. Disse forebyggende foranstaltninger skal styres aktivt; ISO fraråder organisationer at betragte kryptering som en løsning, der passer til alle de dybt nyanserede udfordringer forbundet med datasikkerhed.
A.11—Fysisk og miljømæssig sikkerhed: vurderer den fysiske sikkerhed, hvor følsomme data er placeret, hvad enten det er i en egentlig kontorbygning eller i et lille rum med aircondition fuld af servere.
A.12—Operations sikkerhed: hvad er dine interne sikkerhedsregler, når det kommer til din virksomheds drift? Dokumentation, der forklarer disse procedurer, skal vedligeholdes og revideres ofte for at imødekomme nye, nye forretningsbehov.
Ændringsstyring, kapacitetsstyring og adskillelse af forskellige afdelinger falder alt sammen under denne overskrift.
A.13—Netværkssikkerhedsstyring: de netværk, der forbinder hvert system inden for din virksomhed, skal være lufttætte og omhyggeligt passet på.
Catch-all-løsninger som firewalls gøres endnu mere effektive, når de suppleres med ting som hyppige verifikationskontrolpunkter, formaliserede overførselspolitikker eller ved forbyder brugen af offentlige netværk mens du f.eks. håndterer din virksomheds data.
A.14—Systemopsamling, udvikling og vedligeholdelse: hvis din virksomhed ikke allerede har et ISMS på plads, forklarer denne klausul, hvad et ideelt system bringer til bordet. Det hjælper dig med at sikre, at omfanget af ISMS dækker alle aspekter af din produktions livscyklus.
En intern politik for sikker udvikling giver dine ingeniører den kontekst, at de har brug for at opbygge et kompatibelt produkt fra den dag, deres arbejde begynder.
A.15—Leverandørens sikkerhedspolitik: Hvilke forholdsregler træffes der for at forhindre lækager eller brud på de data, der deles med dem, når du driver forretning med tredjepartsleverandører uden for din virksomhed?
A.16—Management til hændelse af informationssikkerhed: når ting går galt, giver din virksomhed sandsynligvis nogle rammer for, hvordan problemet skal rapporteres, behandles og forhindres i fremtiden.
ISO ser efter gengældelsesordninger, der gør det muligt for autoriteter inden for virksomheden at handle hurtigt og med stor fordomme, efter at en trussel er blevet opdaget.
A.17—Informationssikkerhedsaspekter af forretningskontinuitetsstyring: i tilfælde af en katastrofe eller en anden usandsynlig hændelse, der forstyrrer dine operationer uigenkaldeligt, en plan skal være på plads for at bevare virksomhedens trivsel og dets data, indtil virksomheden genoptages som normal.
Tanken er, at en organisation har brug for en eller anden måde at bevare kontinuiteten i sikkerhed gennem tider som disse.
A.18—Overholdelse: endelig kommer vi til den egentlige kontraktaftale, som et firma skal abonnere på for at opfylde kravene til ISO 27001-certificering. Dine forpligtelser er beskrevet foran dig. Alt, hvad du skal gøre, er at underskrive på den stiplede linje.
ISO kræver ikke længere, at kompatible virksomheder kun anvender kontroller, der passer ind i ovennævnte kategorier. Listen er et godt sted at starte, hvis du lige er begyndt at lægge grundlaget for din virksomheds ISMS.
Relaterede: Sådan forbedres din opmærksomhed med god sikkerhedspraksis
Skal min virksomhed revideres?
Det kommer an på. Hvis du er en meget lille start-up, der arbejder i et felt, der ikke er følsomt eller højrisiko, kan du sandsynligvis holde ud, indtil dine fremtidige planer er mere sikre.
Senere, når dit team vokser, kan du finde dig selv i en af følgende kategorier:
- Du arbejder muligvis med en vigtig klient, der beder din virksomhed om at blive vurderet for at sikre, at de er sikre hos dig.
- Du vil muligvis overgå til en børsintroduktion i fremtiden.
- Du er allerede blevet offer for et brud og har brug for at genoverveje den måde, du administrerer og beskytter din virksomheds data på.
Det er ikke altid let at forudsige fremtiden. Selvom du ikke ser dig selv i nogen af ovenstående scenarier, skader det ikke at være proaktiv og begynde at inkorporere nogle af ISO's anbefalede fremgangsmåder i dit regime.
Kraften er i dine hænder
Forberedelse af dit ISMS til en revision er lige så simpelt som at tage behørig omhu, selv som du arbejder i dag. Dokumentation skal altid vedligeholdes og arkiveres, hvilket giver dig bevis for, at du bliver nødt til at sikkerhedskopiere dine krav om kompetence.
Det er ligesom i mellemskolen: du laver lektier, og du får karakteren. Kunderne er sunde og sunde, og din chef er meget tilfreds med dig. Dette er enkle vaner at lære og beholde. Du vil takke dig selv senere, når manden med et udklipsholder endelig kommer og ringer.
Her er de cyberangreb, du har brug for at holde øje med i 2021, og hvordan du kan undgå at blive offer for dem.
Læs Næste
- Sikkerhed
- Computersikkerhed
- Datasikkerhed
Emma Garofalo er forfatter i øjeblikket baseret i Pittsburgh, Pennsylvania. Når hun ikke slider sig væk ved sit skrivebord i mangel af en bedre fremtid, kan hun normalt findes bag kameraet eller i køkkenet.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.
