In unserer Welt der standardisierten Daten müssen die Cybersicherheitsstandards himmelhoch und gestochen scharf sein. Die meisten Unternehmen, auch wenn sie nicht unmittelbar technologiebezogen sind, werden irgendwann die Notwendigkeit haben, sich von innen heraus zu rüsten.
Vor mehr als einem Jahrzehnt hat die International Organization of Standards eine Spezifikation namens ISO 27001 verabschiedet. Also was genau ist es? Was kann uns ein ISO 27001-Audit über die inneren Machenschaften einer Organisation sagen? Und wie entscheiden Sie, ob Ihr Unternehmen auditiert werden soll?
Was ist ein Informationssicherheits-Managementsystem (ISMS)?
Ein Informationssicherheits-Managementsystem (ISMS) ist die wichtigste Verteidigungslinie eines Unternehmens gegen Datenschutzverletzungen und andere Arten von Cyberbedrohungen von außen.
Ein wirksames ISMS stellt sicher, dass die zu schützenden Informationen vertraulich und sicher bleiben, der Quelle treu bleiben und für die Personen zugänglich sind, die die Berechtigung haben, damit zu arbeiten.
Ein häufiger Fehler ist die Annahme, dass ein ISMS lediglich eine Firewall oder andere technische Schutzmaßnahmen darstellt. Stattdessen ist ein vollintegriertes ISMS ebenso in der Unternehmenskultur und in jedem Mitarbeiter, ob Ingenieur oder sonstwie, präsent. Es geht weit über die IT-Abteilung hinaus.
Der Anwendungsbereich dieses Systems umfasst nicht nur offizielle Richtlinien und Verfahren, sondern auch die Fähigkeit des Teams, das System zu verwalten und zu verfeinern. Die Ausführung und die Art und Weise, wie das Protokoll tatsächlich angewendet wird, sind von größter Bedeutung.
Dies beinhaltet einen langfristigen Ansatz für das Risikomanagement und die Risikominderung. Die Auftraggeber eines Unternehmens müssen mit allen Risiken, die mit der Branche verbunden sind, in der sie speziell tätig sind, genau vertraut sein. Ausgestattet mit dieser Erkenntnis werden sie die Mauern um sich herum entsprechend bauen können.
Was ist ISO 27001 genau?
Im Jahr 2005 haben die International Organization for Standardization (ISO) und die International Electrotechnical Kommission (IEC) überarbeitete die BS 7799, einen Sicherheitsmanagementstandard, der erstmals von der BSI-Gruppe vor 10 Jahren eingeführt wurde vorher.
Die ISO 27001, die jetzt offiziell als ISO/IEC 27001:2005 bekannt ist, ist ein internationaler Compliance-Standard, der an Unternehmen verliehen wird, die im Informationssicherheitsmanagement vorbildlich sind.
Im Wesentlichen handelt es sich um eine rigorose Sammlung von Standards, gegen die das Informationssicherheits-Managementsystem eines Unternehmens gehalten werden kann. Dieser Rahmen ermöglicht es den Prüfern, die Beharrlichkeit des Systems als Ganzes zu bewerten. Unternehmen können sich für ein Audit entscheiden, wenn sie ihren Kunden und Kunden versichern möchten, dass ihre Daten in ihren Wänden sicher sind.
In dieser Sammlung von Bestimmungen enthalten sind: Spezifikationen bezüglich Sicherheitspolitik, Asset Klassifizierung, Umweltsicherheit, Netzwerkmanagement, Systemwartung und Geschäftskontinuität Planung.
Die ISO hat all diese Facetten aus der ursprünglichen BSI-Charta verdichtet und sie in die Version destilliert, die wir heute kennen.
Eintauchen in die Richtlinie
Was genau wird bewertet, wenn sich ein Unternehmen einem ISO 27001-Audit unterzieht?
Ziel des Standards ist es, eine effektive und sichere Informationspolitik international zu formalisieren. Es fördert eine proaktive Haltung, die versucht, Probleme zu vermeiden, bevor sie auftreten.
Die ISO betont drei wichtige Aspekte eines sicheren ISMS:
1. Ständige Analyse und Anerkennung von Risiken: Dies umfasst sowohl aktuelle Risiken als auch Risiken, die sich in der Zukunft ergeben können.
2. Ein robustes und sicheres System: Dies umfasst das System, wie es im technischen Sinne existiert, sowie alle Sicherheitskontrollen, die die Organisation einsetzt, um sich gegen die oben genannten Risiken zu schützen. Diese werden je nach Unternehmen und Branche sehr unterschiedlich aussehen.
3. Ein engagiertes Führungsteam: Dies werden die Leute sein, die tatsächlich Kontrollen zur Verteidigung der Organisation einsetzen. Das System ist nur so effektiv wie diejenigen, die am Ruder arbeiten.
