Γιατί το ενημερωμένο πρότυπο ISO 27001 έχει σημασία για την ασφάλεια κάθε επιχείρησης

Γιατί το ενημερωμένο πρότυπο ISO 27001 έχει σημασία για την ασφάλεια κάθε επιχείρησης

November 27, 2022 0 Von admin

Ρίξτε μια ματιά στις συνεδρίες κατ‘ απαίτηση από τη Σύνοδο Κορυφής Low-Code/No-Code για να μάθετε πώς να καινοτομείτε με επιτυχία και να επιτύχετε αποτελεσματικότητα, αναβαθμίζοντας και κλιμακώνοντας τους πολίτες προγραμματιστές. Παρακολουθήσετε τώρα.


Το πρωί της 4ης Αυγούστου 2022, η Advanced, προμηθευτής της Εθνικής Υπηρεσίας Υγείας του Ηνωμένου Βασιλείου (NHS), επλήγη από μια μεγάλη κυβερνοεπίθεση. Βασικές υπηρεσίες, συμπεριλαμβανομένου του NHS 111 (τη γραμμή υγειονομικής βοήθειας του NHS 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα) και των κέντρων επείγουσας θεραπείας τέθηκαν εκτός σύνδεσης, προκαλώντας εκτεταμένη αναστάτωση. Αυτή η επίθεση χρησίμευσε ως μια βάναυση υπενθύμιση του τι μπορεί να συμβεί χωρίς ένα τυποποιημένο σύνολο ελέγχων. Για να προστατευτούν, οι οργανισμοί θα πρέπει να προσέξουν το ISO 27001.

Το ISO 27001 είναι ένα διεθνώς αναγνωρισμένο πρότυπο Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Δημοσιεύτηκε για πρώτη φορά το 2005 για να βοηθήσει τις επιχειρήσεις να εφαρμόσουν και να διατηρήσουν ένα σταθερό πλαίσιο ασφάλειας πληροφοριών για τη διαχείριση κινδύνων όπως οι κυβερνοεπιθέσεις, οι διαρροές δεδομένων και η κλοπή. Από τις 25 Οκτωβρίου 2022, έχει ενημερωθεί με πολλούς σημαντικούς τρόπους.

Το πρότυπο αποτελείται από ένα σύνολο ρητρών (ρήτρες 4 έως 10) που ορίζουν το σύστημα διαχείρισης και από το παράρτημα Α που ορίζει ένα σύνολο ελέγχων. Οι ρήτρες περιλαμβάνουν τη διαχείριση κινδύνου, το πεδίο εφαρμογής και την πολιτική ασφάλειας πληροφοριών, ενώ οι έλεγχοι του Παραρτήματος Α περιλαμβάνουν τη διαχείριση ενημερώσεων κώδικα, την προστασία από ιούς και τον έλεγχο πρόσβασης. Αξίζει να σημειωθεί ότι δεν είναι όλοι οι έλεγχοι υποχρεωτικοί. οι επιχειρήσεις μπορούν να επιλέξουν να χρησιμοποιήσουν αυτά που τους ταιριάζουν καλύτερα.

Γιατί ενημερώνεται το ISO 27001;

Έχουν περάσει εννέα χρόνια από την τελευταία φορά που ενημερώθηκε το πρότυπο και σε αυτό το διάστημα, ο κόσμος της τεχνολογίας άλλαξε βαθιά. Οι νέες τεχνολογίες έχουν αναπτυχθεί και κυριαρχούν στον κλάδο και αυτό έχει σίγουρα αφήσει το στίγμα του στο τοπίο της κυβερνοασφάλειας.

Εκδήλωση

Ευφυής Σύνοδος Ασφάλειας

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου στις 8 Δεκεμβρίου. Εγγραφείτε για το δωρεάν πάσο σας σήμερα.

Κάνε εγγραφή τώρα

Έχοντας υπόψη αυτές τις αλλαγές, το πρότυπο έχει αναθεωρηθεί και αναθεωρηθεί για να αντικατοπτρίζει την κατάσταση της ασφάλειας στον κυβερνοχώρο και των πληροφοριών σήμερα. Έχουμε ήδη δει το ISO 27002 (την καθοδήγηση σχετικά με την εφαρμογή των ελέγχων του Παραρτήματος Α) ενημερωμένο. Ο αριθμός των ελέγχων μειώθηκε από 114 σε 93, μια διαδικασία που συνδύαζε αρκετούς προηγουμένως υπάρχοντες ελέγχους και πρόσθεσε 11 νέους.

