Rozdział 1: Pilna kwestia
Bezpieczeństwo informacji i cyberprzestrzeni jest tematem z pierwszych stron gazet od kilku lat, ale kiedyś było postrzegane jako problem, którym zajmował się dział IT wraz z typowymi błędami w oprogramowaniu. W związku z rosnącą liczbą głośnych ataków oraz ich konsekwencjami finansowymi i wizerunkowymi, zagadnienie to nabrało nowego znaczenia.
Istnieje kilka rodzajów zagrożeń o różnych motywach. Na najniższym poziomie atak można najlepiej opisać jako cyfrowy wandalizm, który nie ma bardziej złowrogiego motywu niż zakłócenie pracy dla czystej "zabawy". Poza tym, ataki mogą być próbami wyłudzenia gotówki bezpośrednio od firmy, kradzieżą danych klientów - zwłaszcza finansowych, które mogą być wykorzystane do celów przestępczych - szpiegostwem handlowym lub przemysłowym, kradzieżą patentów i wrażliwych informacji lub po prostu złośliwym atakiem rywala lub niezadowolonego pracownika, którego celem jest spowodowanie maksymalnego zakłócenia. W najgorszych przypadkach, gdy organizacja świadczy usługi o kluczowym znaczeniu, takie jak produkcja i dystrybucja energii, usługi zdrowotne, finansowe, logistyczne lub turystyczne, zagrożenie jest zazwyczaj skierowane w mniejszym stopniu do samej organizacji, a w większym do społeczeństwa lub państwa.
Zrozumienie, w jaki sposób powstają zagrożenia i opracowanie systemów radzenia sobie z tym problemem jest istotnym zadaniem dla każdej organizacji.
Rozdział 2: Zagrożenia dla bezpieczeństwa informacji
Cyberatak rzadko przychodzi znienacka - choć może się wydawać, że właśnie tak się dzieje - a eksperci sugerują, że istnieje siedem etapów, zanim ostateczny cel atakującego zostanie osiągnięty. Najpierw następuje rozpoznanie organizacji, co może wiązać się z namierzeniem osoby za pomocą tzw. e-maili phishingowych. Im więcej czasu hakerzy poświęcą na zdobycie informacji o ludziach i systemach w firmie, tym bardziej udana będzie próba włamania.
Następnie hakerzy będą próbowali przeniknąć do sieci celu za pomocą różnych środków. W fazie eksploatacji, hakerzy zaczynają zbierać nagrody za przygotowanie i przeprowadzenie ataku. Aby to zrobić, atakujący zapewniają sobie ciągły dostęp do sieci tak długo, jak jest to potrzebne do osiągnięcia ich celów.
Gdy mają już nieograniczony dostęp do całej sieci i kont administratorów, wszystkie wymagane narzędzia są na miejscu dla fazy dowodzenia i kontroli. To właśnie wtedy hakerzy mogą zablokować użytkowników IT firmy z całej sieci organizacji, jeśli chcą, być może żądając okupu za przywrócenie dostępu. Ostatnia faza działania lub celów skutkuje osiągnięciem przez hakerów zamierzonego celu.
Rozdział 3: Gdzie obecnie znajdują się firmy?
W 2021 roku DNV przeprowadziło ankietę, której celem było odkrycie, gdzie organizacje uważają, że znajdują się na drodze do bezpiecznego systemu informatycznego. Podobna ankieta została przeprowadzona w 2015 roku i różnica w odpowiedziach jest intrygująca.
W międzyczasie bezpieczeństwo informacji zyskało na znaczeniu i znacznie więcej wiedzy trafiło do zarządów firm. Jednak liczba organizacji zgłaszających dojrzały lub wiodący system bezpieczeństwa informacji wzrosła tylko o około 4 punkty procentowe. Ponad połowa (55%) nadal widzi siebie na wczesnym etapie dojrzałości systemu.
Dwie na trzy organizacje za najważniejszy czynnik uznają posiadanie odpowiedniego personelu do zarządzania bezpieczeństwem informacji. Inwestycje zmieniają się z technicznych na personalne. Zapewnienie pracownikom szkoleń z zakresu bezpieczeństwa informacji jest wyżej oceniane wśród firm w 2021 roku. W ciągu najbliższych trzech lat dwie na trzy wskazują, że poziom inwestycji w bezpieczeństwo informacji będzie taki sam lub wyższy niż obecnie.
Firmy posiadające certyfikowany system zarządzania bezpieczeństwem informacji są bardziej wrażliwe i lepiej reagują na zmiany. Blisko 80% twierdzi, że całkowicie lub częściowo zakończyło proces dostosowywania do nowego środowiska cyfrowego. Organizacje te wydają się być również bardziej otwarte na przyjęcie modelu "zero zaufania", co oznacza, że nie ufają nikomu i każdy musi być zweryfikowany.
Nie jest zaskoczeniem, że urządzenia mobilne i innowacyjne technologie są postrzegane przez wiele organizacji jako mające duży wpływ na cyberbezpieczeństwo. Jednak sztuczna inteligencja nie jest jeszcze postrzegana jako czynnik zmieniający przebieg gry - tylko 15% respondentów uważa, że ma ona do odegrania dużą rolę.
