Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Pouke WikiLeaksa: Što je zapravo informacijska sigurnost?

    WikiLeaks je ovih dana s razlogom goruća tema – nije baš uobičajeno da se povjerljivi dokumenti najmoćnije vlade objavljuju na Internetu. A poneki od njih su, blago rečeno, neugodni.

    Ovdje neću pisati o tome je li legalno to što WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, što će biti s osnivačem WikiLeaksa (u trenutku pisanja ovog članka Julian Assange bio je u pritvoru) itd.

    Stvar je u tome što će se, ako se WikiLeaks i ugasi, pojaviti neki novi WikiLeaks. Drugim riječima, opasnost od curenja informacija u javnost neprestano se povećava. (Usput rečeno, prije uhićenja Julian Assange je najavio da će objaviti inkriminirajuće informacije o jednoj od glavnih američkih banaka i njezinom nelegalnom poslovanju.)

    Ovdje ću promatrati stvar iz perspektive tvrtki – što ako smo mi sljedeća žrtva WikiLeaksa ili nekog njegovog klona? Kako možemo zaštititi vlastite informacije i spriječiti štetu prouzročenu tako velikim incidentom?

    Jednostavan primjer

    Kako izgleda informacijska sigurnost u praksi? Uzmimo jednostavan primjer – recimo da svoje prijenosno računalo redovito ostavljate na stražnjem sjedalu automobila – vrlo je vjerojatno da će ga prije ili kasnije netko ukrasti.

    Što možete učiniti kako biste umanjili taj rizik? Kao prvo, možete uvesti pravilo (donošenjem procedure ili politike) da se prijenosna računala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizičke zaštite. Kao drugo, informacije možete zaštititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga možete od vaših zaposlenika tražiti da potpišu izjavu prema kojoj su odgovorni za eventualne štete. Ipak, sve ove mjere možda neće imati učinka ako zaposlenicima pravila ne objasnite održavanjem kratke obuke.

    Što dakle možete zaključiti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, već je uvijek čini više njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uključuju i organizacijska pitanja, upravljanje ljudskim resursima, fizičku i tehničku zaštitu i pravnu zaštitu.

    Problem je sljedeći – ovo je bio primjer samo jednog računala, ne uzimajući u obzir unutarnje prijetnje. Sada zamislite kako je složeno zaštititi informacije u vašoj tvrtki gdje se informacije ne pohranjuju samo na vaš PC, nego i na razne poslužitelje; ne samo u vašu ladicu nego na sve vaše mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se nađe poneki nezadovoljni zaposlenik.

    Taj vam se posao čini nemogućim? Težak je, ali nije neizvediv.

    Kako postupiti

    Za rješavanje ovog složenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir već postoji u obliku normi – najraširenija je norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću, ali postoje i drugi – COBIT, NIST SP 800 series, PCI DSS, itd.

    Ovdje ću se usredotočiti na ISO 27001 – ova norma pruža dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilnošću da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Međutim, najbolja odlika ove norme je da definira upravljački okvir za kontrolu i upravljanje sigurnosnim pitanjima, čime upravljanje sigurnošću postaje dio cjelokupnog upravljanja organizacijom.

    Ukratko – ova vam norma pomaže u sagledavanju svih oblika informacija, svih rizika i pruža vam modus za pažljivo rješavanje svakog potencijalnog problema i očuvanje sigurnosti informacija.

    Posljedice za poslovanje

    Dakle, trebaju li korporacije strahovati da će njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije etično.

    Međutim, tvrtke koje posluju legalno, a žele zaštititi svoje poslovanje, ne mogu razmišljati samo o povratu na investiciju, tržišnom udjelu, ključnim kompetencijama i dugoročnoj viziji. U svojoj strategiji moraju također uzeti u obzir sigurnosna pitanja budući da ih nezaštićene informacije mogu stajati više od npr. neuspjelog pokušaja lansiranja proizvoda. Pod sigurnošću ne mislim samo na fizičku i tehničku zaštitu jer to jednostavno više nije dovoljno – tehnologija omogućuje da informacije cure na razne načine.

    Potreban je sveobuhvatan pristup informacijskoj sigurnosti – nije važno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to činite sustavno. Trud koji je potrebno uložiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju – to nije nešto što vaši ljudi iz IT-a mogu napraviti sami – to je nešto u čemu mora sudjelovati cijela tvrtka, počevši od uprave.

    Da saznate više o informacijskoj sigurnosti, pogledajte ovaj besplatni online trening ISO 27001 Foundations Course.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan posjeduje brojne certifikate, uključujući Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor i Associate Business Continuity Professional. Dejan rukovodi našim timom u uređivanju nekoliko internet stranica koje su specijalizirane za pružanje potpore ISO i IT stručnjacima u razumijevanju i uspješnom implementiranju vrhunskih svjetskih standarda. Dejan je magistrirao na Henley Management College, i posjeduje veliko iskustvo u području investicija, osiguranja i bankarstva. Poznat je po svojoj stručnosti na polju međunarodnih standarda za kontinuitet poslovanja i informacijsku sigurnost – ISO 27001 & ISO 22301 – i kao autor brojnih video tutorijala, paketa dokumentacije i knjiga.