Oglasno sporočilo
Objavljeno: 29.10.2018

Celovita informacijska varnost za podjetja

Hiter razvoj in vedno večja povezanost informacijskih sistemov ter pretok podatkov, je organizacijam poenostavil, izpopolnil ter izboljšal upravljanje vsakodnevnih poslovnih aktivnosti, hkrati pa omogočil takojšnjo komunikacijo z vsemi, ki jih potrebujejo pri svojem delu. Sredstva informacijske tehnologije (informacijski in komunikacijski sistemi) so s tem postala izrednega pomena za uspešno poslovanje organizacij. Ob tem, pa se moramo vprašati kako zavarovati ta sredstva, da bo zagotovljena razpoložljivost, zaupnost in celovitost informacij, ki jih zaposleni v organizaciji potrebujejo za vsakodnevno delo.

Zadnje čase so vdori v informacijske sisteme s strani hekerskih skupin in obveščevalnih služb medijsko zelo izpostavljeni. Organizacije svojo zaščito informacijskih in komunikacijskih sistemov izboljšujejo, vendar pa je potrebno vzeti v obzir varovanje vseh vrst podatkov, ne glede na to, na kakšnih medijih se pojavljajo, saj se večina izgub in zlorab še vedno zgodi s strani zaposlenih in pri obdelavi dokumentov v papirni obliki. Zato je še toliko bolj pomembno, da se postavi varnostne kontrole nad vsemi podatki, ki se nahajajo v organizaciji, opredeli načine dela, ki so sprejemljivi pri obdelavi podatkov in vzpostavi postopke nadzora, ki bi ob morebitni izgubi ali zlorabi podatkov omogočili zmanjšanje povzročene škode za organizacijo.

Organizacije se morajo zavedati, da se informacijska sredstva v zadnjih letih vedno bolj uporabljajo tudi za prostočasne aktivnosti. Včasih so zaposleni v organizacijah le za zabavo uporabljali posamezna informacijska sredstva in storitve, kot so tablični računalniki, pametni mobilni telefoni, spletna elektronska pošta, Dropbox, Facebook, Twitter. Danes vsa ta sredstva uporabljajo tudi pri opravljanju službenih obveznosti, po eni strani zaradi enostavnosti uporabe in po drugi zaradi stikov, ki jih že imajo z ostalimi uporabniki teh storitev. Nov način komuniciranja udeležencev pri izvajanju elektronskega poslovanja pa predstavlja Internet stvari (ang. IoT), s tem pa postaja eden ključnih elementov upravljanja naprav tudi kibernetska varnost. Dostopnost do informacij kjer koli in kadar koli pa se lahko kaj hitro spremeni v kdor koli in kar koli. Kako torej zajeti vse vidike obvladovanja podatkov, upoštevati dobre prakse standarda ISO/IEC 27001, zagotoviti skladnost z vsemi zakonodajnimi zahtevami in zahtevami organizacije in hkrati zaposlenim omogočiti izvajanje dela brez nepotrebnih omejitev?

V kolikor pri svojem poslovanju ustvarjamo in hranimo podatke, ki so varnostno občutljivi, se moramo zavedati, da moramo poskrbeti za ustrezne varnostne kontrole. Te varnostne kontrole pa ne smejo obsegati zgolj protivirusne programske opreme, požarnega zidu ali ustreznih posodobitev operacijskih sistemov in aplikacij. Za zagotavljanje celovite informacijske varnosti je potrebno vzpostaviti kompleksnejše mehanizme, kot so šifriranje podatkov in komunikacij, omejevanje dostopa do prostorov, kjer se podatki nahajajo, vzpostavitev revizijske sledi nad podatki, ozaveščanje uporabnikov pred škodljivo kodo, ki se širi preko zlonamernih elektronskih sporočil (tako imenovani 'phishing' napadi) ter preverjanje informacijskih sistemov z uporabo mehanizmov varnostnih pregledov (testov ranljivosti in vdornih testov).

Varnostne kontrole so:

  • organizacijske (ISO/IEC 27001, TIA 942, eIDAS, GDPR),
  • tehnične (IEC 62443, Pentest, PCI DSS, Blockchain Security).

Ustreznost organizacijskih kontrol v SIQ Ljubljana preverjamo z revizijo informacijskih sistemov, tehnične kontrole pa z izvedbo varnostnih pregledov.

Revizija informacijskih sistemov nam poda odgovor na to, kako izboljšati organizacijske postopke in samo obvladovanje informacijskih sistemov, varnostni pregled informacijskega sistema pa nam pokaže kako se zavarovati tako pred spletnimi napadi ali zlorabami v notranjem omrežju organizacije. Pri izvajanju varnostnih pregledov informacijskih sistemov v SIQ Ljubljana uporabljamo enake metode, tehnike in orodja, kot jih uporabljajo hekerji pri dejanskih napadih na vaš informacijski sistem. Glavni cilj varnostnega pregleda je oceniti katere varnostne kontrole v informacijskem sistemu še potrebujejo izboljšave, poleg tega pa lahko s predstavitvijo rezultatov varnostnega pregleda seznanimo tako upravljavce kot uporabnike informacijskega sistema o odkritih ranljivosti in jih usposobimo, da poskrbijo za ustrezno varovanje informacij pri vsakodnevnem izvajanju svojega dela.

V kolikor organizacija želi preveriti ali so varnostne kontrole ustrezne, to najlaže stori z izvedbo revizije informacijskih sistemov in hkratnega varnostnega pregleda. Tovrsten pregled lahko celovito izvedejo le osebe z dolgoletnimi izkušnjami, ki redno spremljajo novosti na področju varnostnih groženj in imajo ustrezna strokovna znanja ter ne sodelujejo z organizacijo pri vzdrževanju informacijskega sistema ali prodaji strojne in programske opreme. Le na ta način se izvede neodvisni pregled, ki pokaže, kje se organizacija lahko še izboljša.

Kljub številnim tveganjem, ki se pojavljajo tako v informacijskih in komunikacijskih sistemih kot tudi pri vsakodnevnem delu s podatki v papirni obliki, lahko s preverjanjem organizacijskih in tehničnih kontrol, ter z uporabo kompleksnih mehanizmov varovanja, lahko precej zmanjšamo možnost, da bi prišlo do zlorab oziroma razkritja podatkov. Celovita informacijska varnost v podjetjih pa pomeni tudi zaupanje v organizacijo in krepitev dolgoročnega in uspešnega poslovanja.

 Več na spletni strani www.siq.si.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji