Hoxe en día, o tema da seguridade da información (en diante, a seguridade da información) das empresas é un dos máis acuciantes do mundo. E isto non é sorprendente, porque en moitos países hai un endurecemento dos requisitos para as organizacións que almacenan e procesan datos persoais. Actualmente, a lexislación rusa esixe manter unha proporción significativa do fluxo de documentos en papel. Ao mesmo tempo, nótase a tendencia á dixitalización: moitas empresas xa almacenan unha gran cantidade de información confidencial tanto en formato dixital como en forma de documentos en papel.
Segundo os resultados Anti-Malware Analytical Center, o 86% dos enquisados sinalou que durante o ano, polo menos unha vez, tiveron que resolver incidentes tras ataques cibernéticos ou como consecuencia de violacións dos usuarios da normativa establecida. Neste sentido, priorizar a seguridade da información nos negocios converteuse nunha necesidade.
Actualmente, a seguridade da información corporativa non é só un conxunto de medios técnicos, como antivirus ou cortalumes, xa é un enfoque integrado para manexar os activos da empresa en xeral e a información en particular. As empresas abordan estes problemas de forma diferente. Hoxe queremos falar da implementación da norma internacional ISO 27001 como solución a tal problema. Para as empresas do mercado ruso, a presenza deste certificado simplifica a interacción con clientes estranxeiros e socios que teñen altos requisitos nesta materia. A ISO 27001 é amplamente utilizada en Occidente e abarca os requisitos no campo da seguridade da información, que deben estar cubertos polas solucións técnicas utilizadas, e tamén contribuír ao desenvolvemento dos procesos de negocio. Así, este estándar pode converterse na súa vantaxe competitiva e nun punto de contacto con empresas estranxeiras.
Esta certificación do Sistema de Xestión da Seguridade da Información (en diante SGSI) recollía as mellores prácticas para deseñar un SGSI e, sobre todo, contemplaba a posibilidade de elixir ferramentas de control para garantir o funcionamento do sistema, requisitos de soporte de seguridade tecnolóxica e mesmo para o proceso de xestión de persoal na empresa. Despois de todo, é necesario entender que os fallos técnicos son só parte do problema. En materia de seguridade da información, o factor humano xoga un papel enorme, e é moito máis difícil eliminalo ou minimizalo.
Se a túa empresa busca obter a certificación ISO 27001, é posible que xa intentou atopar o xeito sinxelo de facelo. Temos que decepcionarte: aquí non hai camiños sinxelos. Non obstante, hai certos pasos que axudarán a preparar unha organización para os requisitos internacionais de seguridade da información:
1. Obter apoio da dirección
Podes pensar que isto é obvio, pero na práctica este punto adoita pasarse por alto. Ademais, esta é unha das principais razóns polas que os proxectos de implementación da ISO 27001 adoitan fallar. Sen comprender a importancia do proxecto de implantación estándar, a dirección non proporcionará recursos humanos suficientes nin orzamento suficiente para a certificación.
2. Desenvolver un Plan de Preparación para a Certificación
A preparación para a certificación ISO 27001 é unha tarefa complexa que implica moitos tipos de traballo diferentes, require a implicación dun gran número de persoas e pode levar moitos meses (ou incluso anos). Por iso, é moi importante crear un plan detallado do proxecto: destinar recursos, tempo e implicación das persoas a tarefas estritamente definidas e supervisar o cumprimento dos prazos; se non, quizais nunca remate o traballo.
3. Definir o perímetro de certificación
Se tes unha organización grande con actividades diversificadas, pode ter sentido certificar só parte do negocio da empresa a ISO 27001, o que reducirá significativamente o risco do teu proxecto, así como o seu tempo e custo.
4. Desenvolver unha política de seguridade da información
Un dos documentos máis importantes é a Política de Seguridade da Información da empresa. Debe reflectir os obxectivos de seguridade da información da súa empresa e os principios básicos da xestión da seguridade da información, que deben seguir todos os empregados. O presente documento ten como finalidade determinar que quere acadar a dirección da empresa en materia de seguridade da información, así como como se vai implantar e controlar.
5. Definir unha metodoloxía de avaliación de riscos
Unha das tarefas máis difíciles é definir regras para a avaliación e xestión de riscos. É importante comprender cales son os riscos que unha empresa pode considerar aceptables e cales requiren unha acción inmediata para reducilos. Sen estas regras, o ISMS non funcionará.
Asemade, cómpre lembrar a idoneidade das medidas adoptadas para reducir os riscos. Pero non debes deixarte levar demasiado co proceso de optimización, porque tamén implican grandes custos de tempo ou financeiros ou simplemente poden ser imposibles. Recomendamos que utilice o principio de "suficiencia mínima" ao desenvolver medidas de redución de riscos.