Die Analyse dieser drei entscheidenden Faktoren hilft dem Prüfer, ein vollständigeres Bild von der Fähigkeit eines bestimmten Unternehmens, sicher zu arbeiten, zu zeichnen. Nachhaltigkeit wird einem ISMS vorgezogen, das nur auf brachialer technischer Gewalt beruht.
Verbunden: So verhindern Sie, dass Mitarbeiter Unternehmensdaten stehlen, wenn sie gehen
Es gibt ein wichtiges menschliches Element, das vorhanden sein muss. Die Art und Weise, wie Menschen innerhalb des Unternehmens die Kontrolle über ihre Daten und ihr ISMS ausüben, steht im Vordergrund. Diese Kontrollen sind es, die die Daten tatsächlich schützen.
Was ist Anhang A von ISO 27001?
Spezifische Beispiele für "Kontrollen" hängen von der Branche ab. Anhang A von ISO 27001 bietet Unternehmen 114 offiziell anerkannte Kontrollmöglichkeiten für die Sicherheit ihres Betriebs.
Diese Kontrollen fallen in eine von vierzehn Klassifikationen:
A.5—Informations- und Sicherheitsrichtlinien: die institutionalisierten Richtlinien und Verfahren, die ein Unternehmen befolgt.
A.6—Organisation der Informationssicherheit: die Zuweisung von Verantwortung innerhalb der Organisation im Hinblick auf den Rahmen des ISMS und dessen Umsetzung. Dazu gehört seltsamerweise auch die Richtlinie zur Telearbeit und die and Gerätenutzung im Unternehmen.
A.7—Personalsicherheit: betrifft das Onboarding, Offboarding und den Rollenwechsel von Mitarbeitern innerhalb der Organisation. Auch Screening-Standards und Best Practices in der allgemeinen und beruflichen Bildung werden hier beschrieben.
A.8—Anlagenmanagement: umfasst die verarbeiteten Daten. Assets müssen inventarisiert, gewartet und privat gehalten werden, in einigen Fällen sogar über Abteilungsgrenzen hinweg. Das Eigentum an jedem Vermögenswert muss eindeutig nachgewiesen werden; Diese Klausel empfiehlt Unternehmen, eine für ihre Branche spezifische „Richtlinie zur akzeptablen Nutzung“ zu erstellen.
A.9—Zugangskontrolle: Wer darf mit Ihren Daten umgehen und wie beschränken Sie den Zugriff auf autorisierte Mitarbeiter? Dies kann die bedingte Berechtigungsvergabe im technischen Sinne oder den Zugang zu verschlossenen Gebäuden auf Ihrem Firmengelände umfassen.
A.10—Kryptographie: befasst sich hauptsächlich mit Verschlüsselung und anderen Möglichkeiten zum Schutz von Daten während der Übertragung. Diese Präventivmaßnahmen müssen aktiv gemanagt werden; Die ISO rät Unternehmen davon ab, Verschlüsselung als eine universelle Lösung für all die tiefgreifenden Herausforderungen im Zusammenhang mit der Datensicherheit zu betrachten.
A.11—Physische und Umgebungssicherheit: bewertet die physische Sicherheit überall dort, wo sich sensible Daten befinden, sei es in einem echten Bürogebäude oder in einem kleinen, klimatisierten Raum voller Server.
A.12—Betriebssicherheit: Was sind Ihre internen Sicherheitsregeln für den Betrieb Ihres Unternehmens? Dokumentationen, die diese Verfahren erläutern, sollten regelmäßig gepflegt und überarbeitet werden, um neuen, aufkommenden Geschäftsanforderungen gerecht zu werden.
Change Management, Capacity Management und die Trennung verschiedener Abteilungen fallen unter diese Rubrik.
A.13—Netzwerksicherheitsmanagement: Die Netzwerke, die jedes System in Ihrem Unternehmen verbinden, müssen dicht sein und sorgfältig gepflegt werden.
Catch-All-Lösungen wie Firewalls werden noch effektiver, wenn sie durch Dinge wie häufige Überprüfungspunkte, formalisierte Übertragungsrichtlinien oder durch Verbot der Nutzung öffentlicher Netze zum Beispiel beim Umgang mit den Daten Ihres Unternehmens.
A.14—Systembeschaffung, Entwicklung und Wartung: Wenn Ihr Unternehmen noch kein ISMS hat, erklärt dieser Abschnitt, was ein ideales System mit sich bringt. Es hilft Ihnen sicherzustellen, dass der Umfang des ISMS jeden Aspekt Ihres Produktionslebenszyklus abdeckt.
