Nykyään yritysten tietoturvakysymys (jäljempänä tietoturva) on yksi maailman kiireellisimmistä. Eikä tämä ole yllättävää, koska monissa maissa henkilötietoja tallentaville ja käsitteleville organisaatioille asetettuja vaatimuksia kiristetään. Tällä hetkellä Venäjän lainsäädäntö edellyttää, että merkittävä osa asiakirjavirrasta säilytetään paperimuodossa. Samalla on havaittavissa suuntaus digitalisaatioon: monet yritykset tallentavat jo nyt suuren määrän luottamuksellista tietoa sekä digitaalisessa muodossa että paperiasiakirjojen muodossa.
Tulosten perusteella Anti-Malware Analytical Center, 86 % vastaajista totesi, että he joutuivat vuoden aikana ainakin kerran ratkaisemaan tapauksia kyberhyökkäysten jälkeen tai käyttäjien vakiintuneiden määräysten rikkomisen seurauksena. Tässä mielessä tietoturvan priorisoinnista liiketoiminnassa on tullut välttämättömyys.
Tällä hetkellä yritysten tietoturva ei ole vain joukko teknisiä keinoja, kuten virustorjunta tai palomuuri, vaan se on jo integroitu lähestymistapa yrityksen omaisuuden ja erityisesti tietojen käsittelyyn. Yritykset suhtautuvat näihin ongelmiin eri tavalla. Tänään haluamme puhua kansainvälisen ISO 27001 -standardin käyttöönotosta ratkaisuna tällaiseen ongelmaan. Venäjän markkinoilla toimiville yrityksille tällaisen sertifikaatin olemassaolo yksinkertaistaa vuorovaikutusta ulkomaisten asiakkaiden ja kumppaneiden kanssa, joilla on korkeat vaatimukset tässä asiassa. ISO 27001 on laajalti käytössä lännessä ja kattaa tietoturva-alan vaatimukset, jotka tulee kattaa käytettävillä teknisillä ratkaisuilla ja edistää myös liiketoimintaprosessien kehitystä. Tästä standardista voi siis muodostua kilpailuetusi ja yhteyspiste ulkomaisten yritysten kanssa.
Tämä tietoturvallisuuden hallintajärjestelmän (jäljempänä ISMS) sertifiointi kokosi ISMS:n suunnittelun parhaat käytännöt ja, mikä tärkeintä, tarjosi mahdollisuuden valita ohjaustyökaluja järjestelmän toiminnan varmistamiseksi, teknologisen turvatuen vaatimukset ja jopa yrityksen henkilöstöjohtamisprosessiin. Loppujen lopuksi on ymmärrettävä, että tekniset viat ovat vain osa ongelmaa. Tietoturvaasioissa inhimillisellä tekijällä on valtava rooli, ja sen poistaminen tai minimointi on paljon vaikeampaa.
Jos yrityksesi haluaa saada ISO 27001 -sertifioinnin, olet ehkä jo yrittänyt löytää helpon tavan tehdä se. Meidän on tuotettava sinulle pettymys: täällä ei ole helppoja tapoja. On kuitenkin olemassa tiettyjä vaiheita, jotka auttavat valmistamaan organisaatiota kansainvälisiin tietoturvavaatimuksiin:
1. Hanki tukea johdolta
Saatat ajatella, että tämä on ilmeistä, mutta käytännössä tämä seikka jää usein huomiotta. Lisäksi tämä on yksi tärkeimmistä syistä, miksi ISO 27001 -toteutusprojektit usein epäonnistuvat. Ilman standarditoteutusprojektin merkityksen ymmärtämistä johto ei tarjoa riittävästi henkilöstöresursseja tai riittävää budjettia sertifiointiin.
2. Kehitä sertifioinnin valmistelusuunnitelma
ISO 27001 -sertifiointiin valmistautuminen on monimutkainen tehtävä, joka sisältää monenlaista työtä, vaatii suuren määrän ihmisiä ja voi kestää useita kuukausia (tai jopa vuosia). Siksi on erittäin tärkeää laatia yksityiskohtainen projektisuunnitelma: kohdistaa resursseja, aikaa ja ihmisten osallistumista tiukasti määriteltyihin tehtäviin ja valvoa määräaikojen noudattamista - muuten et voi koskaan saada työtä valmiiksi.
