I vår verden av råvarer må cybersikkerhetsstandarder være skyhøye og knivskarpe. De fleste selskaper, selv om de ikke umiddelbart er teknologirelaterte, vil til slutt komme inn i behovet for å belte seg innenfra.
For mer enn et tiår siden vedtok Den internasjonale standardiseringsorganisasjonen en spesifikasjon kalt ISO 27001. Så hva er det egentlig? Hva kan en ISO 27001-revisjon fortelle oss om organisasjonens indre maskineringer? Og hvordan bestemmer du om selskapet ditt skal revideres?
Hva er et ISMS (Information Security Management System)?
Et informasjonssikkerhetsstyringssystem (ISMS) er en organisasjons hovedlinje for forsvar mot datainnbrudd og andre typer cybertrusler fra utsiden.
Et effektivt ISMS sikrer at informasjonen som beskyttes forblir konfidensiell og sikker, trofast mot kilden og tilgjengelig for folk som har tillatelse til å jobbe med den.
En vanlig feil er å anta at et ISMS ikke utgjør mer enn en brannmur eller andre tekniske beskyttelsesmidler. I stedet er et fullt integrert ISMS like til stede i selskapets kultur og hos hver ansatt, ingeniør eller annet. Det går langt utover IT-avdelingen.
Mer enn bare offisiell policy og prosedyre inkluderer omfanget av dette systemet også teamets evne til å administrere og forbedre systemet. Utførelse og måten protokollen faktisk blir brukt på er avgjørende.
Dette innebærer å ta en langsiktig tilnærming til risikostyring og avbøting. Et selskaps rektorer må være godt kjent med enhver risiko forbundet med bransjen de jobber spesifikt med. Bevæpnet med denne innsikten vil de være i stand til å bygge veggene rundt seg tilsvarende.
Hva er ISO 27001, nøyaktig?
I 2005 Den internasjonale organisasjonen for standardisering (ISO) og den internasjonale elektrotekniske Commission (IEC) moderniserte BS 7799, en sikkerhetsstyringsstandard som først ble etablert av BSI Group 10 år tidligere.
Nå offisielt kjent som ISO / IEC 27001: 2005, er ISO 27001 en internasjonal standard for overholdelse tildelt selskaper som er eksemplariske innen administrasjon av informasjonssikkerhet.
I hovedsak er det en streng samling av standarder som et selskaps styringssystem for informasjonssikkerhet kan holdes imot. Dette rammeverket gjør det mulig for revisorer å evaluere fastheten til systemet som helhet. Bedrifter kan velge å foreta en revisjon når de vil forsikre sine kunder og kunder om at deres data er trygge innenfor deres vegger.
Inkludert i denne samlingen av bestemmelser er: spesifikasjoner angående sikkerhetspolicy, eiendel klassifisering, miljøsikkerhet, nettverksadministrasjon, systemvedlikehold og forretningskontinuitet planlegger.
ISO kondenserte alle disse fasettene fra det opprinnelige BSI-charteret, og destillerte dem til den versjonen som vi kjenner igjen i dag.
Å grave i politikken
Hva blir egentlig evaluert når et selskap gjennomgår en ISO 27001-revisjon?
Standardens mål er å formalisere effektiv og sikker informasjonspolitikk internasjonalt. Det stimulerer en proaktiv holdning, en som prøver å unngå problemer før det skjer.
ISO legger vekt på tre viktige aspekter ved en sikker ISMS:
1. Konstant analyse og anerkjennelse av risiko: dette inkluderer både nåværende risiko og risiko som kan presentere seg i fremtiden.
2. Et robust og sikkert system: dette inkluderer systemet slik det eksisterer i teknisk forstand, samt sikkerhetskontroller som organisasjonen bruker for å beskytte seg mot de nevnte risikoene. Disse vil se veldig forskjellige ut, avhengig av selskap og bransje.
3. Et hengiven team av ledere: dette vil være menneskene som faktisk setter kontroller for å fungere for å forsvare organisasjonen. Systemet er bare så effektivt som de som arbeider ved roret.
Analysering av disse tre viktige medvirkende faktorene hjelper revisor til å tegne et mer fullstendig bilde av et gitt selskaps evne til å operere sikkert. Bærekraft favoriseres fremfor et ISMS som bare er avhengig av brutal teknisk styrke.
I slekt: Hvordan hindre ansatte i å stjele bedriftsdata når de forlater
Det er et viktig menneskelig element som må være til stede. Måten folk i selskapet utøver kontroll over dataene sine og ISMS på, holdes over alt annet. Disse kontrollene er det som faktisk holder dataene trygge.
Hva er vedlegg A i ISO 27001?
Spesifikke eksempler på "kontroller" avhenger av bransjen. Vedlegg A i ISO 27001 tilbyr selskaper 114 offisielt anerkjente måter å kontrollere sikkerheten i deres virksomhet.
Disse kontrollene faller inn i en av fjorten klassifiseringer:
A.5—Informasjons- og sikkerhetspolicyer: de institusjonaliserte retningslinjene og prosedyrene et selskap følger.
A.6—Organisering av informasjonssikkerhet: ansvarsoppgaven i organisasjonen med hensyn til rammen av ISMS og implementeringen. Inkludert her, merkelig nok, er også politikk som regulerer distribusjon og bruk av enheter i selskapet.
A.7—Human Resource Security: gjelder ombordstigning, ombordstigning og ansatte som skifter roller i organisasjonen. Screening standarder og beste praksis innen utdanning er også beskrevet her.
A.8—Kapitalforvaltning: involverer dataene som håndteres. Eiendeler må oppfylles, vedlikeholdes og holdes private, til og med på tvers av avdelingslinjer i noen tilfeller. Eierskap til hver eiendel må være tydelig; denne paragrafen anbefaler at selskaper utarbeider en "Retningslinjer for akseptabel bruk" spesifikt for deres bransje.