Πολλά από τα νέα χειριστήρια είχαν σχεδιαστεί για να ευθυγραμμίσουν το πρότυπο με τη σύγχρονη τεχνολογία. Υπάρχει τώρα, για παράδειγμα, ένας νέος έλεγχος για την τεχνολογία cloud. Όταν δημιουργήθηκαν για πρώτη φορά τα στοιχεία ελέγχου το 2013, το cloud εξακολουθούσε να εμφανίζεται. Σήμερα, η τεχνολογία cloud είναι κυρίαρχη δύναμη στον τομέα της τεχνολογίας. Τα νέα στοιχεία ελέγχου συμβάλλουν έτσι στην ενημέρωση του προτύπου.

Τον Οκτώβριο, το ISO 27001 ενημερώθηκε και ευθυγραμμίστηκε με τη νέα έκδοση του ISO 27002. Οι επιχειρήσεις μπορούν πλέον να επιτύχουν συμμόρφωση με τους ενημερωμένους ελέγχους του 2022, πιστοποιώντας ότι πληρούν αυτό το νέο πρότυπο, αντί της απαρχαιωμένης πλέον λίστας από το 2013.

Πώς μπορεί να ωφελήσει την επιχείρησή σας η πιστοποίηση ISO 27001;

Η εφαρμογή του ISO 27001 φέρνει μια σειρά από πλεονεκτήματα ασφάλειας πληροφοριών που ωφελούν τις εταιρείες από την αρχή.

Οι εταιρείες που έχουν επενδύσει χρόνο στην επίτευξη της πιστοποίησης ISO 27001 θα αναγνωρίζονται από τους πελάτες τους ως οργανισμοί που λαμβάνουν σοβαρά υπόψη την ασφάλεια των πληροφοριών. Οι εταιρείες που επικεντρώνονται στις ανάγκες των πελατών τους θα πρέπει να θέλουν να αντιμετωπίσουν το γενικό αίσθημα ανασφάλειας στο μυαλό των χρηστών τους.

Επιπλέον, ως μέρος των ολοένα και πιο αυστηρών διαδικασιών δέουσας επιμέλειας που αναλαμβάνουν τώρα πολλές εταιρείες, το ISO 27001 καθίσταται υποχρεωτικό. Ως εκ τούτου, οι οργανισμοί θα επωφεληθούν αν αναλάβουν την πρωτοβουλία νωρίς για να αποφύγουν την εμπορική απώλεια.

Στην περίπτωση της κυβερνοάμυνας, η πρόληψη είναι πάντα καλύτερη από τη θεραπεία. Οι επιθέσεις σημαίνουν αναστάτωση, η οποία σχεδόν πάντα αποδεικνύεται δαπανηρή για έναν οργανισμό, τόσο όσον αφορά τη φήμη όσο και τα οικονομικά. Επομένως, θα μπορούσαμε να δούμε το ISO 27001 ως μια μορφή κυβερνοασφάλισης, όπου λαμβάνονται προληπτικά τα σωστά βήματα για την εξοικονόμηση χρημάτων των οργανισμών μακροπρόθεσμα.

Υπάρχει και το θέμα της εκπαίδευσης. Συχνά, το πιο αδύναμο σημείο ενός οργανισμού, και επομένως το πιο συχνά στοχευμένο σημείο, είναι ο χρήστης. Τα παραβιασμένα διαπιστευτήρια χρήστη μπορεί να οδηγήσουν σε παραβιάσεις δεδομένων και σε παραβιάσεις υπηρεσιών. Εάν οι χρήστες γνώριζαν περισσότερο τη φύση των απειλών που αντιμετωπίζουν, η πιθανότητα να παραβιαστούν τα διαπιστευτήριά τους θα μειωνόταν σημαντικά. Το ISO 27001 προσφέρει σαφή και πειστικά βήματα για την εκπαίδευση των χρηστών σχετικά με τους κινδύνους που αντιμετωπίζουν.

Τελικά, ό,τι και αν κάνει μια επιχείρηση να επιλέξει την εφαρμογή του ISO 27001, το κλειδί για να αξιοποιήσει στο έπακρο αυτό είναι η ενσωμάτωση των διαδικασιών και των διαδικασιών της στην καθημερινή τους δραστηριότητα.

Ξεπερνώντας την πρόκληση της πιστοποίησης ISO 27001

Πολλές εταιρείες έχουν ήδη εφαρμόσει πολλούς ελέγχους από το ISO 27001, συμπεριλαμβανομένου του ελέγχου πρόσβασης, των διαδικασιών δημιουργίας αντιγράφων ασφαλείας και της εκπαίδευσης. Μπορεί να φαίνεται με την πρώτη ματιά ότι, ως αποτέλεσμα, έχουν ήδη επιτύχει υψηλότερο επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρο τον οργανισμό τους. Ωστόσο, αυτό που συνεχίζουν να τους λείπει είναι ένα ολοκληρωμένο σύστημα διαχείρισης για την πραγματική διαχείριση της ασφάλειας πληροφοριών του οργανισμού, διασφαλίζοντας ότι ευθυγραμμίζεται με τους επιχειρηματικούς στόχους, συνδέεται με έναν κύκλο συνεχούς βελτίωσης και αποτελεί μέρος των επιχειρηματικών δραστηριοτήτων.

