Praktické zkušenosti z certifikace na ISO 27001
Norma ISO 27001 je mezinárodně uznávaný standard pro zavedení systému řízení bezpečnosti informací (ISMS). Do bezpečnosti každá firma ráda investuje v okamžiku, kdy se stane nějaký průšvih (bezpečnostní incident), to už ale většinou bývá pozdě. My jako poskytovatel SaaS řešení bereme bezpečnost vážně. I proto jsme v roce 2019 prošli certifikací na ISO 27001 a od té doby procházíme každoročním auditem. V tomto článku se s vámi podělíme o naše zkušenosti a tipy, jak si z přípravy na certifikaci a zavádění ISMS odnést co nejvíce.
Co je ISO 27001 a proč by ho firma měla používat?
Pokud jste si šli 23. 7. 2020 zaběhat a výkon vám měřily sportovní hodinky Garmin, zjistili jste, že po návratu domů nejde data z hodinek nahrát do příslušné aplikace. Inženýři z Garminu v té době zakoušeli perné chvíle. Hackerům se podařilo pomocí ransomware útoku zašifrovat digitální infrastrukturu firmy. Rád bych vám napsal, že dobro zvítězilo nad zlem a inženýři dali hackerům co proto. Opak je bohužel pravdou. Má se za to, že Garmin hackerům vyplatil výkupné přes 10 milionů dolarů. Garmin ale zaplatil ještě větší cenu v pošramocené reputaci a ztráty důvěry zákazníků. ISO 27001 vám pomůže takovým situacím předcházet.
ISO 27001 je mezinárodně uznávaný standard pro řízení bezpečnosti informací. Cílem normy je vést firmu k zavedení procesů a politik, které pomohou bezpečnostní riziko minimalizovat. Co se týká práce s informacemi, může ve firmě vládnout cokoliv od chaotické anarchie po rigidní policejní systém. Dobře implementovaný standard ISO 27001 pomůže firmě nastavit pravidla práce s informacemi tak, aby se eliminoval chaos a přitom zůstala dostatečná volnost pro efektivní práci s informacemi.
Splnění standardu dává firmě větší důvěryhodnost v očích partnerů i zákazníků. Hlavním důvodem pro implementaci by ale vždy mělo být zlepšení bezpečnosti informací.
Jak jsme zaváděli systém řízení bezpečnosti informací (ISSM)
Už před certifikací a auditem jsme samozřejmě bezpečnost řešili a měli jsme zpracovanou interní směrnici bezpečnosti informací, se kterou byl seznámený každý zaměstnanec. Směrnice byla základem, od kterého jsme si při práci na vytvoření ISSM odrazili. Přípravu na certifikaci u nás řídil kolega Petr Vitouch.
Jak už zaznělo, cílem ISO 27001 je primárně bezpečnost informací. Prvním krokem tedy bylo zdokumentovat, které informace máme chránit. Museli jsme provést klasifikaci všech informací, kterými disponujeme a provést nad nimi analýzu rizik. Jinými slovy, šlo o to zmapovat kontext organizace a všechna důležitá aktiva. Měli jsme nespornou výhodu v tom, že správou assetů se dlouhodobě zabýváme a máme přesně evidovaná nejen úložiště dat, ale také například všechny klíče od kanceláří, flash disky, kdo je má u sebe, či kde je skladujeme, atp.
Samotná analýza rizik pak mapovala, jaká nebezpečí nám hrozí. V tom nám hodně pomohla naše konfigurační databáze (CMDB), protože v ní jasně vidíme nejen prvky v infrastruktuře, o kterých musíme přemýšlet, ale také jejich vazby do celého systému. Díky tomu si dokážeme dobře představit, jaký dopad by mohlo mít odstavení toho či onoho prvku.
Z analýzy rizik potom už vyplynuly konkrétní úkoly, které je potřeba splnit. Je jasné, že nelze vždy všechna rizika vyřešit okamžitě. Proto je potřeba rizika jasně popsat, určit priority a naplánovat opatření. Tohle jsme řešili pomocí našeho Service Desku, kde Petr zakládal všechny úkoly a zároveň založil i opakovaný požadavek, který pravidelně připomíná nutnost revize samotné analýzy rizik. Nemůžeme usnout na vavřínech. Analýzu rizik je potřeba pravidelně revidovat.
Následně bylo nutné revidovat směrnici bezpečnosti informací. Směrnici bereme jako pravidla hry, kterými se ve firmě řídíme. Aby pravidla byla účinná, nesmí být zbytečně komplikovaná. Nemůžete očekávat, že když napíšete alibisticky pojatou osmdesátistránkovou směrnici, lidé se jí budou řídit. „Šlo nám hlavně o to, aby směrnice byla napsána lidsky a srozumitelně. I sebelepší opatření může selhat na lidském faktoru. Proto je důležité lidsky vysvětlit pojmy jako veřejné informace vs. chráněné informace a nemluvit zbytečně technickým jazykem,“ vysvětluje kolega Petr Vitouch.
Zaměstnanci jsou totiž klíčovým faktorem v řízení bezpečnosti. Je nutné, aby si každý z nich uvědomoval, že bezpečnost informací je prioritou. Proto je potřeba vysvětlovat nejen samotná pravidla práce s informacemi, ale také jejich smysl a konkrétní příklady, jak může skrze jejich porušení dojít k úniku či poškození informací a jaké následky to má pro celou firmu. Povědomí zaměstnanců o bezpečnosti informací je důležité pro každou firmu a tím spíše pro firmy, které spravují data někomu dalšímu.
Zde je potřeba přihlédnout i k IT gramotnosti vašich zaměstnanců. Pro mnoho lidí je informační bezpečnost stále zcela vágní pojem a vůbec je nenapadne, proč by se měli odhlašovat z operačního systému nebo proč by neměli posílat firemní dokumenty ze soukromého mailu. Tendenci podceňovat nebezpečí má skoro každý, a proto nezapomínejte často školit pomocí interaktivních online školení či osobně.
Zavedený systém řízení bezpečnosti informací je potřeba pravidelně kontrolovat a v ideálním případě jednou za rok firmu provést profesionálním externím auditem.
 |
Jan Škrabánek Autor rozhovorů je konzultantem společnosti ALVAO. |
