Το έγκλημα στον κυβερνοχώρο αποτελεί σοβαρή απειλή για τις εταιρείες όλων των κλάδων και μεγεθών - αυτό είναι ευρέως γνωστό. Το ρεπερτόριο κυμαίνεται από την κατασκοπεία έως τη δολιοφθορά και τον εκβιασμό. Ωστόσο, ο κίνδυνος δεν προέρχεται μόνο από το Διαδίκτυο. Οι ίδιοι οι υπάλληλοί σας μπορούν επίσης να αποτελέσουν σοβαρό παράγοντα κινδύνου. Ειδικά αν η εταιρεία σας δεν έχει λάβει τα κατάλληλα μέτρα - ρίξτε μια ματιά στο παράρτημα Α.7 του ISO 27001.
Ένα καλά δομημένο σύστημα διαχείρισης της ασφάλειας πληροφοριών (ISMS) σύμφωνα με το πρότυπο ISO 27001 αποτελεί τη βάση για την αποτελεσματική εφαρμογή μιας ολιστικής στρατηγικής ασφάλειας πληροφοριών. Η συστηματική προσέγγιση συμβάλλει στην προστασία των εμπιστευτικών δεδομένων της εταιρείας από απώλεια και κατάχρηση και στον αξιόπιστο εντοπισμό των πιθανών κινδύνων για την εταιρεία, στην ανάλυσή τους και στη δυνατότητα ελέγχου τους μέσω κατάλληλων μέτρων. Αυτό περιλαμβάνει πολύ περισσότερα από τις πτυχές της ασφάλειας της πληροφορικής. Η εφαρμογή των μέτρων του παραρτήματος Α του προτύπου είναι ιδιαίτερα πολύτιμη για την πράξη.
ISO/IEC 27001:2013: - Τεχνολογία πληροφοριών - Διαδικασίες ασφάλειας - Συστήματα διαχείρισης της ασφάλειας πληροφοριών - Απαιτήσεις.
Εκτός από το τμήμα απαιτήσεων που είναι προσανατολισμένο στο σύστημα διαχείρισης (κεφάλαια 4 έως 10), το παράρτημα Α του προτύπου ISO περιέχει έναν εκτενή κατάλογο 35 στόχων μέτρων (ελέγχων) με 114 συγκεκριμένα μέτρα για ένα ευρύ φάσμα πτυχών ασφάλειας σε 14 κεφάλαια.
Σημείωση: Οι δηλώσεις που αναφέρονται ως "μέτρα" στο παράρτημα Α είναι στην πραγματικότητα μεμονωμένοι στόχοι (έλεγχοι). Περιγράφουν πώς πρέπει να είναι ένα συμμορφούμενο με το πρότυπο αποτέλεσμα κατάλληλων (μεμονωμένων) μέτρων.
Οι εταιρείες θα πρέπει να χρησιμοποιούν αυτούς τους ελέγχους ως βάση για την ατομική, πιο εμπεριστατωμένη διάρθρωση της πολιτικής τους για την ασφάλεια των πληροφοριών. Όσον αφορά το θέμα του προσωπικού, ιδιαίτερο ενδιαφέρον παρουσιάζει ο στόχος του μέτρου "Ασφάλεια προσωπικού" στο προσάρτημα Α.7.
"Τα μέτρα δεν βασίζονται στη δυσπιστία των εργαζομένων, αλλά σε σαφώς δομημένες διαδικασίες προσωπικού."
Οι διαδικασίες προσωπικού διασφαλίζουν σε όλες τις φάσεις της απασχόλησης ότι ανατίθενται ευθύνες και καθήκοντα όσον αφορά την ασφάλεια των πληροφοριών και ότι παρακολουθείται η συμμόρφωση. Οι παραβιάσεις της πολιτικής για την ασφάλεια των πληροφοριών - τόσο οι σκόπιμες όσο και οι ακούσιες - δεν είναι έτσι αδύνατες, αλλά γίνονται πολύ πιο δύσκολες. Και αν το χειρότερο συμβεί, ένα αποτελεσματικό ΣΔΠΔ παρέχει στον οργανισμό τους κατάλληλους μηχανισμούς για την αντιμετώπιση της παραβίασης.
Δεν είναι σε καμία περίπτωση θέμα δυσπιστίας αν μια εταιρεία εκδίδει τις κατάλληλες κατευθυντήριες γραμμές για να κάνει πιο δύσκολη την μη εξουσιοδοτημένη πρόσβαση εκ των έσω ή, ακόμα καλύτερα, για να την αποτρέψει εντελώς. Εξάλλου, ένα πράγμα είναι σαφές: Εάν η απόλυση ενός εργαζομένου επίκειται ή έχει ήδη ανακοινωθεί, η δυσαρέσκειά του μπορεί να οδηγήσει σε στοχευμένη κλοπή δεδομένων. Αυτό συμβαίνει ιδιαίτερα όταν ο απολυμένος υπάλληλος πιστεύει ότι έχει δικαιώματα ιδιοκτησίας σε δεδομένα του έργου. Αντίθετα, μια αίτηση για μια συγκεκριμένη θέση εργασίας μπορεί να έχει ήδη γίνει με πρόθεση διάπραξης εγκληματικής πράξης.
Άλλα σενάρια υποδηλώνουν βαριά αμελή συμπεριφορά ή απλώς απερισκεψία, η οποία μπορεί να έχει εξίσου σοβαρές συνέπειες. Συμβαίνει, για παράδειγμα, ολόκληρα τμήματα πληροφορικής να μην τηρούν τους δικούς τους κανόνες - υπερβολικά δυσκίνητοι, υπερβολικά χρονοβόροι. Στο γραφείο, είναι ο απρόσεκτος χειρισμός των κωδικών πρόσβασης ή τα απροστάτευτα smartphones. Αλλά και απρόσεκτη σύνδεση των στικ USB, ανοιχτά έγγραφα στην οθόνη, μυστικά έγγραφα σε άδεια γραφεία - ο κατάλογος των πιθανών παραλείψεων είναι μακρύς.
Οι εταιρείες που έχουν εφαρμόσει ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) σύμφωνα με το πρότυπο ISO 27001 βρίσκονται σε καλύτερη θέση εδώ. Γνωρίζουν τις απαιτήσεις και το σχετικό με την πρακτική παράρτημα Α.7 του διεθνώς αναγνωρισμένου προτύπου. Διότι το ISO 27001 έχει πολλά να προσφέρει εδώ: Αν και τα μέτρα αναφοράς αναφέρονται άμεσα στις απαιτήσεις του προτύπου, στοχεύουν πάντα στην άμεση πρακτική της επιχείρησης.
Οι εταιρείες με ένα αποτελεσματικό ISMS είναι εξοικειωμένες με τους στόχους που καθορίζονται στο παράρτημα Α.7, οι οποίοι πρέπει να εφαρμόζονται με γνώμονα την ασφάλεια του προσωπικού για την πλήρη συμμόρφωση με το πρότυπο - σε όλες τις φάσεις της απασχόλησης.
Ο οργανισμός πρέπει να διασφαλίσει ότι ένας νέος εργαζόμενος κατανοεί τις μελλοντικές του αρμοδιότητες και είναι κατάλληλος για τον ρόλο του πριν από την πρόσληψή του - σύμφωνα με το παράρτημα Α.7.1. Στην ενότητα των απαιτήσεων (κεφάλαιο 7.2), το πρότυπο μιλάει για την "επάρκεια".
Ως μέτρο αναφοράς με στόχο, οι υποψήφιοι για μια θέση εργασίας λαμβάνουν πρώτα μια εξουσιοδότηση ασφαλείας που συμμορφώνεται με τις αρχές δεοντολογίας και τους ισχύοντες νόμους. Ο έλεγχος αυτός πρέπει να είναι κατάλληλος σε σχέση με τις επιχειρηματικές απαιτήσεις, τη διαβάθμιση των πληροφοριών που πρόκειται να αποκτηθούν και τους πιθανούς κινδύνους (A.7.1.1). Για να μπορέσει να επιτευχθεί αυτό, θα πρέπει, μεταξύ άλλων, να υπάρχουν, να διασφαλίζονται ή να επαληθεύονται τα ακόλουθα
Το επόμενο βήμα αφορά την απασχόληση και τους συμβατικούς όρους. Έτσι, αυτό το μέτρο αναφοράς στο παράρτημα Α του ISO/IEC 27001 αποτελείται από τη συμβατική συμφωνία σχετικά με τις ευθύνες που έχουν οι εργαζόμενοι έναντι της εταιρείας και αντίστροφα (A.7.1.2). Η επιτυχής εφαρμογή αυτής της απαίτησης περιλαμβάνει, μεταξύ άλλων, την εκπλήρωση αυτών των σημείων:
Οι εργαζόμενοι πρέπει να γνωρίζουν τις ευθύνες τους για την ασφάλεια των πληροφοριών. Αυτός είναι ο στόχος του σημείου Α.7.2, και το πιο σημαντικό είναι ότι οι εργαζόμενοι πρέπει να ανταποκρίνονται στις ευθύνες αυτές.