Ενώ τα οφέλη του ISO 27001 μπορεί να είναι προφανή σε πολλούς στον κλάδο της τεχνολογίας, η υπέρβαση των εμποδίων στην πιστοποίηση δεν είναι καθόλου απλή. Ακολουθούν ορισμένα βήματα που πρέπει να ακολουθήσετε για την αντιμετώπιση δύο από τα μεγαλύτερα ζητήματα που επιβαρύνουν τους οργανισμούς που αναζητούν πιστοποίηση ISO 27001:

  • Πόροι — χρόνος, χρήμα και ανθρώπινο δυναμικό: Οι επιχειρήσεις θα αναρωτηθούν: Πώς μπορούμε να βρούμε τον επιπλέον προϋπολογισμό και να αφιερώσουμε τον πεπερασμένο χρόνο των εργαζομένων μας σε ένα έργο που θα μπορούσε να διαρκέσει έξι έως εννέα μήνες; Το κλειδί εδώ είναι να εμπιστευτείτε τους ειδικούς του κλάδου στην επιχείρησή σας. Είναι οι άνθρωποι που θα εφαρμόζουν το πρότυπο καθημερινά και θα πρέπει να τεθούν στο τιμόνι.
  • Έλλειψη εσωτερικής γνώσης: Πώς μπορούν οι επιχειρήσεις που δεν έχουν προηγούμενη εμπειρία στην εφαρμογή του προτύπου να το κάνουν σωστά; Σε αυτήν την περίπτωση, σας συμβουλεύουμε να φέρετε τεχνογνωσία τρίτων. Εξωτερικοί ειδικοί τα έχουν κάνει όλα αυτά στο παρελθόν: Έχουν ήδη κάνει τα λάθη και έχουν μάθει από αυτά, που σημαίνει ότι μπορούν να έρθουν στον οργανισμό σας εστιασμένοι απευθείας στην εφαρμογή του τι λειτουργεί. Μακροπρόθεσμα, η σωστή από την αρχή είναι μια πιο οικονομική στρατηγική, επειδή θα επιτύχει την πιστοποίηση σε συντομότερο χρόνο.

Επόμενα βήματα προς ένα επιτυχημένο μέλλον

Ενώ το να κάνετε όλα αυτά πραγματικότητα για την επιχείρησή σας μπορεί να φαίνεται τρομακτικό, με το σωστό σχέδιο σε εφαρμογή, οι επιχειρήσεις μπορούν γρήγορα να επωφεληθούν από όλα όσα έχει να προσφέρει η πιστοποίηση ISO 27001.

Είναι επίσης σημαντικό να αναγνωρίσουμε ότι αυτός ο Οκτώβριος δεν ήταν το σημείο αποκοπής για τις επιχειρήσεις να επιτύχουν την πιστοποίηση για τη νέα έκδοση του προτύπου. Οι επιχειρήσεις θα έχουν στη διάθεσή τους μερικούς μήνες για να είναι έτοιμοι οι φορείς πιστοποίησης να προσφέρουν πιστοποίηση και πιθανότατα θα υπάρξει μια διετής μεταβατική περίοδος μετά τη δημοσίευση του νέου προτύπου προτού αποσυρθεί πλήρως το ISO 27001:2013.

Τελικά, είναι ζωτικής σημασίας να θυμόμαστε ότι ενώ η εφαρμογή συνοδεύεται από προκλήσεις, η συμμόρφωση με το ISO 27001 είναι ανεκτίμητη για τις επιχειρήσεις που θέλουν να χτίσουν τη φήμη τους ως αξιόπιστοι και ασφαλείς συνεργάτες στον σημερινό κόσμο που είναι υπερσυνδεδεμένος.

Ο Nicky Whiting είναι διευθυντής συμβούλων στο Defense.com.

DataDecisionMakers

Καλώς ήρθατε στην κοινότητα του VentureBeat!

Το DataDecisionMakers είναι όπου οι ειδικοί, συμπεριλαμβανομένων των τεχνικών που ασχολούνται με τα δεδομένα, μπορούν να μοιράζονται πληροφορίες και καινοτομίες που σχετίζονται με δεδομένα.

Εάν θέλετε να διαβάσετε για ιδέες αιχμής και ενημερωμένες πληροφορίες, τις βέλτιστες πρακτικές και το μέλλον των δεδομένων και της τεχνολογίας δεδομένων, ελάτε μαζί μας στο DataDecisionMakers.

Ίσως ακόμη και να σκεφτείτε να συνεισφέρετε ένα δικό σας άρθρο!

Διαβάστε περισσότερα από το DataDecisionMakers