Industrija 4.0, digitalizacija i umjetna inteligencija: teško je zamisliti svakodnevni radni život bez digitalnih tokova podataka. Bez obzira koliko je vaša kompanija mala ili velika, kojoj industriji pripada, ili posluje na međunarodnom nivou ili ne, tema informacione sigurnosti se tiče svakoga. Mala i srednja preduzeća (MSP), posebno, treba da vide reviziju međunarodnog standarda za sisteme upravljanja sigurnošću informacija ISO 27001 od 2022. godine kao priliku.

Sigurnost informacija za MSP

Vremena su se promijenila – pa tako i zahtjevi za sajber sigurnost za mala i srednja preduzeća. Mnoga mala i srednja preduzeća brzo rastu i često su među tržišnim liderima u svojim sektorima. Stoga imaju odgovarajuću veliku potrebu da zaštite svoje obično jedinstveno znanje i poslovnu tajnu - ali u principu, sve svoje podatke i informacije - od neovlaštenog pristupa.

Preduzimanje mjera za ovu neophodnu zaštitu može biti složeno pitanje koje zahtijeva sistematski pristup.

Međutim, zbog svojih ograničenih resursa, mala i srednja preduzeća rijetko imaju potrebna sredstva za besprijekornu sigurnost informacija na nivou preduzeća - čak i ako su svjesna sigurnosnih rizika u cjelokupnoj slici informacione tehnologije i sigurnosti podataka. Nedostatak stručnjaka u IT sektoru i enormni troškovi vođenja vlastitog sigurnosno-operativnog centra (SOC) samo su dva od mnogih problema koji stoje na putu malim i srednjim preduzećima da optimiziraju svoju sajber sigurnost.

Ovo je još više problematično jer se mala i srednja preduzeća suočavaju sa sve većim napadima sajber kriminalaca, ne samo zbog napete geopolitičke situacije i sve većeg broja napada na lanac opskrbe. Spektar se kreće od ransomwarea koji se šalje masovno do ciljanih profesionalnih napada na pojedinačne kompanije. Napadači također sve više koriste usluge oblaka kao vektor, koje mala i srednja preduzeća (moraju) posebno često koriste iz razloga troškova i efikasnosti.

Istraživanje koje je 2024. provela njemačka osiguravajuća kompanija HDI Versicherungen otkrilo je da je 53% malih i srednjih kompanija već bilo meta sajber napada. Međutim, ova brojka ne odražava puni obim napada, već samo dokumentuje one incidente koje kompanije javno priznaju.

Preduzeće se računa kao MSP (malo i srednje preduzeće) ako nema više od 249 zaposlenih i ostvaruje godišnji promet od najviše 50 miliona eura ili ima bilansnu sumu od najviše 43 miliona eura. Ovo je definicija Evropske komisije od 06. maja 2003. godine.

Ovaj utisak potvrđuje njemačka "Gothaerova MSP studija 2024", prema kojoj sajber kriminal predstavlja najveći rizik za 48% malih i srednjih preduzeća. Prema studiji, 37% malih kompanija također očekuje da će se rizik od sajber napada dodatno povećati u narednih dvanaest mjeseci. Ovo ne uključuje one rizike informacijske sigurnosti koji uopće ne dolaze iz mreže, već su interni, uglavnom lične prirode, i igraju značajnu ulogu u kontekstu sveobuhvatne informacione sigurnosti.

ISO 27001 za mala preduzeća

Kao službenik za sigurnost informacija i službenik za zaštitu podataka male ili srednje kompanije, ovih dana gotovo da nemate izbora: morate osigurati sigurnost osjetljivih podataka i informacija. Ne radi se samo o sigurnosti informacionih tehnologija. Strukturne mjere, organizacione procedure i procesi, kao i kadrovski zahtjevi, također se moraju uzeti u obzir. Ljudski faktor također igra centralnu ulogu u informacionoj sigurnosti i mora se shodno tome uzeti u obzir.

