Actualment, el tema de la seguretat de la informació (d'ara endavant anomenada seguretat de la informació) de les empreses és un dels més urgents del món. I això no és sorprenent, perquè a molts països hi ha un enduriment dels requisits per a les organitzacions que emmagatzemen i processen dades personals. Actualment, la legislació russa exigeix mantenir una proporció significativa del flux de documents en paper. Al mateix temps, es nota la tendència a la digitalització: moltes empreses ja emmagatzemen una gran quantitat d'informació confidencial tant en format digital com en forma de documents en paper.
Segons els resultats Anti-Malware Analytical Center, el 86% dels enquestats va assenyalar que durant l'any almenys una vegada van haver de resoldre incidents després d'atacs cibernètics o com a conseqüència de les infraccions dels usuaris de la normativa establerta. En aquest sentit, prioritzar la seguretat de la informació a les empreses s'ha convertit en una necessitat.
Actualment, la seguretat de la informació corporativa no és només un conjunt de mitjans tècnics, com ara antivirus o tallafocs, sinó que ja és un enfocament integrat per gestionar els actius de l'empresa en general i la informació en particular. Les empreses aborden aquests problemes de manera diferent. Avui ens agradaria parlar de la implementació de la norma internacional ISO 27001 com a solució a aquest problema. Per a les empreses del mercat rus, la presència d'aquest certificat simplifica la interacció amb clients i socis estrangers que tenen alts requisits en aquesta matèria. La norma ISO 27001 s'utilitza àmpliament a Occident i cobreix requisits en l'àmbit de la seguretat de la informació, que haurien de ser coberts per les solucions tècniques utilitzades, i també contribuir al desenvolupament dels processos empresarials. Així, aquest estàndard pot esdevenir el vostre avantatge competitiu i un punt de contacte amb empreses estrangeres.
Aquesta certificació del Sistema de Gestió de la Seguretat de la Informació (d'ara endavant SGSI) recollia les millors pràctiques per dissenyar un SGSI i, sobretot, preveia la possibilitat d'escollir eines de control per garantir el funcionament del sistema, requisits de suport de seguretat tecnològica i fins i tot. per al procés de gestió de personal a l'empresa. Després de tot, cal entendre que les fallades tècniques només són una part del problema. En matèria de seguretat de la informació, el factor humà juga un paper molt important, i és molt més difícil eliminar-lo o minimitzar-lo.
Si la vostra empresa vol obtenir la certificació ISO 27001, potser ja heu provat de trobar la manera fàcil de fer-ho. Us hem de decebre: aquí no hi ha maneres fàcils. Tanmateix, hi ha alguns passos que ajudaran a preparar una organització per als requisits internacionals de seguretat de la informació:
1. Obteniu suport de la direcció
Potser penseu que això és obvi, però a la pràctica aquest punt sovint es passa per alt. A més, aquesta és una de les principals raons per les quals els projectes d'implementació de la ISO 27001 sovint fracassen. Sense comprendre la importància del projecte d'implementació estàndard, la direcció no proporcionarà recursos humans suficients ni pressupost suficient per a la certificació.
2. Desenvolupar un Pla de Preparació per a la Certificació
La preparació per a la certificació ISO 27001 és una tasca complexa que implica molts tipus de treballs diferents, requereix la implicació d'un gran nombre de persones i pot trigar molts mesos (o fins i tot anys). Per tant, és molt important crear un pla de projecte detallat: destinar recursos, temps i implicació de les persones a tasques estrictament definides i supervisar el compliment dels terminis; en cas contrari, és possible que no acabis mai el treball.
3. Definir el perímetre de certificació
Si teniu una organització gran amb activitats diversificades, pot tenir sentit certificar només una part del negoci de l'empresa segons la norma ISO 27001, la qual cosa reduirà significativament el risc del vostre projecte, així com el seu temps i cost.
4. Desenvolupar una política de seguretat de la informació
Un dels documents més importants és la Política de Seguretat de la Informació de l'empresa. Ha de reflectir els objectius de seguretat de la informació de la vostra empresa i els principis bàsics de la gestió de la seguretat de la informació, que han de seguir tots els empleats. L'objectiu d'aquest document és determinar què vol aconseguir la direcció de l'empresa en l'àmbit de la seguretat de la informació, així com com s'implementarà i controlarà.
5. Definir una metodologia d'avaluació de riscos
Una de les tasques més difícils és definir regles per a l'avaluació i la gestió del risc. És important entendre quins riscos una empresa pot considerar acceptables i quins requereixen una acció immediata per reduir-los. Sense aquestes regles, l'ISMS no funcionarà.
Al mateix temps, val la pena recordar l'adequació de les mesures adoptades per reduir els riscos. Però no us heu de deixar portar massa amb el procés d'optimització, perquè també comporten grans costos de temps o econòmics o simplement poden ser impossibles. Us recomanem que utilitzeu el principi de "suficiència mínima" a l'hora de desenvolupar mesures de reducció de riscos.