A.9—Adgangskontroll: hvem har lov til å håndtere dataene dine, og hvordan vil du begrense tilgangen til bare autoriserte ansatte? Dette kan omfatte innstilling av betinget tillatelse i teknisk forstand eller tilgang til låste bygninger på bedriftens campus.
A.10—Kryptografi: handler primært om kryptering og andre måter å beskytte data under transport. Disse forebyggende tiltakene må styres aktivt; ISO fraråder organisasjoner å vurdere kryptering som en løsning som passer for alle de dypt nyanserte utfordringene knyttet til datasikkerhet.
A.11—Fysisk og miljømessig sikkerhet: vurderer den fysiske sikkerheten til hvor sensitive data er plassert, enten det er i en faktisk kontorbygning eller i et lite rom med aircondition full av servere.
A.12—Operasjonssikkerhet: hva er dine interne sikkerhetsregler når det gjelder driften av selskapet ditt? Dokumentasjon som forklarer disse prosedyrene, bør vedlikeholdes og revideres ofte for å imøtekomme nye, nye forretningsbehov.
Endringsledelse, kapasitetsstyring og separasjon av forskjellige avdelinger faller alt sammen under denne overskriften.
A.13—Nettverkssikkerhetsadministrasjon: nettverkene som kobler sammen hvert system i firmaet ditt må være lufttette og nøye ivaretatt.
Fangsløsninger som brannmurer blir enda mer effektive når de suppleres med ting som hyppige verifiseringskontroller, formaliserte overføringspolitikker eller av som forbyr bruk av offentlige nettverk mens du for eksempel håndterer selskapets data.
A.14—Systemanskaffelse, utvikling og vedlikehold: hvis firmaet ikke allerede har et ISMS på plass, forklarer denne paragrafen hva et ideelt system bringer til bordet. Det hjelper deg med å sikre at omfanget av ISMS dekker alle aspekter av livssyklusen din.
En intern policy for sikker utvikling gir ingeniørene konteksten de trenger for å bygge et kompatibelt produkt fra den dagen deres arbeid begynner.
A.15—Retningslinjer for leverandørsikkerhet: hvilke forholdsregler blir tatt for å forhindre lekkasjer eller brudd på dataene som deles med dem når du gjør forretninger med tredjepartsleverandører utenfor firmaet ditt?
A.16—Informasjonssikkerhetshåndtering: når ting går galt, gir bedriften din sannsynligvis noen rammer for hvordan problemet skal rapporteres, adresseres og forhindres i fremtiden.
ISO ser etter gjengjeldelsessystemer som gjør det mulig for myndighetspersoner i selskapet å handle raskt og med store fordommer etter at en trussel er oppdaget.
A.17—Informasjonssikkerhetsaspekter av forretningskontinuitetsstyring: i tilfelle en katastrofe eller en annen usannsynlig hendelse som forstyrrer driften din ugjenkallelig, en plan må være på plass for å bevare selskapets trivsel og data til virksomheten gjenopptas som vanlig.
Tanken er at en organisasjon trenger en måte å bevare kontinuiteten i sikkerhet gjennom tider som disse.
A.18—Samsvar: til slutt kommer vi til den faktiske avtalen som et selskap må abonnere på for å oppfylle kravene til ISO 27001-sertifisering. Dine forpliktelser er lagt fram før deg. Alt du trenger å gjøre er å signere på den stiplede linjen.
ISO krever ikke lenger at kompatible selskaper bare bruker kontroller som passer inn i kategoriene som er oppført ovenfor. Listen er et flott sted å starte hvis du bare begynner å legge grunnlaget for selskapets ISMS.
I slekt: Hvordan du forbedrer oppmerksomheten din med god sikkerhetspraksis
Bør firmaet mitt revideres?
Det kommer an på. Hvis du er en veldig liten oppstart som jobber i et felt som ikke er sensitivt eller høyrisiko, kan du sannsynligvis holde ut til planene dine for fremtiden er mer sikre.
Senere, når teamet ditt vokser, kan du finne deg i en av følgende kategorier:
- Du samarbeider kanskje med en viktig klient som ber bedriften din bli vurdert for å sikre at de er trygge hos deg.
- Det kan være lurt å gå over til en børsnotering i fremtiden.
- Du har allerede blitt utsatt for brudd og trenger å tenke over måten du administrerer og beskytter bedriftens data på.
Prognoser for fremtiden kan ikke alltid være lett. Selv om du ikke ser deg selv i noen av de ovennevnte scenariene, skader det ikke å være proaktiv og å begynne å innlemme noen av ISOs anbefalte praksis i regimet ditt.
Kraften er i hendene dine
Å forberede ISMS for en revisjon er like enkelt som å ta due diligence, selv som du jobber i dag. Dokumentasjon bør alltid vedlikeholdes og arkiveres, og gir deg bevis på at du trenger å sikkerhetskopiere dine krav om kompetanse.
Det er akkurat som på ungdomsskolen: du gjør leksene, og du får karakteren. Kundene er trygge og sunne, og sjefen din er veldig fornøyd med deg. Dette er enkle vaner å lære og beholde. Du vil takke deg selv senere når mannen med utklippstavlen endelig kommer og ringer.
Her er nettangrepene du trenger å holde øye med i 2021, og hvordan du kan unngå å bli offer for dem.
Les Neste
- Sikkerhet
- Datasikkerhet
- Datasikkerhet
Emma Garofalo er en forfatter for tiden basert i Pittsburgh, Pennsylvania. Når hun ikke sliter seg ved skrivebordet sitt i mangel av bedre morgen, kan hun vanligvis bli funnet bak kameraet eller på kjøkkenet.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
