Sigurnost informacija za MSP

SADRŽAJ

• Sigurnost informacija za MSP
• Početak rada sa sigurnošću informacija: ISO 27001 za mala preduzeća
• Poboljšana IT sigurnost za MSP zahvaljujući novim kontrolama
• NIS2: Zašto MSP trebaju ojačati svoju sajber sigurnost
• Sigurnost informacija za MSP - Zaključak
• U dobrim rukama sa DQS
• Savjet za čitanje: Dokumentirane informacije

Sigurnost informacija za MSP

Vremena su se promijenila – pa tako i zahtjevi za sajber sigurnost za mala i srednja preduzeća. Mnoga mala i srednja preduzeća brzo rastu i često su među tržišnim liderima u svojim sektorima. Stoga imaju odgovarajuću veliku potrebu da zaštite svoje obično jedinstveno znanje i poslovnu tajnu - ali u principu, sve svoje podatke i informacije - od neovlaštenog pristupa.

Međutim, zbog svojih ograničenih resursa, mala i srednja preduzeća rijetko imaju potrebna sredstva za besprijekornu sigurnost informacija na nivou preduzeća - čak i ako su svjesna sigurnosnih rizika u cjelokupnoj slici informacione tehnologije i sigurnosti podataka. Nedostatak stručnjaka u IT sektoru i enormni troškovi vođenja vlastitog sigurnosno-operativnog centra (SOC) samo su dva od mnogih problema koji stoje na putu malim i srednjim preduzećima da optimiziraju svoju sajber sigurnost.

Ovo je još više problematično jer se mala i srednja preduzeća suočavaju sa sve većim napadima sajber kriminalaca, ne samo zbog napete geopolitičke situacije i sve većeg broja napada na lanac opskrbe. Spektar se kreće od ransomwarea koji se šalje masovno do ciljanih profesionalnih napada na pojedinačne kompanije. Napadači također sve više koriste usluge oblaka kao vektor, koje mala i srednja preduzeća (moraju) posebno često koriste iz razloga troškova i efikasnosti.

Istraživanje koje je 2024. provela njemačka osiguravajuća kompanija HDI Versicherungen otkrilo je da je 53% malih i srednjih kompanija već bilo meta sajber napada. Međutim, ova brojka ne odražava puni obim napada, već samo dokumentuje one incidente koje kompanije javno priznaju.

Ovaj utisak potvrđuje njemačka "Gothaerova MSP studija 2024", prema kojoj sajber kriminal predstavlja najveći rizik za 48% malih i srednjih preduzeća. Prema studiji, 37% malih kompanija također očekuje da će se rizik od sajber napada dodatno povećati u narednih dvanaest mjeseci. Ovo ne uključuje one rizike informacijske sigurnosti koji uopće ne dolaze iz mreže, već su interni, uglavnom lične prirode, i igraju značajnu ulogu u kontekstu sveobuhvatne informacione sigurnosti.

ISO 27001 za mala preduzeća

Kao službenik za sigurnost informacija i službenik za zaštitu podataka male ili srednje kompanije, ovih dana gotovo da nemate izbora: morate osigurati sigurnost osjetljivih podataka i informacija. Ne radi se samo o sigurnosti informacionih tehnologija. Strukturne mjere, organizacione procedure i procesi, kao i kadrovski zahtjevi, također se moraju uzeti u obzir. Ljudski faktor također igra centralnu ulogu u informacionoj sigurnosti i mora se shodno tome uzeti u obzir.

Zlatni standard za sistematsku sigurnost informacija je međunarodni standard ISO/IEC 27001. On pruža uspostavljenu osnovu za testiranje i smjernice za implementaciju sistema upravljanja sigurnošću informacija (ISMS) – za kompanije bez obzira na njihovu organizacionu strukturu, orijentaciju ili veličinu. Aneks A novog standarda ISO/IEC 27001:2022, koji se u svom ažuriranom obliku bavi svim aspektima sigurnosti informacija – od organizacionih mjera preko ličnih i fizičkih mjera do tehničkih sigurnosnih mjera – nudi dobar uvod za male kompanije.

