Investice do IT bezpečnosti dávají manažerům smysl až v situaci, kdy se stane nějaký průšvih (bezpečnostní incident), to už ale většinou bývá pozdě. My jako poskytovatel SaaS řešení bereme bezpečnost vážně. I proto jsme v roce 2019 prošli certifikací na ISO 27001 a od té doby procházíme každoročním auditem. V tomto článku se s vámi podělíme o naše zkušenosti a tipy, jak si z přípravy na certifikaci a zavádění ISMS odnést co nejvíce.
Co je ISO 27001 a proč by ho firma měla používat?
Pokud jste si šli 23. 7. 2020 zaběhat a výkon vám měřily sportovní hodinky Garmin, zjistili jste, že po návratu domů nejde data z hodinek nahrát do příslušné aplikace. Inženýři z Garminu v té době zakoušeli perné chvíle. Hackerům se podařilo pomocí ransomware útoku zašifrovat digitální infrastrukturu firmy. Rád bych vám napsal, že dobro zvítězilo nad zlem a inženýři dali hackerům co proto. Opak je bohužel pravdou. Má se za to, že Garmin hackerům vyplatil výkupné přes 10 milionů dolarů. Garmin ale zaplatil ještě větší cenu v pošramocené reputaci a ztráty důvěry zákazníků. ISO 27001 vám pomůže takovým situacím předcházet a pokud přece jen nastanou, budete mít připravené procesy, které vám pomohou tyto situace zvládnout.
Norma ISO 27001 je mezinárodně uznávaný standard, který definuje požadavky na systém řízení bezpečnosti informací (ISMS). Cílem normy je vést firmu k zavedení procesů a politik, které pomohou bezpečnostní riziko minimalizovat. Co se týká práce s informacemi, může ve firmě vládnout cokoliv od chaotické anarchie po rigidní policejní systém. Dobře implementovaný standard ISO 27001 pomůže firmě nastavit pravidla práce s informacemi tak, aby se eliminoval chaos a přitom zůstala dostatečná volnost pro efektivní práci s informacemi.
Splnění normy dává firmě větší důvěryhodnost v očích partnerů i zákazníků. V některých případech je certifikace přímo vyžadována a stává se již standardem.
Jak jsme zaváděli systém řízení bezpečnosti informací (ISMS)
Už před vlastní certifikací a auditem jsme samozřejmě bezpečnost nebrali na lehkou váhu. Měli jsme zpracovanou interní směrnici bezpečnosti informací, se kterou byl při nástupu seznámen každý zaměstnanec. V pravidelných intervalech pak probíhalo školení bezpečnosti informací. Směrnice se později stala základním kamenem, na kterém jsme následně stavěli ISMS. Přípravu na certifikaci u nás řídil kolega Petr Vitouch.
Jak už jsme zmínili výše, cílem ISO 27001 je primárně bezpečnost informací. Prvním krokem tedy bylo zdokumentovat, které informace vlastně máme a na kterých aktivech. Museli jsme klasifikovat všechny informace, kterými disponujeme a provést nad nimi analýzu rizik. Jinými slovy, šlo o to zmapovat kontext organizace a všechna důležitá aktiva. Měli jsme nespornou výhodu v tom, že správou assetů se dlouhodobě zabýváme a máme přesně evidovaná nejen úložiště dat, ale také například všechny klíče od kanceláří, flash disky, kdo je má u sebe, či kde je skladujeme, atp. Obzvlášť nám pomohla naše konfigurační databáze (CMDB), protože v ní jasně vidíme nejen prvky v infrastruktuře, o kterých musíme přemýšlet, ale také jejich vazby do celého systému. Díky tomu si dokážeme dobře představit, jaký dopad by mohlo mít odstavení toho či onoho prvku.
Samotná analýza rizik nám pak pomohla určit, jaká nebezpečí nám hrozí a důležitost jednotlivých aktiv pro naše podnikání. Z analýzy rizik vyplynuly konkrétní úkoly, které je potřeba splnit. Je jasné, že nelze vždy všechna rizika vyřešit okamžitě. Proto je potřeba rizika jasně popsat, určit priority a naplánovat opatření. V tomto nám pomohl náš Service Desk, kde Petr zakládal všechny úkoly a zároveň založil i opakované požadavky na úkoly spojené s řízením bezpečnosti informací. Jedná se například o pravidelnou analýzu rizik, pravidelné kontroly bezpečnosti, školení zaměstnanců, atd.
„Šlo nám hlavně o to, aby politika bezpečnosti informací byla napsána lidsky a srozumitelně. I sebelepší opatření může selhat na lidském faktoru. Proto je důležité lidsky vysvětlit pojmy jako veřejné informace vs chráněné informace a nemluvit zbytečně technickým jazykem,“
- Petr Vitouch, konzultant ALVAO
Následně bylo nutné vytvořit politiku bezpečnosti informací. Vycházeli jsme z existující směrnice bezpečnosti informací. Politiku bezpečnosti informací bereme jako pravidla hry, kterými se ve firmě řídíme. Aby pravidla byla účinná, nesmí být zbytečně komplikovaná. Nemůžete očekávat, že když napíšete alibisticky pojatou osmdesátistránkovou politiku, lidé se jí budou řídit. „Šlo nám hlavně o to, aby politika bezpečnosti informací byla napsána lidsky a srozumitelně. I sebelepší opatření může selhat na lidském faktoru. Proto je důležité lidsky vysvětlit pojmy jako veřejné informace vs chráněné informace a nemluvit zbytečně technickým jazykem,“ vysvětluje kolega Petr Vitouch.
Zaměstnanci jsou totiž klíčovým faktorem v řízení bezpečnosti. Je nutné, aby si každý z nich uvědomoval, že bezpečnost informací je prioritou. Proto je potřeba vysvětlovat nejen samotná pravidla práce s informacemi, ale také jejich smysl a konkrétní příklady, jak může skrze jejich porušení dojít k úniku či poškození informací a jaké následky to má pro celou firmu. Povědomí zaměstnanců o bezpečnosti informací je důležité pro každou firmu a tím spíše pro firmy, které spravují data někomu dalšímu.
Zde je potřeba přihlédnout i k IT gramotnosti vašich zaměstnanců. Pro mnoho lidí je informační bezpečnost stále zcela vágní pojem a vůbec je nenapadne, proč by se měli odhlašovat z operačního systému nebo proč by neměli posílat firemní dokumenty ze soukromého mailu. Tendenci podceňovat nebezpečí má skoro každý, a proto nezapomínejte často školit pomocí interaktivních online školení či osobně.
Zavedený systém řízení bezpečnosti informací je potřeba pravidelně kontrolovat, vylepšovat a jednou za rok firmu provést profesionálním externím auditem. Nezapomínejte reagovat na aktuální hrozby a informovat o nich všechny zaměstnance. Pokud víte, že se zvýšila frekvence konkrétního typu útoků, připravte newsletter a aktuální zprávy pro vaše kolegy.