{"id":4764,"date":"2011-01-10T16:36:35","date_gmt":"2011-01-10T16:36:35","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/01\/10\/pouke-wikileaksa-sto-je-zapravo-informacijska-sigurnost\/"},"modified":"2022-07-17T15:26:39","modified_gmt":"2022-07-17T15:26:39","slug":"pouke-wikileaksa-sto-je-zapravo-informacijska-sigurnost","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/hr\/blog\/2011\/01\/10\/pouke-wikileaksa-sto-je-zapravo-informacijska-sigurnost\/","title":{"rendered":"Pouke WikiLeaksa: \u0160to je zapravo informacijska sigurnost?"},"content":{"rendered":"

WikiLeaks je ovih dana s razlogom goru\u0107a tema – nije ba\u0161 uobi\u010dajeno da se povjerljivi dokumenti najmo\u0107nije vlade objavljuju na Internetu. A poneki od njih su, blago re\u010deno, neugodni.<\/p>\n

Ovdje ne\u0107u pisati o tome je li legalno to \u0161to WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, \u0161to \u0107e biti s osniva\u010dem WikiLeaksa (u trenutku pisanja ovog \u010dlanka Julian Assange bio je u pritvoru) itd.<\/p>\n

Stvar je u tome \u0161to \u0107e se, ako se WikiLeaks i ugasi, pojaviti neki novi WikiLeaks. Drugim rije\u010dima, opasnost od curenja informacija u javnost neprestano se pove\u0107ava. (Usput re\u010deno, prije uhi\u0107enja Julian Assange je najavio da \u0107e objaviti inkriminiraju\u0107e informacije o jednoj od glavnih ameri\u010dkih banaka i njezinom nelegalnom poslovanju.)<\/p>\n

Ovdje \u0107u promatrati stvar iz perspektive tvrtki – \u0161to ako smo mi sljede\u0107a \u017ertva WikiLeaksa ili nekog njegovog klona? Kako mo\u017eemo za\u0161tititi vlastite informacije i sprije\u010diti \u0161tetu prouzro\u010denu tako velikim incidentom?<\/p>\n

Jednostavan primjer<\/h2>\n

Kako izgleda informacijska sigurnost u praksi? Uzmimo jednostavan primjer \u2013 recimo da svoje prijenosno ra\u010dunalo redovito ostavljate na stra\u017enjem sjedalu automobila – vrlo je vjerojatno da \u0107e ga prije ili kasnije netko ukrasti.<\/p>\n

\u0160to mo\u017eete u\u010diniti kako biste umanjili taj rizik? Kao prvo, mo\u017eete uvesti pravilo (dono\u0161enjem procedure ili politike) da se prijenosna ra\u010dunala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizi\u010dke za\u0161tite. Kao drugo, informacije mo\u017eete za\u0161tititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga mo\u017eete od va\u0161ih zaposlenika tra\u017eiti da potpi\u0161u izjavu prema kojoj su odgovorni za eventualne \u0161tete. Ipak, sve ove mjere mo\u017eda ne\u0107e imati u\u010dinka ako zaposlenicima pravila ne objasnite odr\u017eavanjem kratke obuke.<\/p>\n

\u0160to dakle mo\u017eete zaklju\u010diti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, ve\u0107 je uvijek \u010dini vi\u0161e njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uklju\u010duju i organizacijska pitanja, upravljanje ljudskim resursima, fizi\u010dku i tehni\u010dku za\u0161titu i pravnu za\u0161titu.<\/p>\n

Problem je sljede\u0107i – ovo je bio primjer samo jednog ra\u010dunala, ne uzimaju\u0107i u obzir unutarnje prijetnje. Sada zamislite kako je slo\u017eeno za\u0161tititi informacije u va\u0161oj tvrtki gdje se informacije ne pohranjuju samo na va\u0161 PC, nego i na razne poslu\u017eitelje; ne samo u va\u0161u ladicu nego na sve va\u0161e mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se na\u0111e poneki nezadovoljni zaposlenik.<\/p>\n

Taj vam se posao \u010dini nemogu\u0107im? Te\u017eak je, ali nije neizvediv.<\/p>\n

Kako postupiti<\/h2>\n

Za rje\u0161avanje ovog slo\u017eenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir ve\u0107 postoji u obliku normi – najra\u0161irenija je norma ISO 27001<\/a>, vode\u0107i me\u0111unarodni standard za upravljanje informacijskom sigurno\u0161\u0107u, ali postoje i drugi – COBIT, NIST SP 800 series, PCI DSS, itd.<\/p>\n

Ovdje \u0107u se usredoto\u010diti na ISO 27001 – ova norma pru\u017ea dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilno\u0161\u0107u da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Me\u0111utim, najbolja odlika ove norme je da definira upravlja\u010dki okvir za kontrolu i upravljanje sigurnosnim pitanjima, \u010dime upravljanje sigurno\u0161\u0107u postaje dio cjelokupnog upravljanja organizacijom.<\/p>\n

Ukratko – ova vam norma poma\u017ee u sagledavanju svih oblika informacija, svih rizika i pru\u017ea vam modus za pa\u017eljivo rje\u0161avanje svakog potencijalnog problema i o\u010duvanje sigurnosti informacija.<\/p>\n

Posljedice za poslovanje<\/h2>\n

Dakle, trebaju li korporacije strahovati da \u0107e njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije eti\u010dno.<\/p>\n

Me\u0111utim, tvrtke koje posluju legalno, a \u017eele za\u0161tititi svoje poslovanje, ne mogu razmi\u0161ljati samo o povratu na investiciju, tr\u017ei\u0161nom udjelu, klju\u010dnim kompetencijama i dugoro\u010dnoj viziji. U svojoj strategiji moraju tako\u0111er uzeti u obzir sigurnosna pitanja budu\u0107i da ih neza\u0161ti\u0107ene informacije mogu stajati vi\u0161e od npr. neuspjelog poku\u0161aja lansiranja proizvoda. Pod sigurno\u0161\u0107u ne mislim samo na fizi\u010dku i tehni\u010dku za\u0161titu jer to jednostavno vi\u0161e nije dovoljno – tehnologija omogu\u0107uje da informacije cure na razne na\u010dine.<\/p>\n

Potreban je sveobuhvatan pristup informacijskoj sigurnosti – nije va\u017eno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to \u010dinite sustavno. Trud koji je potrebno ulo\u017eiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju – to nije ne\u0161to \u0161to va\u0161i ljudi iz IT-a mogu napraviti sami – to je ne\u0161to u \u010demu mora sudjelovati cijela tvrtka, po\u010dev\u0161i od uprave.<\/p>\n

Da saznate vi\u0161e o informacijskoj sigurnosti, pogledajte ovaj besplatni online trening <\/i>ISO 27001 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

WikiLeaks je ovih dana s razlogom goru\u0107a tema – nije ba\u0161 uobi\u010dajeno da se povjerljivi dokumenti najmo\u0107nije vlade objavljuju na Internetu. A poneki od njih su, blago re\u010deno, neugodni. Ovdje ne\u0107u pisati o tome je li legalno to \u0161to WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[],"class_list":["post-4764","post","type-post","status-publish","format-standard","hentry","category-blog-hr"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4764","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4764"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4764\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4764"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4764"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4764"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}