The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Pouke WikiLeaksa: Što je zapravo informacijska sigurnost?

WikiLeaks je ovih dana s razlogom goruća tema – nije baš uobičajeno da se povjerljivi dokumenti najmoćnije vlade objavljuju na Internetu. A poneki od njih su, blago rečeno, neugodni.

Ovdje neću pisati o tome je li legalno to što WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, što će biti s osnivačem WikiLeaksa (u trenutku pisanja ovog članka Julian Assange bio je u pritvoru) itd.

Stvar je u tome što će se, ako se WikiLeaks i ugasi, pojaviti neki novi WikiLeaks. Drugim riječima, opasnost od curenja informacija u javnost neprestano se povećava. (Usput rečeno, prije uhićenja Julian Assange je najavio da će objaviti inkriminirajuće informacije o jednoj od glavnih američkih banaka i njezinom nelegalnom poslovanju.)

Ovdje ću promatrati stvar iz perspektive tvrtki – što ako smo mi sljedeća žrtva WikiLeaksa ili nekog njegovog klona? Kako možemo zaštititi vlastite informacije i spriječiti štetu prouzročenu tako velikim incidentom?

Jednostavan primjer

Kako izgleda informacijska sigurnost u praksi? Uzmimo jednostavan primjer – recimo da svoje prijenosno računalo redovito ostavljate na stražnjem sjedalu automobila – vrlo je vjerojatno da će ga prije ili kasnije netko ukrasti.

Što možete učiniti kako biste umanjili taj rizik? Kao prvo, možete uvesti pravilo (donošenjem procedure ili politike) da se prijenosna računala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizičke zaštite. Kao drugo, informacije možete zaštititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga možete od vaših zaposlenika tražiti da potpišu izjavu prema kojoj su odgovorni za eventualne štete. Ipak, sve ove mjere možda neće imati učinka ako zaposlenicima pravila ne objasnite održavanjem kratke obuke.

Što dakle možete zaključiti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, već je uvijek čini više njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uključuju i organizacijska pitanja, upravljanje ljudskim resursima, fizičku i tehničku zaštitu i pravnu zaštitu.

Problem je sljedeći – ovo je bio primjer samo jednog računala, ne uzimajući u obzir unutarnje prijetnje. Sada zamislite kako je složeno zaštititi informacije u vašoj tvrtki gdje se informacije ne pohranjuju samo na vaš PC, nego i na razne poslužitelje; ne samo u vašu ladicu nego na sve vaše mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se nađe poneki nezadovoljni zaposlenik.

Taj vam se posao čini nemogućim? Težak je, ali nije neizvediv.

Kako postupiti

Za rješavanje ovog složenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir već postoji u obliku normi – najraširenija je norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću, ali postoje i drugi – COBIT, NIST SP 800 series, PCI DSS, itd.

Ovdje ću se usredotočiti na ISO 27001 – ova norma pruža dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilnošću da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Međutim, najbolja odlika ove norme je da definira upravljački okvir za kontrolu i upravljanje sigurnosnim pitanjima, čime upravljanje sigurnošću postaje dio cjelokupnog upravljanja organizacijom.

Ukratko – ova vam norma pomaže u sagledavanju svih oblika informacija, svih rizika i pruža vam modus za pažljivo rješavanje svakog potencijalnog problema i očuvanje sigurnosti informacija.

Posljedice za poslovanje

Dakle, trebaju li korporacije strahovati da će njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije etično.

Međutim, tvrtke koje posluju legalno, a žele zaštititi svoje poslovanje, ne mogu razmišljati samo o povratu na investiciju, tržišnom udjelu, ključnim kompetencijama i dugoročnoj viziji. U svojoj strategiji moraju također uzeti u obzir sigurnosna pitanja budući da ih nezaštićene informacije mogu stajati više od npr. neuspjelog pokušaja lansiranja proizvoda. Pod sigurnošću ne mislim samo na fizičku i tehničku zaštitu jer to jednostavno više nije dovoljno – tehnologija omogućuje da informacije cure na razne načine.

Potreban je sveobuhvatan pristup informacijskoj sigurnosti – nije važno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to činite sustavno. Trud koji je potrebno uložiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju – to nije nešto što vaši ljudi iz IT-a mogu napraviti sami – to je nešto u čemu mora sudjelovati cijela tvrtka, počevši od uprave.

Da saznate više o informacijskoj sigurnosti, pogledajte ovaj besplatni online trening ISO 27001 Foundations Course.

Ako Vam se svidio ovaj članak, pretplatite se na ažuriranja.

Poboljšajte svoje znanje s našim besplatnim resursima za ISO 27001/ISO 22301 standarde.

Pretplatu možete otkazati u bilo kojem trenutku.

Za više informacija o tome koje osobne podatke prikupljamo, zašto su nam potrebni, što činimo s njima, koliko dugo ih čuvamo, te koja su Vaša prava, pogledajte ovu Obavijest o privatnosti.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa *

NAŠI KLIJENTI

NAŠI PARTNERI

  • Advisera je certificirana od strane Exemplar Global kao pružatelj TPECS za IS, QM, EM, TL i AU kompetencijske jedinice.
  • ITIL® je registrirani zaštitni znak tvrtke AXELOS Limited. Koristi se prema licenci tvrtke AXELOS Limited. Sva prava pridržana.
  • DNV GL Business Assurance je jedan od vodećih pružatelja usluga certificiranja akreditiranih sustava upravljanja.