Gaur egun, enpresen informazioaren segurtasunaren gaia (aurrerantzean informazioaren segurtasuna deitzen zaio) munduko larrienetarikoa da. Eta hori ez da harritzekoa, herrialde askotan datu pertsonalak gordetzen eta prozesatzen dituzten erakundeen eskakizunak gogortzen direlako. Gaur egun, Errusiako legediak dokumentu-fluxuaren zati handi bat paperean mantentzea eskatzen du. Aldi berean, digitalizaziorako joera nabaria da: enpresa askok dagoeneko gordetzen dute isilpeko informazio kopuru handia bai formatu digitalean, bai paperezko dokumentuetan.
Emaitzen arabera Anti-Malware Analytical Center, inkestatuen % 86k adierazi du urtean zehar gutxienez behin ziber-erasoen ondoren gertakariak konpondu behar izan dituztela edo erabiltzaileek ezarritako araudia urratzearen ondorioz. Ildo horretan, negozioetan informazioaren segurtasuna lehenestea beharrezkoa bihurtu da.
Gaur egun, informazio korporatiboaren segurtasuna ez da baliabide teknikoen multzo bat soilik, birusen aurkakoak edo suebakiak adibidez, dagoeneko enpresaren aktiboak eta, bereziki, informazioa kudeatzeko ikuspegi integratua da. Enpresek modu ezberdinean planteatzen dituzte arazo horiei. Gaurkoan, ISO 27001 nazioarteko araua ezartzeari buruz hitz egin nahi dugu, arazo baten irtenbide gisa. Errusiako merkatuan dauden enpresentzat, ziurtagiri hori egoteak gai honetan baldintza handiak dituzten atzerriko bezero eta bazkideekin elkarreragina errazten du. ISO 27001 oso erabilia da Mendebaldean eta informazioaren segurtasunaren alorreko eskakizunak biltzen ditu, erabilitako soluzio teknikoek estali behar dituztenak, eta negozio-prozesuen garapenean ere lagundu. Horrela, estandar hau zure abantaila lehiakorra eta atzerriko enpresekin harremanetarako puntu bihur daiteke.
Informazioaren Segurtasuna Kudeatzeko Sistemaren ziurtagiri honek (aurrerantzean ISMS deitua) ISMS bat diseinatzeko jardunbide egokiak bildu zituen eta, batez ere, sistemaren funtzionamendua ziurtatzeko kontrol tresnak, segurtasun teknologikorako laguntza eskakizunak eta are gehiago aukeratzeko aukera ematen zuen. enpresako langileak kudeatzeko prozesurako. Azken finean, ulertu behar da akats teknikoak arazoaren zati bat baino ez direla. Informazioaren segurtasun kontuetan, giza faktoreak zeresan handia du, eta askoz zailagoa da hori ezabatzea edo gutxitzea.
Zure enpresak ISO 27001 ziurtagiria lortu nahi badu, baliteke dagoeneko saiatu izana hori egiteko modu erraza aurkitzen. Desilusionatu behar zaitugu: hemen ez dago bide errazik. Hala ere, erakunde bat nazioarteko informazioaren segurtasun eskakizunetarako prestatzen lagunduko duten urrats batzuk daude:
1. Lortu zuzendaritzaren laguntza
Hori begi-bistakoa dela pentsa dezakezu, baina praktikan puntu hau askotan ahaztu egiten da. Gainera, hori da ISO 27001 ezarpen-proiektuek askotan huts egiten duten arrazoi nagusietako bat. Ezarpen-proiektu estandarraren garrantzia ulertu gabe, zuzendaritzak ez du ez giza baliabide nahikorik ez aurrekontu nahikorik emango ziurtapena egiteko.
2. Ziurtagiria Prestatzeko Plana garatu
ISO 27001 ziurtagiria prestatzea lan konplexua da, hainbat lan mota dakartzana, jende askoren inplikazioa eskatzen duena eta hilabete asko (edo urteak ere) izan ditzakeena. Hori dela eta, oso garrantzitsua da proiektuaren plan zehatza sortzea: baliabideak, denbora eta pertsonen inplikazioa zorrozki definitutako zereginetara bideratu eta epeak betetzen direla kontrolatzea; bestela, baliteke lana inoiz amaituko ez izatea.
3. Ziurtagiriaren perimetroa zehaztu
Jarduera dibertsifikatuak dituen erakunde handi bat baduzu, baliteke zentzuzkoa izatea enpresaren negozioaren zati bat bakarrik ziurtatzea ISO 27001, eta horrek nabarmen murriztuko du zure proiektuaren arriskua, baita bere denbora eta kostua ere.
4. Informazioaren segurtasun politika garatzea
Dokumentu garrantzitsuenetako bat enpresaren Informazioaren Segurtasun Politika da. Zure enpresaren informazioaren segurtasun-helburuak eta informazioaren segurtasunaren kudeaketaren oinarrizko printzipioak islatu behar ditu, langile guztiek jarraitu behar dituztenak. Dokumentu honen helburua da zehaztea zer lortu nahi duen enpresaren zuzendaritzak informazioaren segurtasunaren arloan, baita hori nola ezarri eta kontrolatuko den ere.
5. Arriskuak ebaluatzeko metodologia definitu
Lan zailenetako bat arriskuak ebaluatzeko eta kudeatzeko arauak zehaztea da. Garrantzitsua da ulertzea enpresa batek onargarritzat jo ditzakeen arriskuak eta horiek murrizteko berehalako ekintzak behar dituztenak. Arau horiek gabe, ISMS ez da funtzionatuko.
Aldi berean, komeni da gogoratzea arriskuak murrizteko hartutako neurrien egokitasuna. Baina ez zenuke gehiegi eraman behar optimizazio-prozesuarekin, denbora-kostu handiak edo finantza-kostuak ere suposatzen dituztelako edo, besterik gabe, ezinezkoa izan daitekeelako. Arriskuak murrizteko neurriak garatzerakoan "gutxieneko nahikotasun" printzipioa erabiltzea gomendatzen dugu.
6. Arriskuak kudeatzea onartutako metodologia baten arabera
Hurrengo fasea arriskuak kudeatzeko metodologiaren aplikazio koherentea da, hau da, horien ebaluazioa eta prozesamendua. Prozesu hau erregulartasunez egin behar da arreta handiz. Informazioaren segurtasuneko arriskuen erregistroa eguneratuta mantenduz, enpresaren baliabideak modu eraginkorrean esleitu eta gertakari larriak saihestu ahal izango dituzu.
7. Arriskuen tratamendua planifikatu
Zure enpresarentzat maila onargarria gainditzen duten arriskuak arriskuak tratatzeko planean sartu behar dira. Arriskuak murrizteko ekintzak erregistratu behar ditu, baita horien arduradunak eta epeak ere.
8. Bete Aplikatzeko Adierazpena
Funtsezko dokumentua da, egiaztapen-erakundeko espezialistek aztertuko dutena auditoretzan. Zure enpresaren jardueretan informazioaren segurtasun-kontrolak zeintzuk diren deskribatu behar du.
9. Informazioaren segurtasun-kontrolen eraginkortasuna nola neurtuko den zehaztea.
Edozein ekintzak finkatutako helburuak betetzera daraman emaitza izan behar du. Horregatik, garrantzitsua da argi zehaztea zein parametrorekin neurtuko den helburuen lorpena bai informazioaren segurtasuna kudeatzeko sistema osorako bai Aplikatzeko Eranskinetik aukeratutako kontrol-mekanismo bakoitzeko.
10. Informazioaren segurtasun kontrolak ezartzea
Eta aurreko urrats guztiak amaitu ondoren soilik hasi beharko zenuke aplikagarritasunaren eranskineko informazio-segurtasun kontrola aplikagarriak ezartzen. Hemengo erronkarik handiena, noski, zure erakundeko prozesu askotan gauzak egiteko modu guztiz berri bat sartzea izango da. Jendeak politika eta prozedura berriei aurre egin ohi die, beraz, arreta jarri hurrengo puntuari.