Το πρώτο μέτρο (A.7.2.1) στοχεύει στην υποχρέωση της διοίκησης να ενθαρρύνει τους υπαλλήλους της να εφαρμόζουν την ασφάλεια των πληροφοριών σύμφωνα με τις καθιερωμένες πολιτικές και διαδικασίες. Για το σκοπό αυτό, πρέπει να ρυθμίζονται κατ' ελάχιστον τα ακόλουθα σημεία:
Στο κεφάλαιο 7.3 "Ευαισθητοποίηση", το ISO 27001 απαιτεί από τα πρόσωπα που ασκούν σχετικές δραστηριότητες να γνωρίζουν τα εξής
Ιδιαίτερα οι νέοι εργαζόμενοι χρειάζονται τακτική ενημέρωση επί του θέματος, π.χ. μέσω ηλεκτρονικού ταχυδρομείου ή μέσω του ενδοδικτύου, πέραν της υποχρεωτικής ενημέρωσης για θέματα ασφάλειας πληροφοριών. Η συγκεκριμένη εκπαίδευση (ιδίως για τα σχέδια έκτακτης ανάγκης και τις ασκήσεις), τα ειδικά θεματικά εργαστήρια και οι εκστρατείες ευαισθητοποίησης (π.χ. μέσω αφισών) ενισχύουν την ευαισθητοποίηση σχετικά με το σύστημα διαχείρισης της ασφάλειας των πληροφοριών.
Για παράδειγμα, το μέτρο αναφοράς A.7.2.1 του παραρτήματος Α του ISO 27001 χρησιμεύει επίσης για τη δημιουργία της κατάλληλης ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών. Οι οργανισμοί πρέπει να εκπαιδεύουν και να επιμορφώνουν τους υπαλλήλους τους και, κατά περίπτωση, τους εργολάβους τους σε επαγγελματικά συναφή θέματα. Οι αντίστοιχες πολιτικές και διαδικασίες πρέπει να επικαιροποιούνται τακτικά. Μεταξύ άλλων, πρέπει να λαμβάνονται υπόψη οι ακόλουθες πτυχές:
ΣΥΜΒΟΥΛΗ: Εξασφαλίστε την καλή λειτουργία της επικοινωνίας με πολλαπλά κανάλια για τη μεταφορά γνώσεων. Αυτό οφείλεται στο γεγονός ότι η ευαισθητοποίηση σχετικά με το ΣΔΑΤ και τις συναφείς πτυχές που απαιτούνται από το πρότυπο συνδέεται στενά με τη μεταφορά γνώσεων.
Παράρτημα 7.2.3: Το μέτρο αυτό καθορίζει τον τρόπο με τον οποίο ο οργανισμός θα χειρίζεται τις επιπλήξεις σε περίπτωση παραβιάσεων της ασφάλειας των πληροφοριών. Η βάση γι' αυτό είναι μια διαδικασία διορθωτικών ενεργειών. Πρέπει να ορίζεται, να καθιερώνεται και να ανακοινώνεται επίσημα. Πρέπει να διασφαλίζονται τα ακόλουθα:
Το παράρτημα Α.7.3 του ISO 27001 καθορίζει ως στόχο μια αποτελεσματική διαδικασία τερματισμού ή αλλαγής για την προστασία των συμφερόντων του οργανισμού. Ο στόχος αυτός επικεντρώνεται στις ευθύνες για τον τερματισμό ή την αλλαγή της απασχόλησης. Κατά συνέπεια, οι ευθύνες και οι υποχρεώσεις που σχετίζονται με την ασφάλεια των πληροφοριών και παραμένουν μετά τον τερματισμό ή την αλλαγή της απασχόλησης πρέπει να ορίζονται, να κοινοποιούνται και να επιβάλλονται. Είναι λογικό να εξετάζονται αυτές οι πτυχές:
Η απειλή εκ των έσω είναι υπαρκτή - και οι περισσότερες εταιρείες το γνωρίζουν. Σύμφωνα με μια μελέτη ασφάλειας (Balabit 2018), οι εργαζόμενοι που έχουν εκτεταμένα δικαιώματα πρόσβασης είναι ιδιαίτερα ευάλωτοι σε επιθέσεις. Και δεδομένου ότι οι εργαζόμενοι εμπλέκονται στο 50% όλων των παραβιάσεων ασφαλείας, το 69% των επαγγελματιών πληροφορικής που απάντησαν θεωρεί ότι η παραβίαση δεδομένων εκ των έσω αποτελεί τον μεγαλύτερο κίνδυνο. Ωστόσο, ελάχιστα γίνονται για αυτό. Στην πράξη, είναι συχνά δύσκολο να απαγγελθούν κατηγορίες κατά του εσωτερικού προσωπικού. Ιδιαίτερα στις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), όπου οι άνθρωποι γνωρίζονται μεταξύ τους, συχνά τους αποδίδεται κάποια εμπιστοσύνη - μερικές φορές με δυσάρεστες συνέπειες. Η καλά δομημένη διαχείριση της ασφάλειας των πληροφοριών παρέχει τη βάση για τη διασφάλιση της ασφάλειας των πληροφοριών που χρήζουν προστασίας.
