בעולם הנתונים המסחרי שלנו, תקני אבטחת הסייבר צריכים להיות בשמיים וחדים כתער. מרבית החברות, גם אם אינן קשורות באופן מיידי לטכנולוגיה, יתקלו בסופו של דבר בחגורה מבפנים.
לפני יותר מעשור אימץ ארגון התקנים הבינלאומי מפרט בשם ISO 27001. אז מה זה בעצם? מה יכולה ביקורת ISO 27001 לספר לנו על ההשלכות הפנימיות של הארגון? ואיך אתה מחליט אם צריך לבצע ביקורת על החברה שלך?
מהי מערכת ניהול אבטחת מידע (ISMS)?
מערכת ניהול אבטחת מידע (ISMS) היא קו ההגנה העיקרי של הארגון מפני הפרות נתונים וסוגים אחרים של איומי סייבר מבחוץ.
ISMS יעיל מבטיח שהמידע המוגן יישאר חסוי ובטוח, נאמן למקור ונגיש לאנשים שיש להם אישור לעבוד איתו.
טעות נפוצה היא להניח ש- ISMS אינו עולה על חומת אש או אמצעי הגנה טכניים אחרים. במקום זאת, ISMS משולב לחלוטין קיים באותה מידה בתרבות החברה ובכל עובד, מהנדס או אחר. זה הרבה מעבר למחלקת ה- IT.
יותר ממדיניות ונוהל רשמי בלבד, היקף מערכת זו כולל גם את יכולת הצוות לנהל ולשכלל את המערכת. הביצוע ואופן היישום של הפרוטוקול הם החשובים ביותר.
זה כולל נקיטת גישה ארוכת טווח לניהול סיכונים והפחתה. מנהלי חברה צריכים להכיר מקרוב את כל הסיכונים הקשורים לתעשייה שהם עובדים בהם באופן ספציפי. חמושים בתובנה זו הם יוכלו לבנות את הקירות סביב עצמם בהתאם.
מהו ISO 27001, בדיוק?
בשנת 2005, הארגון הבינלאומי לתקינה (ISO) והאלקטרוטכני הבינלאומי הנציבות (חברת החשמל) שיפצה את ה- BS 7799, תקן ניהול אבטחה שהוקם לראשונה על ידי קבוצת BSI במשך 10 שנים קוֹדֶם.
עכשיו, הידוע רשמית בשם ISO / IEC 27001: 2005, ISO 27001 הוא תקן בינלאומי של תאימות המוענק לחברות הדוגמאיות בניהול אבטחת מידע.
בעיקרו של דבר, זהו אוסף קפדני של סטנדרטים שמערכת ניהול אבטחת המידע של החברה יכולה להתנגד אליהם. מסגרת זו מאפשרת למבקרים להעריך את העקשנות של המערכת כולה. חברות עשויות לבחור לבצע ביקורת כאשר הן רוצות להרגיע את לקוחותיהם ולקוחותיהם כי הנתונים שלהם בטוחים בין כתליהם.
כלול באוסף הוראות זה: מפרטים בדבר מדיניות אבטחה, נכס סיווג, אבטחה סביבתית, ניהול רשתות, תחזוקת מערכות והמשכיות עסקית תִכנוּן.
ה- ISO ריכז את כל ההיבטים הללו מאמנת BSI המקורית, וזיקק אותם לגרסה שאנו מכירים כיום.
לחפור במדיניות
מה בדיוק מעריכים כאשר חברה עוברת ביקורת ISO 27001?
מטרת התקן היא למסד מדיניות מידע יעילה ומאובטחת באופן בינלאומי. זה מתמרץ עמדה יזומה, שואפת להימנע מצרות לפני שזה קורה.
ה- ISO מדגיש שלושה היבטים חשובים של ISMS מאובטח:
1. ניתוח מתמיד והכרה בסיכון: זה כולל גם סיכונים עכשוויים וגם סיכונים שעלולים להציג את עצמם בעתיד.
2. מערכת חזקה ובטוחה: זה כולל את המערכת כפי שהיא קיימת במובן הטכני, כמו גם כל בקרות אבטחה שהארגון משתמש בהן כדי להגן על עצמו מפני הסיכונים הנ"ל. אלה ייראו שונים מאוד, תלוי בחברה ובתעשייה.
3. צוות מנהיגים מסור: אלה יהיו האנשים שמפעילים בקרות לעבוד להגנת הארגון. המערכת יעילה באותה מידה כמו אלה העובדים בהגה.
ניתוח שלושת הגורמים המרכזיים התורמים הללו מסייע למבקר לצייר תמונה מלאה יותר של יכולתה של חברה מסוימת לפעול בצורה מאובטחת. קיימות מועדפת על פני ISMS המסתמך רק על כוח טכני אכזרי.
קָשׁוּר: כיצד למנוע מהעובדים לגנוב נתוני חברה כאשר הם עוזבים
יש אלמנט אנושי חשוב שחייב להיות נוכח. האופן שבו אנשים בחברה מפעילים שליטה על הנתונים שלהם ו- ISMS שלהם מוחזק מעל לכל דבר אחר. פקדים אלה הם השומרים למעשה על הנתונים.
מהו נספח A ל- ISO 27001?
דוגמאות ספציפיות ל"בקרות "תלויות בענף. נספח A ל- ISO 27001 מציע לחברות 114 אמצעי פיקוח מוכרים רשמית על אבטחת פעילותם.
בקרות אלה מתחלקות לאחת מארבע עשרה סיווגים:
A.5 -מדיניות מידע וביטחון: המדיניות והנהלים הממוסדים שהחברה מקיימת.
A.6 -ארגון אבטחת מידע: הקצאת האחריות בארגון ביחס למסגרת ה- ISMS ויישומה. כלול כאן, באופן מוזר, גם מדיניות המסדירה את עבודת הטלוויזיה וה- שימוש במכשירים בתוך החברה.
A.7 -אבטחת משאבי אנוש: נוגע לסיפורים, לעלות על העובדים ולעובדים שמשנים תפקידים בארגון. תקני המיון ושיטות העבודה המומלצות בחינוך והכשרה מתוארים גם כאן.
A.8 -ניהול נכסים: כרוך בנתונים המטופלים. יש למלא את הנכסים, לתחזק אותם ולשמור עליהם פרטיים, גם על פני קווי מחלקה במקרים מסוימים. יש לבסס בעלות על כל נכס באופן ברור; סעיף זה ממליץ לחברות לנסח "מדיניות שימוש מקובל" הספציפית לתחום עיסוקם.
A.9 -בקרת גישה: מי רשאי לטפל בנתונים שלך, וכיצד תגביל את הגישה לעובדים מורשים בלבד? זה יכול לכלול הגדרת הרשאה מותנית במובן הטכני או גישה לבניינים נעולים בקמפוס החברה שלך.
A.10 -קריפטוגרפיה: עוסק בעיקר בהצפנה ובדרכים אחרות להגנה על נתונים במעבר. יש לנהל את פעולות המניעה הללו באופן פעיל; ה- ISO מרתיע ארגונים מלהחשיב את ההצפנה כפתרון אחד לכל אחד מכל האתגרים הניואנסים העמוקים הקשורים לאבטחת נתונים.
A.11—ביטחון פיזי וסביבתי: מעריך את האבטחה הפיזית של כל מקום בו נמצאים נתונים רגישים, בין אם בבניין משרדים בפועל ובין אם בחדר קטן וממוזג ומלא בשרתים.
A.12 -אבטחת תפעול: מהם כללי האבטחה הפנימיים שלך בכל הנוגע לתפעול החברה שלך? יש לשמור על תיעוד המסביר נהלים אלה ולעדכן לעיתים קרובות כדי לענות על צרכים עסקיים חדשים המתעוררים.
ניהול שינויים, ניהול יכולות והפרדה בין מחלקות שונות נמנים תחת כותרת זו.
A.13—ניהול אבטחת רשת: הרשתות המחברות כל מערכת בתוך החברה שלך צריכות להיות אטומות ומטופחות בקפידה.
פתרונות תפוסה כמו חומות אש הופכים ליעילים עוד יותר כאשר הם משלימים עם דברים כמו מחסומי אימות תכופים, מדיניות העברה רשמית או על ידי האוסר על שימוש ברשתות ציבוריות בזמן הטיפול בנתוני החברה שלך, למשל.
A.14—רכישת מערכות, פיתוח ותחזוקה: אם לחברה שלך עדיין לא קיים ISMS, סעיף זה מסביר מה מערכת אידיאלית מביאה לשולחן. זה עוזר לך להבטיח שהיקף ה- ISMS מכסה כל היבט במחזור חיי הייצור שלך.
