Bezpečnost informací pro malé a střední podniky

OBSAH

• Bezpečnost informací pro malé a střední podniky
• Začínáme se zabezpečením informací: ISO 27001 pro malé podnikys
• Lepší zabezpečení IT pro malé a střední podniky díky novým kontrolním mechanismům
• NIS2: Proč musí malé a střední podniky posílit svou kybernetickou bezpečnost
• Bezpečnost informací pro malé a střední podniky - závěr
• V dobrých rukou s DQS
• Tip na čtení: Dokumentované informace

Bezpečnost informací pro malé a střední podniky

Doba se změnila - a s ní i požadavky na kybernetickou bezpečnost malých a středních podniků. Mnoho malých a středních podniků rychle roste a často patří mezi lídry na trhu ve svých odvětvích. Proto mají odpovídajícím způsobem vysokou potřebu chránit své obvykle jedinečné know-how a obchodní tajemství - ale v zásadě všechna svá data a informace - před neoprávněným přístupem.

Malé a střední podniky však vzhledem ke svým omezeným zdrojům málokdy disponují potřebnými prostředky pro bezproblémové zabezpečení informací na podnikové úrovni - a to i v případě, že si jsou vědomy bezpečnostních rizik v celkovém obrazu zabezpečení informačních technologií a dat. Nedostatek odborníků v oblasti IT a obrovské náklady na provoz vlastního bezpečnostního operačního střediska (SOC) jsou jen dva z mnoha problémů, které stojí malým a středním podnikům v cestě k optimalizaci jejich kybernetické bezpečnosti.

Je to o to problematičtější, že malé a střední podniky čelí stále častějším útokům ze strany kybernetických zločinců, a to i v důsledku napjaté geopolitické situace a rostoucího počtu útoků v dodavatelském řetězci. Spektrum sahá od hromadně zasílaného ransomwaru až po cílené profesionální útoky na jednotlivé společnosti. Útočníci také stále častěji využívají jako vektor cloudové služby, které malé a střední podniky (musí) využívat obzvláště často z důvodů nákladů a efektivity.

Průzkum provedený německou pojišťovnou HDI Versicherungen v roce 2024 ukázal, že 53 % malých a středních podniků se již stalo terčem kybernetického útoku. Tento údaj však neodráží celý rozsah útoků, ale dokumentuje pouze ty incidenty, které společnosti veřejně přiznaly.

Tento dojem potvrzuje i německá"Gothaer SME Study 2024", podle níž představuje kyberkriminalita největší riziko pro 48 % malých a středních podniků. Podle této studie také 37 % malých podniků očekává, že riziko, že se stanou obětí kybernetického útoku, se v příštích dvanácti měsících dále zvýší. Do tohoto počtu nejsou zahrnuta ta rizika informační bezpečnosti, která vůbec nepocházejí ze sítě, ale mají interní, většinou osobní charakter a hrají významnou roli v kontextu komplexní informační bezpečnosti.

ISO 27001 pro malé podniky

Jako pracovník odpovědný za bezpečnost informací (ISO) a za ochranu údajů v malé nebo střední firmě máte v dnešní době sotva na výběr: musíte zajistit bezpečnost citlivých dat a informací. Nejde přitom jen o zabezpečení informačních technologií. Je třeba brát v úvahu také strukturální opatření, organizační postupy a procesy a požadavky na zaměstnance. Také lidský faktor hraje v zabezpečení informací ústřední roli a musí být odpovídajícím způsobem zohledněn.

Zlatým standardem pro systematické zabezpečení informací je mezinárodní norma ISO/IEC 27001. Poskytuje stanovený zkušební základ a pokyny pro zavádění systémů řízení bezpečnosti informací (ISMS) - pro společnosti bez ohledu na jejich organizační strukturu, zaměření nebo velikost. Příloha A nové normy ISO/IEC 27001:2022, která se ve své aktualizované podobě zabývá všemi aspekty bezpečnosti informací - od organizačních opatření přes personální a fyzická opatření až po technická bezpečnostní opatření - nabízí dobrý úvod pro malé společnosti.

Lepší zabezpečení IT pro malé a střední podniky díky novým kontrolním mechanismům

Už jen díky pragmatické povaze přílohy A je norma ISO 27001 dobrou volbou pro malé společnosti. Obsahuje celkem 93 opatření (kontrol) v oblasti bezpečnosti informací, z nichž 11 bylo nově zavedeno při poslední aktualizaci v roce 2022.

Nové kontroly se zaměřují především na bezpečnost dat a struktur v digitální oblasti, a nabízejí tak cenné pokyny, které mohou výrazně zlepšit bezpečnost informací pro malé a střední podniky. Přinášíme přehled některých nových opatření a způsobů, jak je mohou malé podniky využít:

• Tyto kontrolní prvky pro detekci, prevenci a včasné rozpoznání kybernetických útoků mohou mít pro malé a střední podniky téměř existenční význam z hlediska bezpečnosti a řízení kontinuity podnikání.5.7 Threat intelligence, 8.16 Activity monitoring, 8.23 Web filtering
  . Malé podniky jsou nejen zranitelné vůči kybernetické kriminalitě kvůli svým omezeným zdrojům, ale v případě ransomwaru se mohou také rychle dostat do bodu všeobecné platební neschopnosti.

• 5.23 Bezpečnost informací při využívání cloudových služeb
  Vzhledem k tomu, že malé a střední podniky často využívají externí cloudové služby, je obzvláště důležité zavést vhodné procesy pro získávání, využívání, správu a ukončení cloudových služeb. Opatření zohledňuje také odpovědnost mezi poskytovatelem cloudových služeb a organizací využívající cloudové služby za odpovídající zabezpečení cloudu.

