Informacijska sigurnost ili IT sigurnost?

Broj mjera ažuriran je prema ISO 27001:2013.

Netko bi mogao pomisliti da su ova dva pojma sinonimi – uostalom, zar se ne tiče informacijska sigurnost računala?

Ne baš. Poanta je da možete imati savršene IT sigurnosne mjere, ali samo jedan zlonamjeran čin, na primjer od strane administratora, može srušiti cijeli IT sustav. Taj rizik uopće nije povezan s računalom, već ima veze s ljudima, procesima, nadzorom, itd.

Nadalje, važne informacije uopće ne moraju biti u digitalnom obliku, već mogu biti i na papiru – na primjer, važan ugovor potpisan s najvećim klijentom, osobne bilješke direktora ili ispis administratorskih lozinaka pohranjen u sefu.

Zato svojim klijentima uvijek kažem – IT sigurnost čini samo 50% informacijske sigurnosti jer informacijska sigurnost uključuje fizičku sigurnost, upravljanje ljudskim potencijalima, pravnu zaštitu, organizaciju, procese itd. Svrha informacijske sigurnosti je izgradnja sustava koji u obzir uzima sve moguće rizike za sigurnost informacija (bili oni vezani za IT ili ne) i provedba sveobuhvatnih mjera koje umanjuju sve vrste neprihvatljivih rizika.

Takav integrirani pristup sigurnosti informacija najbolje opisuje norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću. Ukratko, potrebno je procjenu rizika provesti za sve organizacijske resurse – uključujući hardver, softver, dokumentaciju, ljude, dobavljače, partnere, itd., te odabrati primjenjive mjere za umanjenje tih rizika.

Norma ISO 27001 u Aneksu A nudi 114 mjera – proveo sam kratku analizu tih mjera i rezultati su sljedeći:

  • mjere vezane za IT: 37%
  • mjere vezane za organizaciju/dokumentaciju: 36%
  • mjere fizičke sigurnosti: 13%
  • pravna zaštita: 4%
  • mjere vezane za odnose s dobavljačima i kupcima: 5%
  • mjere upravljanja ljudskim resursima: 5%

Koje značenje sve to ima za informacijsku sigurnost / provedbu norme ISO 27001? Ova vrsta projekta ne bi se trebala smatrati IT projektom, jer u tom slučaju postoji vjerojatnost da neki dijelovi organizacije neće htjeti u njemu sudjelovati. Taj bi se projekt trebao smatrati projektom koji se tiče cjelokupnog poduzeća, u kojem bi trebali sudjelovati ključni ljudi iz svih poslovnih jedinica – viši menadžment, IT osoblje, pravni stručnjaci, voditelji ljudskih resursa, osoblje za fizičku sigurnost, poslovna strana organizacije, itd. Bez takvog pristupa sve će se svesti na IT sigurnost, što vas neće zaštititi od najvećih rizika.

Pogledajte ovaj besplatni online trening ISO 27001 Foundations Course da saznate više o ISO 27001.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.