מדיניות פנימית של פיתוח מאובטח מעניקה למהנדסים שלך את ההקשר שהם צריכים לבנות מוצר תואם מיום תחילת עבודתם.
A.15 -מדיניות אבטחת ספק: כאשר עושים עסקים עם ספקי צד שלישי מחוץ לחברה שלך, אילו אמצעי זהירות ננקטים כדי למנוע דליפות או הפרות של הנתונים המשותפים עימם?
A.16 -ניהול תקריות אבטחת מידע: כאשר הדברים משתבשים, סביר להניח שהחברה שלך מספקת מסגרת כלשהי כיצד לדווח, לטפל ולמנוע את הבעיה בעתיד.
ה- ISO מחפש מערכות תגמול המאפשרות לאנשי סמכות בחברה לפעול במהירות ובדעות קדומות רבות לאחר שהתגלה איום.
A.17 -היבטים של אבטחת מידע בניהול רציפות עסקית: במקרה של אסון או אירוע בלתי סביר אחר המשבש את פעולותיך באופן בלתי הפיך, תוכנית יהיה צריך להיות במקום כדי לשמר את רווחת החברה ונתוניה עד שהעסק יתחדש כ נוֹרמָלִי.
הרעיון הוא שארגון צריך דרך כלשהי לשמר את המשכיות האבטחה בתקופות כאלה.
A.18 -הענות: לבסוף, אנו מגיעים לחוזה ההסכמים האמיתי שעליו החברה חייבת להירשם כדי לעמוד בדרישות להסמכת ISO 27001. חובותיך מונחות לפניך. כל שנותר לכם לעשות הוא לחתום על הקו המקווקו.
ה- ISO אינו מחייב עוד שחברות תואמות ישתמשו רק בבקרות המתאימות לקטגוריות המפורטות לעיל. הרשימה היא מקום נהדר להתחיל אם אתה רק מתחיל להניח את הבסיס ל- ISMS של החברה שלך.
קָשׁוּר: כיצד לשפר את תשומת הלב שלך באמצעות נוהלי אבטחה טובים
האם צריך לבצע ביקורת על החברה שלי?
זה תלוי. אם אתה סטארט-אפ קטן מאוד שעוסק בתחום שאינו רגיש או בסיכון גבוה, אתה יכול כנראה להחזיק מעמד עד שתוכניותיך לעתיד יהיו ודאיות יותר.
מאוחר יותר, כאשר הצוות שלך גדל, אתה יכול למצוא את עצמך באחת מהקטגוריות הבאות:
- יתכן שאתה עובד עם לקוח חשוב שמבקש להעריך את החברה שלך על מנת להבטיח שהם יהיו בטוחים איתך.
- אולי תרצה לעבור להנפקה בעתיד.
- כבר נפלת קורבן להפרה וצריך לחשוב מחדש על הדרך בה אתה מנהל ומגן על נתוני החברה שלך.
חיזוי לעתיד לא תמיד יכול להיות קל. גם אם אינך רואה את עצמך באף אחד מהתרחישים שלעיל, לא כואב להיות יוזם ולהתחיל לשלב כמה מהנוהלים המומלצים של ה- ISO במשטר שלך.
הכוח בידיים שלך
הכנת ה- ISMS שלך לביקורת היא פשוט כמו בדיקת נאותות, כמו שאתה עובד היום. תמיד יש לשמור ולתאר את התיעוד, ולתת לך את הראיות לכך שתצטרך לגבות את טענותיך.
זה בדיוק כמו בחטיבת הביניים: אתה עושה את שיעורי הבית, ואתה מקבל את הציון. הלקוחות בריאים ושלמים, והבוס שלך שמח מאוד איתך. אלה הרגלים פשוטים ללמוד ולשמור עליהם. תודה לעצמך מאוחר יותר כאשר האיש עם הלוח סוף סוף יבוא לקרוא.
להלן מתקפות סייבר שעליך לפקוח עין בשנת 2021 וכיצד תוכל להימנע מנפילה קורבן להן.
קרא הבא
- בִּטָחוֹן
- אבטחת מחשב
- אבטחת מידע
אמה גרופאלו היא סופרת השוכנת כיום בפיטסבורג, פנסילבניה. כשלא מתעמלת ליד שולחנה מתוך רצון שיהיה מחר טוב יותר, בדרך כלל ניתן למצוא אותה מאחורי המצלמה או במטבח.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.