6. Gestionar els riscos segons una metodologia aprovada
La següent etapa és l'aplicació coherent de la metodologia de gestió del risc, és a dir, la seva avaluació i processament. Aquest procés s'ha de dur a terme de manera regular amb molta cura. Si manteniu el registre de riscos de seguretat de la informació actualitzat, podreu assignar eficaçment els recursos de l'empresa i prevenir incidents greus.
7. Planificar el tractament del risc
Els riscos que superin un nivell acceptable per a la vostra empresa s'han d'incloure en el pla de tractament de riscos. Ha de registrar les actuacions destinades a reduir els riscos, així com les persones responsables i els terminis.
8. Ompliu la Declaració d'aplicabilitat
Aquest és un document clau que serà estudiat per especialistes de l'organisme de certificació durant l'auditoria. Hauria de descriure quins controls de seguretat de la informació s'apliquen a les activitats de la vostra empresa.
9. Determinar com es mesurarà l'eficàcia dels controls de seguretat de la informació.
Qualsevol acció ha de tenir un resultat que condueixi a l'assoliment dels objectius establerts. Per tant, és important definir clarament amb quins paràmetres es mesurarà l'assoliment dels objectius tant per a tot el sistema de gestió de la seguretat de la informació com per a cada mecanisme de control seleccionat a partir de l'Annex d'Aplicabilitat.
10. Implementar controls de seguretat de la informació
I només després de completar tots els passos anteriors haureu de començar a implementar els controls de seguretat de la informació aplicables de l'Apèndix d'aplicabilitat. El repte més gran aquí, per descomptat, serà introduir una manera completament nova de fer les coses en molts dels processos de la vostra organització. La gent tendeix a resistir les noves polítiques i procediments, així que presteu atenció al següent punt.
11. Implementar programes de formació per als empleats
Tots els punts descrits anteriorment no tindran sentit si els vostres empleats no entenen la importància del projecte i no actuen d'acord amb les polítiques de seguretat de la informació. Si vols que el teu personal compleixi amb totes les noves normes, primer has d'explicar a la gent per què són necessàries, i després impartir formació sobre el ISMS, destacant totes les polítiques importants que els empleats han de tenir en compte en el seu treball diari. La manca de formació del personal és una raó habitual del fracàs del projecte ISO 27001.
12. Mantenir els processos ISMS
En aquest moment, la ISO 27001 es converteix en una rutina diària a la vostra organització. Per confirmar la implementació dels controls de seguretat de la informació d'acord amb l'estàndard, els auditors hauran de proporcionar registres: evidència del funcionament real dels controls. Però sobretot, els registres haurien d'ajudar-vos a fer un seguiment de si els vostres empleats (i proveïdors) realitzen les seves tasques d'acord amb les normes aprovades.
13. Superviseu el vostre ISMS
Què està passant amb el teu ISMS? Quantes incidències tens, de quin tipus són? Es segueixen tots els procediments correctament? Amb aquestes preguntes, hauríeu de comprovar si l'empresa compleix els seus objectius de seguretat de la informació. En cas contrari, heu de desenvolupar un pla per corregir la situació.
14. Realitzar una auditoria interna del SGSI
L'objectiu de l'auditoria interna és identificar les incoherències entre els processos reals de l'empresa i les polítiques de seguretat de la informació aprovades. En la seva major part, es tracta de comprovar si els vostres empleats segueixen les regles. Aquest és un punt molt important, perquè si no controles el treball del teu personal, l'organització pot patir danys (intencionats o no). Però l'objectiu aquí no és trobar els culpables i disciplinar-los per l'incompliment de les polítiques, sinó corregir la situació i prevenir futurs problemes.
15. Organitzar una revisió de la direcció
La direcció no hauria de configurar el vostre tallafoc, però hauria de saber què passa al ISMS: per exemple, si tothom compleix les seves responsabilitats i si el ISMS està aconseguint els seus resultats objectiu. A partir d'això, la direcció ha de prendre decisions clau per millorar el ISMS i els processos interns de negoci.
16. Introduir un sistema d'accions correctives i preventives
Com qualsevol norma, la ISO 27001 exigeix la “millora contínua”: la correcció sistemàtica i la prevenció d'incoherències en el sistema de gestió de la seguretat de la informació. Mitjançant accions correctives i preventives, la no conformitat es pot corregir i evitar que es torni a produir en el futur.
En conclusió, m'agradaria dir que, de fet, obtenir la certificació és molt més difícil del que es descriu en diverses fonts. Això es confirma pel fet que a Rússia avui només n'hi ha han estat certificats per al seu compliment. Al mateix temps, aquest és un dels estàndards més populars a l'estranger, que compleix les creixents demandes de les empreses en l'àmbit de la seguretat de la informació. Aquesta demanda d'implementació es deu no només al creixement i complexitat dels tipus d'amenaces, sinó també als requisits de la legislació, així com als clients que necessiten mantenir la total confidencialitat de les seves dades.
Tot i que la certificació ISMS no és una tasca fàcil, el fet mateix de complir els requisits de la norma internacional ISO/IEC 27001 pot proporcionar un avantatge competitiu seriós al mercat global. Esperem que el nostre article hagi proporcionat una comprensió inicial de les etapes clau en la preparació d'una empresa per a la certificació.
Font: www.habr.com