Eine interne Richtlinie zur sicheren Entwicklung gibt Ihren Ingenieuren den Kontext, den sie benötigen, um ein konformes Produkt zu entwickeln, von dem Tag an, an dem ihre Arbeit beginnt.
A.15—Sicherheitsrichtlinie für Lieferanten: Welche Vorkehrungen werden bei Geschäften mit Drittanbietern außerhalb Ihres Unternehmens getroffen, um Lecks oder Verletzungen der mit ihnen geteilten Daten zu verhindern?
A.16—Management von Informationssicherheitsvorfällen: Wenn etwas schief geht, bietet Ihr Unternehmen wahrscheinlich einen Rahmen dafür, wie das Problem in Zukunft gemeldet, angegangen und verhindert werden sollte.
Die ISO sucht nach Vergeltungssystemen, die es den Autoritätspersonen im Unternehmen ermöglichen, nach dem Erkennen einer Bedrohung schnell und vorurteilsfrei zu agieren.
A.17—Aspekte der Informationssicherheit des Business Continuity Managements: Im Falle einer Katastrophe oder eines anderen unwahrscheinlichen Vorfalls, der Ihren Betrieb unwiderruflich unterbricht, einen Plan müssen vorhanden sein, um das Wohl des Unternehmens und seiner Daten zu bewahren, bis das Geschäft wieder aufgenommen wird normal.
Die Idee ist, dass eine Organisation eine Möglichkeit braucht, die Kontinuität der Sicherheit in Zeiten wie diesen zu wahren.
A.18—Beachtung: Schließlich kommen wir zum eigentlichen Vertrag der Vereinbarungen, die ein Unternehmen abschließen muss, um die Anforderungen für die ISO 27001-Zertifizierung zu erfüllen. Ihre Verpflichtungen werden vor Ihnen ausgelegt. Sie müssen nur noch auf der gestrichelten Linie unterschreiben.
Die ISO verlangt nicht mehr, dass konforme Unternehmen nur Kontrollen verwenden, die in die oben aufgeführten Kategorien passen. Die Liste ist jedoch ein guter Ausgangspunkt, wenn Sie gerade erst damit beginnen, den Grundstein für das ISMS Ihres Unternehmens zu legen.
Verbunden: So verbessern Sie Ihre Achtsamkeit mit guten Sicherheitspraktiken
Sollte mein Unternehmen auditiert werden?
Das hängt davon ab. Wenn Sie ein sehr kleines Start-up sind, das in einem Bereich arbeitet, der nicht sensibel oder risikoreich ist, können Sie wahrscheinlich warten, bis Ihre Pläne für die Zukunft sicherer sind.
Später, wenn Ihr Team wächst, können Sie sich in einer der folgenden Kategorien wiederfinden:
- Möglicherweise arbeiten Sie mit einem wichtigen Kunden zusammen, der um eine Bewertung Ihres Unternehmens bittet, um sicherzustellen, dass er bei Ihnen sicher ist.
- Vielleicht möchten Sie in Zukunft zu einem Börsengang übergehen.
- Sie sind bereits Opfer einer Sicherheitsverletzung geworden und müssen die Art und Weise, wie Sie die Daten Ihres Unternehmens verwalten und schützen, überdenken.
Prognosen für die Zukunft sind nicht immer einfach. Auch wenn Sie sich in keinem der oben genannten Szenarien wiederfinden, schadet es nicht, proaktiv zu sein und einige der von der ISO empfohlenen Praktiken in Ihr Regime aufzunehmen.
Die Macht liegt in Ihren Händen
Die Vorbereitung Ihres ISMS auf ein Audit ist so einfach wie eine Due Diligence, auch wenn Sie heute arbeiten. Die Dokumentation sollte immer gepflegt und archiviert werden, um Ihnen den Nachweis zu liefern, den Sie zur Untermauerung Ihrer Kompetenzansprüche benötigen.
Es ist wie in der Mittelschule: Du machst die Hausaufgaben und bekommst die Note. Die Kunden sind gesund und munter und Ihr Chef ist sehr zufrieden mit Ihnen. Dies sind einfache Gewohnheiten, die Sie lernen und beibehalten können. Du wirst es dir später danken, wenn endlich der Mann mit der Zwischenablage anruft.
Hier sind die Cyberangriffe, die Sie 2021 im Auge behalten müssen und wie Sie vermeiden können, ihnen zum Opfer zu fallen.
Weiter lesen
- Sicherheit
- Computersicherheit
- Datensicherheit
Emma Garofalo ist Autorin und lebt derzeit in Pittsburgh, Pennsylvania. Wenn sie nicht gerade an ihrem Schreibtisch arbeitet, um ein besseres Morgen zu haben, ist sie normalerweise hinter der Kamera oder in der Küche zu finden.
Abonnieren Sie unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Noch ein Schritt…!
Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.