Rozdział 4: Certyfikacja w celu zdobycia kontroli
Organizacje, które stosują ustrukturyzowane podejście do zarządzania bezpieczeństwem informacji, najprawdopodobniej posiadają już certyfikat zgodności z uznaną normą międzynarodową lub są na dobrej drodze do jego uzyskania.
Certyfikacja świadczy o zaangażowaniu w proaktywne zarządzanie i ochronę zasobów informacyjnych oraz zapewnienie zgodności z wymogami prawnymi. ISO/IEC 27001 jest najbardziej uznanym międzynarodowym standardem dla systemów zarządzania bezpieczeństwem informacji i został zaprojektowany tak, aby był kompatybilny i zharmonizowany z innymi standardami systemów zarządzania ISO.
Tak jak ewoluuje zagrożenie cybernetyczne, tak samo ewoluuje norma ISO. 25 października 2022 r. opublikowano znowelizowaną wersję normy (ISO/IEC 27001:2022). Główna zmiana dotyczy kontroli bezpieczeństwa i wytycznych, aby pomóc firmom budować zaufanie do tego, jak działają w celu ochrony krytycznych aktywów biznesowych.
Główne korzyści z nowej wersji dla certyfikowanych firm są takie, że:
- Odnosi się do nowych scenariuszy i zagrożeń;
- Pomaga zrozumieć inne perspektywy bezpieczeństwa;
- Obejmuje aspekty cyberbezpieczeństwa i prywatności;
- Zawiera nowe punkty kontroli, aby zapewnić, że nowe scenariusze i ryzyka nie zostaną pominięte.
Rozdział 5: Ciągłe doskonalenie
Jedną z kluczowych cech systemu zarządzania bezpieczeństwem informacji - certyfikowanego lub nie - jest zrozumienie najczęstszych zagrożeń oraz tego, jak pułapki mogą się różnić w poszczególnych branżach. Wymaga to od organizacji bycia na bieżąco z ciągle zmieniającym się krajobrazem zagrożeń oraz dostosowywania i rozwijania systemów w celu sprostania i pokonania nowych wyzwań. Na poziomie praktycznym, regularne audyty wewnętrzne i zewnętrzne pozwolą ujawnić problemy. Jednak certyfikacja przez stronę trzecią zapewnia niezależną ocenę działania systemu zarządzania i buduje zaufanie wewnętrzne i zewnętrzne do zdolności firmy do zabezpieczenia kluczowych zasobów informacyjnych.
Co więcej, utrzymywanie systemu zarządzania i jego certyfikacji to ciągła podróż. Wykraczając poza obowiązkowy audyt certyfikacyjny przeprowadzany raz w roku, klienci DNV uzyskują dostęp do narzędzi cyfrowych umożliwiających samoocenę indywidualnej wiedzy i wyników systemu zarządzania, benchmarking wyników oraz przygotowanie do wewnętrznych i zewnętrznych audytów zewnętrznych. Mając dostęp do wiedzy i spostrzeżeń każdego dnia, firmy są lepiej przygotowane do ciągłego dostosowywania obrazu ryzyka, doskonalenia systemu zarządzania i mierzenia wyników.
Rozdział 6: Podsumowanie i najważniejsze wnioski
W dzisiejszym cyfrowym środowisku biznesowym wszystkie firmy są coraz bardziej narażone na ryzyko związane z bezpieczeństwem informacji. Świadomość, że zagrożenia bezpieczeństwa mogą z łatwością zatrzymać działalność, nie dziwi, że cyberbezpieczeństwo znajduje się obecnie w każdej agendzie korporacyjnej. Organizacje muszą zarządzać bieżącymi zagrożeniami i zapobiegać przyszłym ryzykom, aby budować zaufanie interesariuszy i minimalizować ryzyko strat finansowych i zakłóceń.
Osoby stojące za cyberatakami nieustannie rozwijają swoje metody i cele. Dlatego organizacje muszą uznać, że problem jest dynamiczny, a systemy zarządzania bezpieczeństwem muszą ewoluować równolegle. Zarządzanie bezpieczeństwem informacji polega na ograniczaniu krótkoterminowego ryzyka, ale jest również niezbędne do budowania długoterminowej odporności.
Wdrożenie solidnych ram strukturalnych w celu identyfikacji, zarządzania i ograniczania ryzyka, opartych na wymaganiach i wytycznych normy ISO/IEC 27001, pozwoli na ciągłe doskonalenie i wzmocnienie ciągłości działania. Aby uzyskać certyfikat, system zarządzania musi być wdrożony zgodnie z wymaganiami normy.
Jako akredytowana, zewnętrzna jednostka certyfikująca, DNV może być partnerem w całym procesie certyfikacji. Od odpowiednich szkoleń na temat normy, poprzez narzędzia do samooceny, benchmarkingu i przygotowania do audytu, aż do analizy luk i samego audytu certyfikującego, nasi eksperci techniczni z zaangażowaniem wspierają organizację w całym procesie.