Poboljšana IT sigurnost za MSP zahvaljujući novim kontrolama

Sama pragmatična priroda Aneksa A čini ISO 27001 dobrim izborom za male kompanije. Sastoji se od ukupno 93 mjere (kontrole) sigurnosti informacija, od kojih je 11 novo uvedeno u posljednjem ažuriranju 2022. godine.

Nove kontrole se prvenstveno fokusiraju na sigurnost podataka i struktura u digitalnom domenu i stoga nude vrijedne smjernice koje mogu značajno poboljšati sigurnost informacija za MSP. Evo pregleda nekih novih funkcija i načina na koji male kompanije mogu imati koristi od njih:

• 5.7 Obavještajni podaci o prijetnjama, 8.16 Aktivnosti praćenja, 8.23 ​​Web filtriranje
  Ove kontrole za otkrivanje, prevenciju i pravovremeno prepoznavanje sajber napada mogu biti od gotovo egzistencijalne važnosti za MSP u smislu sigurnosti i upravljanja kontinuitetom poslovanja. Male kompanije ne samo da su ranjive na sajber kriminal zbog svojih ograničenih resursa, već mogu brzo doći do tačke opće nesolventnosti u slučaju ransomware-a.
• 5.23 Sigurnost informacija za korištenje usluga u oblaku
  Kako mala i srednja preduzeća često koriste eksterne usluge u oblaku, implementacija prikladnih procesa za stjecanje, korištenje, upravljanje i izlazak iz usluga u oblaku je posebno relevantna. Mjera također uzima u obzir odgovornosti između pružatelja usluga u oblaku i organizacije koja koristi oblak za odgovarajuću sigurnost u oblaku.
• 5.30 IKT spremnost za kontinuitet poslovanja
  Kontinuitet poslovanja je također od suštinskog značaja za male kompanije kao dio ponekad duboko integrisanih lanaca snabdijevanja i kako bi se finansijski gubici sveli na minimum. Kontrola "IKT Spremnost za kontinuitet poslovanja" pomaže u stvaranju odgovarajuće organizacijske strukture u slučaju incidenta i planova IKT kontinuiteta, uključujući postupke odgovora i oporavka.

• 8.9 Upravljanje konfiguracijom
  Visoke performanse i siguran rad modernog IT pejzaža u velikoj mjeri zavisi od pravilne konfiguracije svih uključenih sistema, komponenti i aplikacija. Dobra stvar za IT sigurnost malih kompanija: Jednom konfigurisani, procesi nadzora mogu se uglavnom implementirati automatski, čime se gotovo ne stvaraju dodatni troškovi osoblja. Sigurno upravljanje konfiguracijom u informatičkoj tehnologiji spada u područje tehnoloških ili tehničkih mjera.

• 8.10 Brisanje informacija, 8.11 Maskiranje podataka, 8.12 Spriječavanje curenja podataka
  MSP često stvaraju za sebe nišu na tržištu kroz svoju jedinstvenu stručnost. Ovo posebno znanje je ključ njihovog uspjeha i stoga je vrijedno zaštite. Tehničke mjere u informacionoj sigurnosti pomažu kompanijama da izbjegnu neželjene odlive podataka i gubitak podataka i minimiziraju površinu napada za hakere i industrijsku špijunažu.

Kontrole u Aneksu A standarda ISO 27001 su od velike vrednosti za MSP, posebno u svijetlu predstojeće NIS 2 direktive za industrijsku sajber sigurnost u EU.

NIS2: Zašto MSP trebaju jačati svoju sigurnost informacija 

Evropska unija objavila je novu verziju Direktive o mrežnoj i informacijskoj sigurnosti (NIS) krajem 2022. NIS2 postavlja nove zahtjeve za sigurnost informacija za kompanije u kritičnim sektorima i također će uticati na mnoga mala i srednja preduzeća u pogledu zaštite podataka i IT struktura.

