W ISOQAR, wraz z naszym zespołem auditorów zidentyfikowaliśmy TOP 10 najczęściej występujących niezgodności w systemach zarządzania ISO/IEC/IEC 27001 naszych klientów.
System zarządzania bezpieczeństwem informacji ISO/IEC 27001 (SZBI) gwałtownie zyskał na popularności w ciągu ostatnich kilku lat. Podstawowym czynnikiem napędzającym ten trend, są oczywiście obawy o bezpieczeństwo danych przechowywanych cyfrowo.
Jednak warto pamiętać, że jedynym zadaniem SZBI nie jest ochrona przed cyberatakami; system obejmuje wszystkie informacje w dowolnym formacie, w jakim są przechowywane. Poza kwestiami technicznymi, auditorzy muszą również wziąć pod uwagę podejście kierownictwa do budowania, wspierania i utrzymywania całego systemu.
Dlatego z listy wszelkich niezgodności, które są wykrywane w czasie auditów certyfikujących, wybraliśmy te, które się regularnie pojawiają oraz są stosunkowo łatwe do usunięcia.
1. Brak zaangażowania kierownictwa wyższego szczebla
Podobnie jak w przypadku wszystkich systemów zarządzania ISO, wszystko zaczyna się od góry przedsiębiorstwa. Jednym z kluczowych wymagań ISO/IEC 27001 jest żeby najwyższe kierownictwo było w stanie wykazać swoje zaangażowanie i wsparcie dla SZBI. Zbyt często auditorzy stwierdzają nie tylko brak zaangażowania, ale także brak świadomości funkcjonowania systemu ze strony najwyższego kierownictwa. Podczas gdy zadania techniczne związane z prowadzeniem SZBI mogą być delegowane, ogólna odpowiedzialność musi spoczywać na kierownictwie.
2. Niewystarczające kontrole dostawców zewnętrznych
Koniecznym jest, żeby upewnić się, że wszyscy zewnętrzni dostawcy, którzy mają dostęp do poufnych informacji, również przestrzegają odpowiednich mechanizmów kontroli bezpieczeństwa. Powinni oni pracować na co najmniej tak wysokim poziomie dbałości o bezpieczeństwo, jaki obowiązuje w Twojej organizacji. Musi być to również do udowodnienia w czasie auditu, poprzez wskazanie m.in. jaki jest proces kwalifikacji, zarządzania i monitorowania dostawców w zakresie bezpieczeństwa informacji.
3. Niewystarczające bezpieczeństwo fizyczne
ISO/IEC 27001 to nie tylko bezpieczeństwo cybernetyczne. Konieczne jest również wzięcie pod uwagę fizycznych zagrożenia bezpieczeństwa, takich jak nieautoryzowany dostęp do Twojej siedziby. Zbyt często firmy zapominają o prostych rzeczach, takich jak regularna zmiana kodów dostępu, sprzątanie biurek pod koniec dnia, zabezpieczanie hasłem poufnych dokumentów — nie zawiedź takich podstaw.
4. Brak regularnych testów bezpieczeństwa
Dobrze jest mieć plany działań przeciwdziałania zagrożeniom bezpieczeństwa. Pamiętaj jednak, żeby testować, czy są one skuteczne. Należy to robić regularnie, identyfikując obszary do poprawy i wdrażając odpowiednie zmiany. „Ciągłe doskonalenie” leży u podstaw wszystkich systemów zarządzania ISO/IEC. Wskazane jest również utworzenie harmonogramu nadzoru nad tymi planami działań, spisywanie dowodów z ich przeprowadzenia, by móc pokazać je auditorowi.
5. Brak utrzymania i aktualizacji planu ciągłości działania
Czasami pomimo planowania, testowania, pojawiają się okoliczności, na które organizacja nie mogła być przygotowana. Nie można przewidzieć każdej ewentualności. Organizacja powinna więc mieć plan, jak kontynuować działalność w przypadku takich zakłóceń. Nie mówimy tylko o powodziach, pożarach i katastrofalnych stratach danych, ale nawet o stosunkowo niewielkich trudnościach jak zwolnienia lekarskie kluczowych pracowników. Aby mieć pewność, że organizacja podejmuje wszelkie działania, aby zapobiegać eskalacji negatywnych zdarzeniach w otaczających ją środowisku, można rozważyć wdrożenie systemu zarządzania ciągłością działania ISO/IEC 22301.