3. Määritä sertifioinnin raja
Jos sinulla on suuri organisaatio, jolla on monipuolista toimintaa, voi olla järkevää sertifioida vain osa yrityksen liiketoiminnasta ISO 27001 -standardin mukaisesti, mikä vähentää merkittävästi projektisi riskiä sekä sen aikaa ja kustannuksia.
4. Kehitä tietoturvapolitiikka
Yksi tärkeimmistä asiakirjoista on yrityksen tietoturvapolitiikka. Sen tulee heijastaa yrityksesi tietoturvatavoitteita ja tietoturvajohtamisen perusperiaatteita, joita kaikkien työntekijöiden tulee noudattaa. Tämän asiakirjan tarkoituksena on selvittää, mitä yrityksen johto haluaa saavuttaa tietoturva-alalla sekä miten tämä toteutetaan ja valvotaan.
5. Määritä riskinarviointimenetelmä
Yksi vaikeimmista tehtävistä on riskien arvioinnin ja hallinnan sääntöjen määritteleminen. On tärkeää ymmärtää, mitä riskejä yritys voi pitää hyväksyttävinä ja mitkä vaativat välittömiä toimia niiden vähentämiseksi. Ilman näitä sääntöjä ISMS ei toimi.
Samalla kannattaa muistaa riskien vähentämiseksi tehtyjen toimenpiteiden riittävyys. Optimointiprosessiin ei kuitenkaan pidä hukata liikaa, sillä niihin liittyy myös suuria aika- tai taloudellisia kustannuksia tai ne voivat olla yksinkertaisesti mahdottomia. Suosittelemme, että käytät ”minimiriittävyyden” periaatetta kehitettäessä riskinvähentämistoimenpiteitä.
6. Hallitse riskejä hyväksytyn menetelmän mukaisesti
Seuraava vaihe on riskienhallinnan metodologian johdonmukainen soveltaminen eli niiden arviointi ja käsittely. Tämä prosessi on suoritettava säännöllisesti erittäin huolellisesti. Pitämällä tietoturvariskirekisterin ajan tasalla pystyt kohdistamaan tehokkaasti yrityksen resurssit ja ehkäisemään vakavia tapauksia.
7. Suunnittele riskihoito
Riskit, jotka ylittävät yrityksellesi hyväksyttävän tason, on sisällytettävä riskienhallintasuunnitelmaan. Siihen tulee kirjata riskien vähentämiseen tähtäävät toimet sekä niistä vastuussa olevat henkilöt ja määräajat.
8. Täytä soveltuvuusilmoitus
Tämä on keskeinen asiakirja, jota sertifiointielimen asiantuntijat tutkivat auditoinnin aikana. Siinä tulee kuvata, mitä tietoturvavalvontatoimenpiteitä sovelletaan yrityksesi toimintaan.
9. Selvitä, miten tietoturvavalvonnan tehokkuutta mitataan.
Kaikilla toimilla on oltava tulos, joka johtaa asetettujen tavoitteiden saavuttamiseen. Siksi on tärkeää määritellä selkeästi, millä parametreilla tavoitteiden saavuttamista mitataan sekä koko tietoturvan hallintajärjestelmän että kunkin sovellettavuusliitteestä valitun ohjausmekanismin osalta.
10. Toteuta tietoturvavalvonta
Ja vasta sen jälkeen, kun olet suorittanut kaikki edelliset vaiheet, sinun tulee aloittaa soveltuvien tietoturvaohjaimien käyttöönotto Sovellettavuusliitteestä. Suurin haaste tässä on tietysti täysin uuden tavan ottaminen käyttöön monissa organisaatiosi prosesseissa. Ihmisillä on taipumus vastustaa uusia käytäntöjä ja menettelyjä, joten kiinnitä huomiota seuraavaan kohtaan.
11. Toteuttaa koulutusohjelmia työntekijöille
Kaikki yllä kuvatut kohdat ovat merkityksettömiä, jos työntekijäsi eivät ymmärrä projektin tärkeyttä eivätkä toimi tietoturvapolitiikan mukaisesti. Jos haluat, että henkilöstösi noudattaa kaikkia uusia sääntöjä, sinun on ensin selitettävä ihmisille, miksi ne ovat välttämättömiä, ja annettava sitten koulutusta ISMS:stä ja tuoda esiin kaikki tärkeät periaatteet, jotka työntekijöiden tulee ottaa huomioon päivittäisessä työssään. Henkilöstön koulutuksen puute on yleinen syy ISO 27001 -projektin epäonnistumiseen.
12. Ylläpidä ISMS-prosesseja
Tässä vaiheessa ISO 27001:stä tulee jokapäiväinen rutiini organisaatiossasi. Standardin mukaisten tietoturvavalvontatoimenpiteiden toteuttamisen vahvistamiseksi tilintarkastajien on toimitettava asiakirjat - todisteet valvonnan tosiasiallisesta toiminnasta. Mutta ennen kaikkea tietueiden pitäisi auttaa sinua seuraamaan, suorittavatko työntekijäsi (ja toimittajasi) tehtävänsä hyväksyttyjen sääntöjen mukaisesti.
13. Tarkkaile ISMS:ääsi
Mitä ISMS:llesi tapahtuu? Kuinka monta tapausta sinulla on, minkä tyyppisiä ne ovat? Noudatetaanko kaikkia menettelyjä oikein? Näillä kysymyksillä kannattaa tarkistaa, täyttääkö yritys tietoturvatavoitteensa. Jos ei, sinun on laadittava suunnitelma tilanteen korjaamiseksi.
14. Suorita sisäinen ISMS-tarkastus
Sisäisen tarkastuksen tarkoituksena on tunnistaa epäjohdonmukaisuudet yrityksen todellisten prosessien ja hyväksyttyjen tietoturvapolitiikkojen välillä. Suurimmaksi osaksi se tarkistaa, kuinka hyvin työntekijäsi noudattavat sääntöjä. Tämä on erittäin tärkeä seikka, koska jos et hallitse henkilöstösi työtä, organisaatio voi kärsiä vahinkoja (tahallisesti tai tahattomasti). Mutta tavoitteena ei ole löytää syyllisiä ja kurittaa heitä politiikan laiminlyönnistä, vaan korjata tilanne ja ehkäistä tulevia ongelmia.
15. Järjestä johdon katselmus
Johdon ei tule konfiguroida palomuuriasi, mutta heidän tulee tietää, mitä ISMS:ssä tapahtuu: esimerkiksi täyttävätkö kaikki velvollisuutensa ja saavuttaako ISMS tavoitteensa. Tämän perusteella johdon tulee tehdä keskeisiä päätöksiä ISMS:n ja sisäisten liiketoimintaprosessien parantamiseksi.
16. Otetaan käyttöön korjaavien ja ehkäisevien toimien järjestelmä
Kuten mikä tahansa standardi, ISO 27001 vaatii "jatkuvaa parantamista": tietoturvan hallintajärjestelmän epäjohdonmukaisuuksien systemaattista korjaamista ja estämistä. Korjaavilla ja ennaltaehkäisevillä toimenpiteillä poikkeama voidaan korjata ja estää sen toistuminen tulevaisuudessa.
Lopuksi haluaisin sanoa, että itse asiassa sertifioinnin saaminen on paljon vaikeampaa kuin eri lähteissä kuvataan. Tämän vahvistaa se tosiasia, että Venäjällä on nykyään vain on sertifioitu vaatimustenmukaisuudesta. Samalla tämä on yksi suosituimmista standardeista ulkomailla, joka vastaa liiketoiminnan kasvaviin tietoturvavaatimuksiin. Tämä toteutusvaatimus ei johdu pelkästään uhkatyyppien kasvusta ja monimutkaisuudesta, vaan myös lainsäädännön vaatimuksista sekä asiakkaista, joiden on säilytettävä tietojensa täydellinen luottamuksellisuus.
Huolimatta siitä, että ISMS-sertifiointi ei ole helppo tehtävä, jo kansainvälisen standardin ISO/IEC 27001 vaatimusten täyttäminen voi tarjota vakavan kilpailuedun globaaleilla markkinoilla. Toivomme, että artikkelimme on antanut alustavan käsityksen yrityksen sertifiointiin valmistelemisen tärkeimmistä vaiheista.
Lähde: will.com