• 5.30 Připravenost ICT na kontinuitu podnikání
  Kontinuita podnikání je nezbytná i pro malé podniky jako součást někdy hluboce integrovaných dodavatelských řetězců a pro udržení finančních ztrát na minimu. Kontrola "Připravenost ICT pro kontinuitu podnikání" pomáhá vytvořit vhodnou organizační strukturu pro případ incidentu a plány kontinuity ICT, včetně postupů reakce a obnovy.

• 8.9 Řízení konfigurace
  Vysoce výkonný a bezpečný provoz moderních IT prostředí závisí do značné míry na správné konfiguraci všech zapojených systémů, komponent a aplikací. Pro bezpečnost IT v malých firmách je to dobře: Jednou nakonfigurované monitorovací procesy lze z velké části realizovat automaticky, což nevyvolává téměř žádné dodatečné personální náklady. Bezpečná správa konfigurace v informačních technologiích spadá do oblasti technologických nebo technických opatření.

• 8.10 Vymazání informací, 8.11 Maskování dat, 8.12 Prevence úniku dat
  Malé a střední podniky si často vytvářejí mezeru na trhu díky své jedinečné odbornosti. Tyto speciální znalosti jsou klíčem k jejich úspěchu, a proto stojí za to je chránit. Technická opatření v oblasti bezpečnosti informací pomáhají podnikům zabránit nežádoucím únikům a ztrátám dat a minimalizovat útočnou plochu pro hackery a průmyslovou špionáž.

Kontrolní mechanismy uvedené v příloze A normy ISO 27001 mají pro malé a střední podniky velkou hodnotu, zejména s ohledem na připravovanou směrnici NIS 2 pro průmyslovou kybernetickou bezpečnost v EU.

NIS2: Proč musí malé a střední podniky posílit svou informační bezpečnost

Evropská unie zveřejnila novou verzi směrnice o bezpečnosti sítí a informací (NIS) na konci roku 2022. NIS2 klade na společnosti v kritických odvětvích nové požadavky na informační bezpečnost a dotkne se i mnoha malých a středních podniků, pokud jde o ochranu dat a IT struktur.

Podle směrnice NIS2 musí požadavky splňovat společnosti s 50 a více zaměstnanci a obratem 10 milionů eur z příslušných odvětví. Malé a střední podniky jsou společnosti s maximálně 249 zaměstnanci a obratem 50 milionů eur, takže se jich to přímo týká. Je však důležité si uvědomit, že i menší společnosti mohou být směrnicí NIS2 dotčeny nepřímo prostřednictvím dodavatelského řetězce, tj. jako dodavatelé dotčené společnosti. V rámci implementace pro jednotlivé země, která vstoupí v platnost 17. října 2024, mohou být tyto limity navíc posunuty ještě více dolů.

Malým a středním podnikům nezbývá mnoho času na přípravu na nové požadavky. Dobrá zpráva: díky normě ISO 27001 mohou malé společnosti udělat velký krok správným směrem, protože tato norma již pokrývá velkou část (přibližně 95 %) požadavků NIS 2.

Bezpečnost informací pro malé a střední podniky - závěr

Vzhledem k současným scénářům hrozeb by měly malé a střední podniky (MSP), orgány veřejné správy a místní samosprávy rovněž zavést systém řízení bezpečnosti informací v souladu s mezinárodně uznávanou normou ISO 27001 a zvážit certifikaci. Výhoda účinného systému řízení spočívá nejen v obsáhlém a podrobném katalogu požadavků, ale také - a to je pro malé a střední podniky obzvláště zajímavé - ve výslovně prakticky zaměřené příloze A, která v novém vydání z roku 2022 uvádí 93 bezpečnostních opatření (kontrol) ve čtyřech kapitolách.

Pokud jde o bezpečnost informací pro malé a střední podniky, nejenže se zvyšuje potřeba zavést a certifikovat plnohodnotný ISMS podle normy ISO 27001 - stačí se podívat na NIS-2 - ale v některých případech se zásadně změnily i strukturální požadavky. Je tomu tak proto, že mnoho malých a středních podniků již dnes má certifikovaný systém řízení kvality v souladu s normou ISO 9001, což znamená, že základy integrovaného systému řízení spolu s normou ISO 27001 jsou již vytvořeny, což šetří čas, personál i náklady. Norma ISO 27001 pro malé podniky je tedy na dosah.

V dobrých rukou s DQS

Naše certifikační audity vám zajistí přehlednost. Ucelený, neutrální pohled zvenčí na lidi, procesy, systémy a výsledky ukazuje, jak efektivní je váš systém řízení a jak je implementován a řízen. Je pro nás důležité, abyste náš audit nevnímali jako zkoušku, ale jako obohacení vašeho systému řízení.

Náš přístup vždy začíná tam, kde končí kontrolní seznamy auditu. Výslovně se ptáme "proč", protože chceme pochopit důvody, proč jste zvolili určitý způsob implementace. Zaměřujeme se na možnosti zlepšení a podporujeme změnu pohledu. Tento důkladný přístup vám zaručí, že identifikujete oblasti, ve kterých je možné neustále zlepšovat váš systém řízení.

Tip na čtení: Dokumentované informace

Rychlost, s jakou jsou informace distribuovány a zpracovávány, je v dnešních organizacích velkou výzvou. Rozmanitost informací stále více ztěžuje identifikaci klíčových informací, které jsou pro organizaci a její systém řízení relevantní.

Využívání moderních komunikačních prostředků ke kontrole dokumentovaných informací zároveň přináší zcela nové aspekty. Dostupnost, integrita a důvěrnost jsou proto stále důležitější. S rostoucím stupněm dostupnosti však klesá bezpečnost informací, pokud nejsou přijata vhodná ochranná opatření.

Důvěra a odbornost

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro jejich autora, obraťte se na nás.