Στο παράρτημα Α.7, το ISO/IEC 27001 παρέχει μέτρα αναφοράς για την ασφάλεια του προσωπικού που πρέπει να εφαρμοστούν στο πλαίσιο της εισαγωγής του προτύπου. Οι εταιρείες θα πρέπει να χρησιμοποιούν αυτούς τους ελέγχους ως βάση για τον ατομικό, πιο εμπεριστατωμένο σχεδιασμό της πολιτικής τους για την ασφάλεια των πληροφοριών. Τα μέτρα δεν βασίζονται στη δυσπιστία των εργαζομένων, αλλά σε σαφώς δομημένες διαδικασίες προσωπικού.
Οι πιστοποιημένες εταιρείες εκτιμούν τα συστήματα διαχείρισης ως εργαλεία για την ανώτατη διοίκηση που δημιουργούν διαφάνεια, μειώνουν την πολυπλοκότητα και παρέχουν ασφάλεια. Ωστόσο, τα συστήματα διαχείρισης κάνουν ακόμη περισσότερα: Αξιολογούνται και πιστοποιούνται από ένα ουδέτερο και ανεξάρτητο τρίτο μέρος όπως η DQS , δημιουργούν εμπιστοσύνη στα ενδιαφερόμενα μέρη για την απόδοση της εταιρείας σας.
Πολλοί οργανισμοί εξακολουθούν να βιώνουν την πιστοποίηση ως έλεγχο συμμόρφωσης. Οι πελάτες μας, από την άλλη πλευρά, το βλέπουν ως μια ευκαιρία να επικεντρωθούν στους κρίσιμους για την επιτυχία παράγοντες και στα αποτελέσματα του συστήματος διαχείρισής τους. Επειδή οι βασικές μας ικανότητες έγκεινται στην εκτέλεση ελέγχων και αξιολογήσεων πιστοποίησης. Αυτό μας καθιστά έναν από τους κορυφαίους παρόχους παγκοσμίως με την αξίωση να θέτουμε πάντα νέα πρότυπα αξιοπιστίας, ποιότητας και προσανατολισμού στον πελάτη
Πόση δουλειά πρέπει να κάνετε για να πιστοποιήσετε το σύστημα διαχείρισης της ασφάλειας των πληροφοριών σας σύμφωνα με το πρότυπο ISO 27001; Μάθετε το δωρεάν και χωρίς καμία υποχρέωση.
Σημείωση: Τα άρθρα μας γράφονται αποκλειστικά από τους εσωτερικούς μας εμπειρογνώμονες συστημάτων διαχείρισης και μακροχρόνιους ελεγκτές. Εάν έχετε ερωτήσεις για τους συγγραφείς μας σχετικά με την ασφάλεια πληροφοριών (ISMS), παρακαλούμε επικοινωνήστε μαζί μας. Ανυπομονούμε να συζητήσουμε μαζί σας.
Υπεύθυνος προϊόντων στην DQS για τη διαχείριση της ασφάλειας πληροφοριών. Ως εμπειρογνώμονας προτύπων για τον τομέα της ασφάλειας των πληροφοριών και του καταλόγου ασφάλειας ΤΠ (κρίσιμες υποδομές), ο André Säckel είναι υπεύθυνος για τα ακόλουθα πρότυπα και τα ειδικά για τον κλάδο πρότυπα, μεταξύ άλλων: ISO 27001, ISIS12, ISO 20000-1, KRITIS και TISAX (ασφάλεια πληροφοριών στην αυτοκινητοβιομηχανία). Είναι επίσης μέλος της ομάδας εργασίας ISO/IEC JTC 1/SC 27/WG 1 ως εθνικός αντιπρόσωπος του Γερμανικού Ινστιτούτου Τυποποίησης DIN.