Zlatni standard za sistematsku sigurnost informacija je međunarodni standard ISO/IEC 27001. On pruža uspostavljenu osnovu za testiranje i smjernice za implementaciju sistema upravljanja sigurnošću informacija (ISMS) – za kompanije bez obzira na njihovu organizacionu strukturu, orijentaciju ili veličinu. Aneks A novog standarda ISO/IEC 27001:2022, koji se u svom ažuriranom obliku bavi svim aspektima sigurnosti informacija – od organizacionih mjera preko ličnih i fizičkih mjera do tehničkih sigurnosnih mjera – nudi dobar uvod za male kompanije.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

ISO 27001:2022

44 korisnička pitanja i stručni odgovori

"Novi" za sigurnost informacija: korisni detalji o revidiranom ISO 27001 od korisnika i stručnjaka za standarde:

  • Šta je sa novim kontrolama?
  • Šta treba uzeti u obzir u pogledu procesne orijentacije?
  • Kada treba da pređemo na novi standard?
  • ... i mnogo više

Poboljšana IT sigurnost za MSP zahvaljujući novim kontrolama

Sama pragmatična priroda Aneksa A čini ISO 27001 dobrim izborom za male kompanije. Sastoji se od ukupno 93 mjere (kontrole) sigurnosti informacija, od kojih je 11 novo uvedeno u posljednjem ažuriranju 2022. godine.

Nove kontrole se prvenstveno fokusiraju na sigurnost podataka i struktura u digitalnom domenu i stoga nude vrijedne smjernice koje mogu značajno poboljšati sigurnost informacija za MSP. Evo pregleda nekih novih funkcija i načina na koji male kompanije mogu imati koristi od njih:

  • 5.7 Obavještajni podaci o prijetnjama, 8.16 Aktivnosti praćenja, 8.23 ​​Web filtriranje
    Ove kontrole za otkrivanje, prevenciju i pravovremeno prepoznavanje sajber napada mogu biti od gotovo egzistencijalne važnosti za MSP u smislu sigurnosti i upravljanja kontinuitetom poslovanja. Male kompanije ne samo da su ranjive na sajber kriminal zbog svojih ograničenih resursa, već mogu brzo doći do tačke opće nesolventnosti u slučaju ransomware-a.
  • 5.23 Sigurnost informacija za korištenje usluga u oblaku
    Kako mala i srednja preduzeća često koriste eksterne usluge u oblaku, implementacija prikladnih procesa za stjecanje, korištenje, upravljanje i izlazak iz usluga u oblaku je posebno relevantna. Mjera također uzima u obzir odgovornosti između pružatelja usluga u oblaku i organizacije koja koristi oblak za odgovarajuću sigurnost u oblaku.
  • 5.30 IKT spremnost za kontinuitet poslovanja
    Kontinuitet poslovanja je također od suštinskog značaja za male kompanije kao dio ponekad duboko integrisanih lanaca snabdijevanja i kako bi se finansijski gubici sveli na minimum. Kontrola "IKT Spremnost za kontinuitet poslovanja" pomaže u stvaranju odgovarajuće organizacijske strukture u slučaju incidenta i planova IKT kontinuiteta, uključujući postupke odgovora i oporavka.
  • 8.9 Upravljanje konfiguracijom
    Visoke performanse i siguran rad modernog IT pejzaža u velikoj mjeri zavisi od pravilne konfiguracije svih uključenih sistema, komponenti i aplikacija. Dobra stvar za IT sigurnost malih kompanija: Jednom konfigurisani, procesi nadzora mogu se uglavnom implementirati automatski, čime se gotovo ne stvaraju dodatni troškovi osoblja. Sigurno upravljanje konfiguracijom u informatičkoj tehnologiji spada u područje tehnoloških ili tehničkih mjera.
  • 8.10 Brisanje informacija, 8.11 Maskiranje podataka, 8.12 Spriječavanje curenja podataka
    MSP često stvaraju za sebe nišu na tržištu kroz svoju jedinstvenu stručnost. Ovo posebno znanje je ključ njihovog uspjeha i stoga je vrijedno zaštite. Tehničke mjere u informacionoj sigurnosti pomažu kompanijama da izbjegnu neželjene odlive podataka i gubitak podataka i minimiziraju površinu napada za hakere i industrijsku špijunažu.

Kontrole u Aneksu A standarda ISO 27001 su od velike vrednosti za MSP, posebno u svijetlu predstojeće NIS 2 direktive za industrijsku sajber sigurnost u EU.

NIS2: Zašto MSP trebaju jačati svoju sigurnost informacija 

Evropska unija objavila je novu verziju Direktive o mrežnoj i informacijskoj sigurnosti (NIS) krajem 2022. NIS2 postavlja nove zahtjeve za sigurnost informacija za kompanije u kritičnim sektorima i također će uticati na mnoga mala i srednja preduzeća u pogledu zaštite podataka i IT struktura.