11. Langileentzako prestakuntza-programak ezartzea
Goian deskribatutako puntu guztiek ez dute zentzurik izango zure langileek proiektuaren garrantzia ulertzen ez badute eta informazioaren segurtasun politiken arabera jokatzen ez badute. Zure langileek arau berri guztiak bete ditzaten nahi baduzu, lehenik eta behin jendeari zergatik diren beharrezkoak azaldu behar diezu, eta ondoren ISMSari buruzko prestakuntza eman, langileek eguneroko lanean kontuan izan behar dituzten politika garrantzitsu guztiak nabarmenduz. Langileen prestakuntza falta da ISO 27001 proiektuaren porrotaren arrazoi ohikoa.
12. ISMS prozesuak mantentzea
Une honetan, ISO 27001 eguneroko errutina bihurtzen da zure erakundean. Informazioaren segurtasun-kontrolak arauaren arabera ezartzea baieztatzeko, auditoreek erregistroak eman beharko dituzte, kontrolen benetako funtzionamenduaren froga. Baina, batez ere, erregistroek zure langileek (eta hornitzaileek) beren zereginak onartutako arauen arabera betetzen dituzten ala ez kontrolatzen lagundu behar dizute.
13. Kontrolatu zure ISMS
Zer gertatzen ari da zure ISMSarekin? Zenbat gorabehera dituzu, zein motatakoak dira? Prozedura guztiak behar bezala betetzen al dira? Galdera hauekin, konpainiak informazioaren segurtasun-helburuak betetzen dituen egiaztatu beharko zenuke. Hala ez bada, egoera zuzentzeko plan bat garatu behar duzu.
14. ISMS barne auditoria bat egitea
Barne auditoretzaren helburua da enpresaren benetako prozesuen eta onartutako informazioaren segurtasun politiken arteko inkoherentziak identifikatzea. Gehienetan, zure langileek arauak zein ondo betetzen dituzten egiaztatzea da. Oso puntu garrantzitsua da, izan ere, zure langileen lana kontrolatzen ez baduzu, erakundeak kalteak jasan ditzake (nahita edo nahi gabe). Baina hemen helburua ez da politikak ez betetzeagatik errudunak aurkitzea eta diziplinatzea, egoera zuzentzea eta etorkizuneko arazoak saihestea baizik.
15. Antolatu kudeaketaren berrikuspena
Zuzendaritzak ez du zure suebakia konfiguratu behar, baina jakin beharko luke zer gertatzen ari den ISMSan: adibidez, bakoitzak bere erantzukizunak betetzen dituen ala ez eta ISMSak helburuko emaitzak lortzen dituen. Horretan oinarrituta, zuzendaritzak funtsezko erabakiak hartu behar ditu ISMS eta barneko negozio-prozesuak hobetzeko.
16. Ekintza zuzentzaile eta prebentiboen sistema bat ezartzea
Edozein arauk bezala, ISO 27001ek βetengabeko hobekuntzaβ eskatzen du: informazio-segurtasuna kudeatzeko sistemaren inkoherentziak sistematikoki zuzentzea eta prebenitzea. Ekintza zuzentzaile eta prebentiboen bidez, ez-adostasuna zuzendu daiteke eta etorkizunean berriro gerta ez dadin.
Amaitzeko, esan nahiko nuke, hain zuzen ere, ziurtagiria lortzea hainbat iturritan deskribatutakoa baino askoz zailagoa dela. Hori egiaztatzen du Errusian gaur egun bakarrik daudela betetzen direla ziurtatu dute. Aldi berean, estandar ezagunenetako bat da atzerrian, eta informazio-segurtasunaren alorreko negozioen eskakizun gero eta handiagoak asetzen ditu. Ezartzeko eskari hori mehatxu moten hazkundeari eta konplexutasunari ez ezik, legediaren eskakizunei ere zor zaie, baita datuen erabateko konfidentzialtasunari eutsi behar dioten bezeroei ere.
ISMS ziurtagiria lan erraza ez den arren, ISO/IEC 27001 nazioarteko arauaren eskakizunak betetzeak abantaila lehiakor larria eman dezake merkatu globalean. Espero dugu gure artikuluak hasierako ulermena eman izana enpresa bat ziurtapenerako prestatzeko funtsezko faseak.
Iturria: www.habr.com