Pavel Horník
TÜV SÜD Slovakia, s. r. o.
vedúci audítor pre ISO/TS 16949:2009
Prínosy zavedenia a certifikácie podľa normy ISO/IEC 27001: • prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti, • zlepšuje porozumenie obchodných aspektov, dáva istotu, že investície do bezpečnosti informácií boli nasmerované efektívne, • nezávisle potvrdzuje, že organizačné riziká sú náležite identifikované prostredníctvom posudzovania obchodných rizík, • pravidelné hodnotenie procesov vám pomôže zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje výkon, • najviac zo všetkého prináša dôvernosť, motivuje vedenie a tiež tým môžete podporiť vnímanie bezpečnosti a ochrany zverených informácií a citlivých údajov vašimi zákazníkmi.
Téma informačnej bezpečnosti je v posledných rokoch často skloňovaná. Netýka sa len zabezpečenia informácií a informačných systémov, ale aj prístupu vedenia a potrebnej edukácie zamestnancov vo firmách. Z praxe je totiž známe, že za únik informácií z podniku až v 80 % prípadoch môže práve ľudský faktor; ďalších 20 % predstavujú útoky zvonku.
Je to pochopiteľné, nakoľko vo firmách exponenciálne narastá objem poskytnutých a spracovaných informácií a taktiež aplikácií na prácu s nimi. Je dôležité si uvedomiť aj to, že zamestnanci často pracujú s citlivými údajmi, ktoré môžu podliehať zákonom (ochrana osobných údajov, ochrana utajovaných skutočností, priemyselná bezpečnosť…) či obsahovať firemné know-how. Nejde pritom o zodpovednosť len radových zamestnancov, ale komplexne celej organizácie vrátane vedenia.
Modernizácia predstavuje stále širšiu škálu hrozieb z vonku
Trendy informačnej bezpečnosti hovoria o tom, že zavádzanie inovácií vo firmách môže spôsobovať ich väčšiu zraniteľnosť. Podľa Intel Security sa dokonca v roku 2017 môžeme stretnúť s kybernetickými hrozbami zameranými na:
- hardvér – inovácie, rozvoj, nové oblasti nasadenia,
- vydieračský malware,
- internet vecí (Priemysel 4.0),
- útoky prostredníctvom systémov pre zamestnancov,
- Cloud (rozvoj využívania týchto služieb),
- automobilový priemysel (technológie, dáta),
- čierny trh s odcudzenými dátami,
- útoky na integritu (najmä vo finančnom sektore).
Príkladom podcenenia informačnej bezpečnosti je čoraz častejší výskyt prípadov, keď firma doplatila na dôverčivosť zamestnancov a prostredníctvom malware niekto zašifroval firemné súbory. S odstupom času od takto napadnutej firmy za sprístupnenie zašifrovaných dokumentov požadoval útočník nemalú čiastku peňazí.
Ako sa vo firmách najčastejšie podceňuje informačná bezpečnosť?
- Vo firme je zaužívaná predstava zamestnancov, že problém zmizne, pokiaľ je ignorovaný.
- Uplatňujú sa krátkodobé reaktívne riešenia bez analýzy príčin, čo má za dôsledok opätovné objavenie sa problému v relatívne krátkom čase.
- Podceňuje sa hodnota podnikových informácií a toho, akým aktívom je dobrá povesť organizácie.
- Zamestnanci sa spoliehajú na technické riešenia (napr. firewall).
- Nezvládnu sa prevádzkové aspekty bezpečnosti: zavádzanie nedostatočných riešení a nesledovanie výsledkov riešení.
- Manažment podceňuje následky zabezpečenia informačnej bezpečnosti.
- Bezpečnosť informácií, resp. správa infraštruktúry, sa zverí neškoleným pracovníkom.
Ako vyriešiť otázku bezpečnosti informácií? Myslite systémovo
Ľudia predstavujú najväčšiu hodnotu firmy, ale z pohľadu bezpečnosti informácií tak isto aj veľké riziko. Logicky tak v rozrastajúcich sa spoločnostiach vzniká dopyt po riešeniach, ktoré ho eliminujú. Nie je žiadnou novinkou, že jedným z efektívnych riešení, ako tomu zabrániť, je mať vo firme správne zavedený systém manažérstva.
Zavedenie štandardov je celosvetovým trendom v riadení informačnej bezpečnosti. Uznávanou normou pre túto oblasť je ISO/IEC 27001, ktorú firmy a verejný sektor využívajú čoraz častejšie. Práve zaužívanie pravidiel môže pomôcť organizácii spravovať a chrániť všetky cenné informačné aktíva. Či už sa jedná o útoky z vonku organizácie, alebo škody z úniku informácií zapríčinené ľudským faktorom.
„Podľa prieskumu magazínu Computer Weekly takmer 90 % spoločností, ktoré implementovali princípy ISO/IEC 27001 do svojich procesov, uviedlo, že formálna certifikácia zlepšila zachovanie kontinuity ich prevádzky, 85 % uviedlo, že sa minimalizovali škody z bezpečnostných udalostí a 53 % uviedlo, že zavedenie normy prispelo k vyššej návratnosti investícií.“
Normu ISO/IEC 27001 celosvetovo implementujú spoločnosti, pre ktoré je ochrana informácií rozhodujúca. Okrem interných prínosov tým zvyšujú aj dôveryhodnosť voči obchodným a technologickým partnerom.