6. Nieodpowiednie monitorowanie dostępu uprzywilejowanego
Dostęp do wrażliwych informacji i systemów powinien mieć wyłącznie upoważniony personel. Aktywność tych użytkowników powinna być ściśle monitorowana, aby zapobiec nieautoryzowanemu dostępowi lub niewłaściwemu wykorzystaniu. Niezgodności w tym zakresie często wynikają z braku procedur zarządzania dostępem użytkowników. Należy zwrócić szczególną uwagę na pracowników zmieniających działy, opuszczających firmę lub udzielających dostępu stronom trzecim, takim jak pracownicy tymczasowi czy dostawcy.
7. Brak przeprowadzania regularnej oceny ryzyka
Zgodnie z wymaganiami normy, jest obowiązek regularnie oceniać ryzyko dla zasobów informacyjnych i wdrażać kontrole w celu ograniczenia tego ryzyka. Bez regularnych ocen możesz nie być świadomy nowych lub pojawiających się zagrożeń. Istnieje również możliwość, że w organizacji nie ma wystarczających środków kontroli, aby chronić się przed tymi zagrożeniami. Najlepiej jest ustalić harmonogram ocen - i trzymać się go.
8. Nieodpowiedni monitoring urządzeń mobilnych (w tym laptopów)
Korzystanie w różnych miejscach ze służbowych urządzeń mobilnych staje się coraz bardziej powszechne, zwłaszcza w związku z przejściem na pracę z domu. Pojawia się wtedy ryzyko wynikające z używania służbowego sprzętu w celach prywatnych – odwiedzanie niebezpiecznych stron internetowych, czy pobieranie zainfekowanych plików. Organizacja powinna mieć odpowiednie kontrole bezpieczeństwa, aby chronić się przed zagrożeniami, jakie stwarza przewożenie urządzeń oraz korzystanie z nich poza biurem.
9. Nieprzestrzeganie wymogów prawnych i regulacyjnych
Pomimo tego, że auditor szuka spełnienia zgodności funkcjonowania systemu z wymaganiami normy, organizacja musi również przestrzegać wymogów prawnych w kraju, w którym jest zarejestrowana i funkcjonuje. Niezastosowanie się do nich może nie tylko skutkować niezgodnościami, ale również grzywnami i karami w momencie kontroli państwowych. Nadążanie za przepisami może być trudne - ale leży to w odpowiedzialności firmy.
10. Nieodpowiednie szkolenie w zakresie bezpieczeństwa
Pracownicy mogą być ogromnym kapitałem, ale często są również najsłabszym ogniwem w zabezpieczeniach organizacji — zwykle z powodu pozornie niewinnych błędów. Aby ograniczyć ryzyko, konieczne jest zapewnienie pracownikom regularnych szkoleń z zakresu bezpieczeństwa. Pomogą im one zrozumieć znaczenie bezpieczeństwa informacji i ich rolę w ochronie aktywów organizacji. Obszar szkoleń jest często zaniedbany, ze względu na ograniczenia budżetowe.
Powyższe punkty potwierdzają fakt, że ISO/IEC 27001 to nie tylko bezpieczeństwo cybernetyczne – to system zarządzania, który w równym stopniu dotyczy podejścia organizacji bezpieczeństwa jak i pracujących z nim ludzi.
Jeżeli firma jest gotowa, żeby rozpocząć proces certyfikacji systemu ISO/IEC 27001, ISOQAR może od ręki przygotować ofertę dla Państwa organizacji. Sprawnie planujemy audit, a nasi auditorzy charakteryzują się pragmatycznym podejściem, dzięki czemu łatwo jest z nimi znaleźć wspólny język.
Skontaktuj się z nami, by uzyskać akredytowany certyfikat ISO/IEC 27001!
Sprawdź również naszą ofertę szkoleń.