6. Xestionar os riscos segundo unha metodoloxía aprobada
A seguinte etapa é a aplicación coherente da metodoloxía de xestión de riscos, é dicir, a súa avaliación e procesamento. Este proceso debe realizarse de forma regular con moito coidado. Ao manter actualizado o rexistro de riscos de seguridade da información, poderás asignar eficazmente os recursos da empresa e evitar incidentes graves.
7. Planificar o tratamento do risco
Os riscos que superen un nivel aceptable para a súa empresa deben incluírse no plan de tratamento de riscos. Deberá rexistrar as actuacións dirixidas á redución de riscos, así como os responsables das mesmas e os prazos.
8. Completa a Declaración de aplicabilidade
Este é un documento clave que será estudado por especialistas do organismo de certificación durante a auditoría. Debe describir cales son os controis de seguridade da información que se aplican ás actividades da súa empresa.
9. Determinar como se medirá a eficacia dos controis de seguridade da información.
Calquera acción debe ter un resultado que conduza ao cumprimento dos obxectivos establecidos. Polo tanto, é importante definir claramente por que parámetros se medirá a consecución dos obxectivos tanto para todo o sistema de xestión da seguridade da información como para cada mecanismo de control seleccionado do Anexo de Aplicabilidade.
10. Implantar controis de seguridade da información
E só despois de completar todos os pasos anteriores debería comezar a implementar os controis de seguridade da información aplicables do Apéndice de aplicabilidade. O maior desafío aquí, por suposto, será introducir unha forma completamente nova de facer as cousas en moitos dos procesos da túa organización. As persoas tenden a resistir novas políticas e procedementos, así que preste atención ao seguinte punto.
11. Implantar programas de formación para os empregados
Todos os puntos descritos anteriormente carecerán de sentido se os seus empregados non comprenden a importancia do proxecto e non actúan de acordo coas políticas de seguridade da información. Se queres que o teu persoal cumpra todas as novas normas, primeiro cómpre explicarlle á xente por que son necesarias, e despois impartir formación sobre o SGSI, destacando todas as políticas importantes que os empregados deben ter en conta no seu traballo diario. A falta de formación do persoal é unha razón común para o fracaso do proxecto ISO 27001.
12. Manter os procesos de SGSI
Neste punto, a ISO 27001 convértese nunha rutina diaria na súa organización. Para confirmar a implementación dos controis de seguridade da información de acordo co estándar, os auditores terán que proporcionar rexistros: evidencias do funcionamento real dos controis. Pero, sobre todo, os rexistros deberían axudarche a controlar se os teus empregados (e provedores) están a realizar as súas tarefas de acordo coas regras aprobadas.
13. Supervisa o teu ISMS
Que está pasando co teu ISMS? Cantas incidencias ten, de que tipo son? Segáronse todos os procedementos correctamente? Con estas preguntas, debería comprobar se a empresa cumpre os seus obxectivos de seguridade da información. Se non, debes desenvolver un plan para corrixir a situación.
14. Realizar unha auditoría interna do SGSI
A finalidade da auditoría interna é identificar inconsistencias entre os procesos reais na empresa e as políticas de seguridade da información aprobadas. Na súa maior parte, é comprobar o ben que os seus empregados seguen as regras. Este é un punto moi importante, xa que se non controlas o traballo do teu persoal, a organización pode sufrir danos (intencionados ou non). Pero o obxectivo aquí non é atopar aos culpables e disciplinalos polo incumprimento das políticas, senón corrixir a situación e previr futuros problemas.
15. Organizar unha revisión da dirección
A xerencia non debe configurar o seu firewall, pero debería saber o que está a suceder no ISMS: por exemplo, se todo o mundo está a cumprir coas súas responsabilidades e se o ISMS está a acadar os seus resultados obxectivos. En base a isto, a dirección debe tomar decisións clave para mellorar o SGSI e os procesos comerciais internos.
16. Introducir un sistema de accións correctoras e preventivas
Como calquera norma, a ISO 27001 esixe a “mellora continua”: a corrección sistemática e a prevención de inconsistencias no sistema de xestión da seguridade da información. Mediante accións correctivas e preventivas, pódese corrixir a non conformidade e evitar que se repita no futuro.
En conclusión, gustaríame dicir que, de feito, obter a certificación é moito máis difícil do que se describe en varias fontes. Isto é confirmado polo feito de que en Rusia hoxe só hai foron certificados para o seu cumprimento. Ao mesmo tempo, este é un dos estándares máis populares no estranxeiro, atendendo ás crecentes demandas das empresas no campo da seguridade da información. Esta demanda de implantación débese non só ao crecemento e complexidade dos tipos de ameazas, senón tamén aos requisitos da lexislación, así como aos clientes que precisan manter a total confidencialidade dos seus datos.
A pesar de que a certificación ISMS non é unha tarefa fácil, o feito mesmo de cumprir os requisitos da norma internacional ISO/IEC 27001 pode proporcionar unha vantaxe competitiva seria no mercado global. Agardamos que o noso artigo proporcionou unha comprensión inicial das etapas clave na preparación dunha empresa para a certificación.
Fonte: www.habr.com