Prema NIS2 direktivi, kompanije sa 50 ili više zaposlenih i prometom od 10 miliona eura iz relevantnih sektora moraju da ispunjavaju uslove. Mala i srednja preduzeća su kompanije sa do 249 zaposlenih i prometom od 50 miliona eura, tako da su direktno pogođena. Međutim, važno je shvatiti da čak i manja preduzeća mogu biti indirektno pogođena NIS2 preko lanca snabdijevanja, odnosno kao dobavljači pogođene kompanije. U primjeni za pojedine zemlje, koja će stupiti na snagu 17. oktobra 2024., ove granice se također mogu pomjeriti još niže.

MSP nemaju puno vremena da se pripreme za nove zahtjeve. Dobra vijest: sa ISO 27001, mala preduzeća mogu napraviti veliki korak u pravom smijeru, jer standard već pokriva veliki dio (cca. 95%) zahtjeva NIS 2.

Sigurnost informacija za MSP - Zaključak

U svjetlu trenutnih scenarija prijetnji, mala i srednja preduzeća (MSP), javne uprave i lokalne vlasti također bi trebali implementirati sistem upravljanja sigurnošću informacija u skladu sa međunarodno priznatim standardom ISO 27001 i razmotriti certifikaciju. Prednost efikasnog sistema upravljanja ne leži samo u sveobuhvatnom i detaljnom katalogu zahtjeva, već i – a to je posebno interesantno za mala i srednja preduzeća – u eksplicitno orijentisanom na praksu Aneksu A, koji navodi 93 sigurnosne mjere (kontrole) kroz četiri poglavlja u novom izdanju za 2022.

questions-answers-dqs-question mark on wooden dice on table
Loading...

Imate li pitanja?

Mi smo tu za vas.

Javite nam se! Bez obaveza i besplatno.

Što se tiče sigurnosti informacija za MSP, ne samo da se povećava potreba za implementacijom i certifikacijom potpuno razvijenog ISMS-a u skladu sa standardom ISO 27001 – pogledajte samo NIS-2 – već su se strukturni zahtjevi također fundamentalno promijenili u nekim slučajevima. To je jer danas mnoga mala i srednja preduzeća već imaju certificirani sistem upravljanja kvalitetom u skladu sa ISO 9001, što znači da su temelji za integrisani sistem upravljanja zajedno sa ISO 27001 već postavljeni, čime se štedi vrijeme, osoblje i troškovi. ISO 27001 za mala preduzeća je stoga na dohvat ruke.

 

U dobrim rukama sa DQS

Naši certifikacijski auditi pružaju vam jasnoću. Holistički, neutralni spoljašnji pogled na ljude, procese, sisteme i rezultate pokazuje koliko je efikasan vaš sistem upravljanja i kako se implementira i kontroliše. Važno nam je da naš audit ne doživljavate kao ispitivanje, već kao obogaćivanje vašeg sistema upravljanja.

Naš pristup uvijek počinje tamo gdje završavaju kontrolne liste audita. Posebno pitamo "zašto" jer želimo razumjeti razloge zašto ste odabrali određeni način implementacije. Fokusiramo se na potencijal za poboljšanje i potičemo promjenu perspektive. Ovaj temeljit pristup osigurava da ćete identificirati područja koja se mogu primijeniti za kontinuirano poboljšanje vašeg sistema upravljanja.

Savjet za čitanje: Dokumentirane informacije

Brzina kojom se informacije distribuiraju i obrađuju veliki je izazov u današnjim organizacijama. Raznolikost informacija čini sve težim da se identifikuju ključne informacije koje su relevantne za organizaciju i njen sistem upravljanja.

U isto vrijeme, korištenje modernih sredstava komunikacije za kontrolu dokumentiranih informacija dovodi do potpuno novih aspekata. Dostupnost, integritet i povjerljivost stoga postaju sve važniji. Međutim, kako se stepen dostupnosti povećava, sigurnost informacija opada ako se ne preduzmu odgovarajuće zaštitne mjere.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.

Autor
André Saeckel

Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.

Loading...

Relevantni članci i događaji

Možda će vas interesovati i:
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS naspram ISO 21434: Audit sajber sigurnosti vozila

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Lekcije naučene iz ISO 27001 - studija slučaja ENTERBRAIN softvera

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Upravljanje konfiguracijom u informacionoj sigurnosti