Prema NIS2 direktivi, kompanije sa 50 ili više zaposlenih i prometom od 10 miliona eura iz relevantnih sektora moraju da ispunjavaju uslove. Mala i srednja preduzeća su kompanije sa do 249 zaposlenih i prometom od 50 miliona eura, tako da su direktno pogođena. Međutim, važno je shvatiti da čak i manja preduzeća mogu biti indirektno pogođena NIS2 preko lanca snabdijevanja, odnosno kao dobavljači pogođene kompanije. U primjeni za pojedine zemlje, koja će stupiti na snagu 17. oktobra 2024., ove granice se također mogu pomjeriti još niže.

MSP nemaju puno vremena da se pripreme za nove zahtjeve. Dobra vijest: sa ISO 27001, mala preduzeća mogu napraviti veliki korak u pravom smijeru, jer standard već pokriva veliki dio (cca. 95%) zahtjeva NIS 2.

Sigurnost informacija za MSP - Zaključak

U svjetlu trenutnih scenarija prijetnji, mala i srednja preduzeća (MSP), javne uprave i lokalne vlasti također bi trebali implementirati sistem upravljanja sigurnošću informacija u skladu sa međunarodno priznatim standardom ISO 27001 i razmotriti certifikaciju. Prednost efikasnog sistema upravljanja ne leži samo u sveobuhvatnom i detaljnom katalogu zahtjeva, već i – a to je posebno interesantno za mala i srednja preduzeća – u eksplicitno orijentisanom na praksu Aneksu A, koji navodi 93 sigurnosne mjere (kontrole) kroz četiri poglavlja u novom izdanju za 2022.

Što se tiče sigurnosti informacija za MSP, ne samo da se povećava potreba za implementacijom i certifikacijom potpuno razvijenog ISMS-a u skladu sa standardom ISO 27001 – pogledajte samo NIS-2 – već su se strukturni zahtjevi također fundamentalno promijenili u nekim slučajevima. To je jer danas mnoga mala i srednja preduzeća već imaju certificirani sistem upravljanja kvalitetom u skladu sa ISO 9001, što znači da su temelji za integrisani sistem upravljanja zajedno sa ISO 27001 već postavljeni, čime se štedi vrijeme, osoblje i troškovi. ISO 27001 za mala preduzeća je stoga na dohvat ruke.

U dobrim rukama sa DQS

Naši certifikacijski auditi pružaju vam jasnoću. Holistički, neutralni spoljašnji pogled na ljude, procese, sisteme i rezultate pokazuje koliko je efikasan vaš sistem upravljanja i kako se implementira i kontroliše. Važno nam je da naš audit ne doživljavate kao ispitivanje, već kao obogaćivanje vašeg sistema upravljanja.

Naš pristup uvijek počinje tamo gdje završavaju kontrolne liste audita. Posebno pitamo "zašto" jer želimo razumjeti razloge zašto ste odabrali određeni način implementacije. Fokusiramo se na potencijal za poboljšanje i potičemo promjenu perspektive. Ovaj temeljit pristup osigurava da ćete identificirati područja koja se mogu primijeniti za kontinuirano poboljšanje vašeg sistema upravljanja.

Savjet za čitanje: Dokumentirane informacije

Brzina kojom se informacije distribuiraju i obrađuju veliki je izazov u današnjim organizacijama. Raznolikost informacija čini sve težim da se identifikuju ključne informacije koje su relevantne za organizaciju i njen sistem upravljanja.

U isto vrijeme, korištenje modernih sredstava komunikacije za kontrolu dokumentiranih informacija dovodi do potpuno novih aspekata. Dostupnost, integritet i povjerljivost stoga postaju sve važniji. Međutim, kako se stepen dostupnosti povećava, sigurnost informacija opada ako se ne preduzmu odgovarajuće zaštitne mjere.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.