Bezpieczeństwo informacji dla MŚP

TREŚĆ

• Bezpieczeństwo informacji dla MŚP
• Pierwsze kroki z bezpieczeństwem informacji: ISO 27001 dla małych przedsiębiorstw
• Lepsze bezpieczeństwo IT dla MŚP dzięki nowym kontrolom
• NIS2: Dlaczego MŚP muszą wzmocnić swoje cyberbezpieczeństwo
• Bezpieczeństwo informacji dla MŚP - Podsumowanie
• W dobrych rękach z DQS
• Wskazówka do czytania: udokumentowane informacje

Bezpieczeństwo informacji dla MŚP

Czasy się zmieniły - podobnie jak wymagania dotyczące cyberbezpieczeństwa dla MŚP. Wiele MŚP szybko się rozwija i często należy do liderów rynkowych w swoich sektorach. W związku z tym mają one odpowiednio wysoką potrzebę ochrony swojego zazwyczaj unikalnego know-how i tajemnic handlowych - ale w zasadzie wszystkich swoich danych i informacji - przed nieautoryzowanym dostępem.

Jednak ze względu na ograniczone zasoby, MŚP rzadko dysponują środkami niezbędnymi do zapewnienia płynnego bezpieczeństwa informacji na poziomie przedsiębiorstwa - nawet jeśli są świadome zagrożeń bezpieczeństwa w ogólnym obrazie technologii informacyjnej i bezpieczeństwa danych. Niedobór specjalistów w sektorze IT i ogromne koszty prowadzenia własnego Security Operations Center (SOC) to tylko dwa z wielu problemów, które stoją na drodze MŚP do optymalizacji ich cyberbezpieczeństwa.

Jest to tym bardziej problematyczne, że MŚP stają w obliczu coraz częstszych ataków ze strony cyberprzestępców, nie tylko ze względu na napiętą sytuację geopolityczną i rosnącą liczbę ataków w łańcuchu dostaw. Spektrum sięga od masowo wysyłanego oprogramowania ransomware po ukierunkowane, profesjonalne ataki na poszczególne firmy. Atakujący coraz częściej wykorzystują również usługi w chmurze jako wektor, z którego MŚP (muszą) korzystać szczególnie często ze względu na koszty i wydajność.

Badanie przeprowadzone przez niemiecką firmę ubezpieczeniową HDI Versicherungen w 2024 r. wykazało, że 53% małych i średnich firm było już celem cyberataku. Liczba ta nie odzwierciedla jednak pełnego zakresu ataków, a jedynie dokumentuje te incydenty, do których firmy publicznie się przyznają.

Wrażenie to potwierdza niemieckie badanie"Gothaer SME Study 2024", zgodnie z którym cyberprzestępczość stanowi największe ryzyko dla 48% MŚP. Według badania, 37% małych firm spodziewa się dalszego wzrostu ryzyka padnięcia ofiarą cyberataku w ciągu najbliższych dwunastu miesięcy. Nie obejmuje to tych zagrożeń bezpieczeństwa informacji, które w ogóle nie pochodzą z sieci, ale mają charakter wewnętrzny, głównie osobisty, i odgrywają znaczącą rolę w kontekście kompleksowego bezpieczeństwa informacji.

ISO 27001 dla małych firm

Jako inspektor bezpieczeństwa informacji (ISO) i inspektor ochrony danych w małej lub średniej firmie, w dzisiejszych czasach nie masz wyboru: musisz zapewnić bezpieczeństwo wrażliwych danych i informacji. Nie chodzi tu tylko o bezpieczeństwo technologii informatycznych. Należy również wziąć pod uwagę środki strukturalne, procedury i procesy organizacyjne oraz wymagania dotyczące personelu. Czynnik ludzki również odgrywa kluczową rolę w bezpieczeństwie informacji i musi być odpowiednio uwzględniony.

Złotym standardem systematycznego zapewniania bezpieczeństwa informacji jest międzynarodowa norma ISO/IEC 27001. Zapewnia ona ustaloną podstawę testową i wytyczne dotyczące wdrażania systemów zarządzania bezpieczeństwem informacji (ISMS) - dla firm niezależnie od ich struktury organizacyjnej, orientacji lub wielkości. Załącznik A do nowej normy ISO/IEC 27001:2022, który w zaktualizowanej formie odnosi się do wszystkich aspektów bezpieczeństwa informacji - od środków organizacyjnych, przez środki osobiste i fizyczne, po techniczne środki bezpieczeństwa - stanowi dobre wprowadzenie dla małych firm.

Większe bezpieczeństwo IT dla MŚP dzięki nowym kontrolom

Pragmatyczny charakter samego załącznika A sprawia, że ISO 27001 jest dobrym wyborem dla małych firm. Obejmuje on łącznie 93 środki bezpieczeństwa informacji (kontrole), z których 11 zostało nowo wprowadzonych w ostatniej aktualizacji w 2022 roku.

Nowe mechanizmy kontrolne koncentrują się przede wszystkim na bezpieczeństwie danych i struktur w domenie cyfrowej, a tym samym oferują cenne wytyczne, które mogą znacznie poprawić bezpieczeństwo informacji w MŚP. Oto przegląd niektórych nowych funkcji i tego, jak małe firmy mogą z nich skorzystać:

• 5.7 Threat intelligence, 8.16 Activity monitoring, 8.23 Web filtering
  Te mechanizmy kontrolne służące wykrywaniu, zapobieganiu i rozpoznawaniu na czas cyberataków mogą mieć niemal egzystencjalne znaczenie dla MŚP w zakresie zarządzania bezpieczeństwem i ciągłością działania. Małe firmy są nie tylko podatne na cyberprzestępczość ze względu na ograniczone zasoby, ale mogą również szybko osiągnąć punkt ogólnej niewypłacalności w przypadku oprogramowania ransomware.

• 5.23 Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze
  Ponieważ MŚP często korzystają z zewnętrznych usług w chmurze, wdrożenie odpowiednich procesów nabywania, korzystania, zarządzania i wycofywania się z usług w chmurze jest szczególnie istotne. Środek ten uwzględnia również obowiązki między dostawcą usług w chmurze a organizacją korzystającą z chmury w zakresie odpowiedniego bezpieczeństwa chmury.

• 5.30 Gotowość ICT do zapewnienia ciągłości działania
  Ciągłość działania jest również niezbędna dla małych firm jako część czasami głęboko zintegrowanych łańcuchów dostaw oraz w celu ograniczenia strat finansowych do minimum. Kontrola "Gotowość ICT do ciągłości działania" pomaga stworzyć odpowiednią strukturę organizacyjną na wypadek incydentu oraz plany ciągłości ICT, w tym procedury reagowania i odzyskiwania.

• 8.9 Zarządzanie konfiguracją
  Wydajne i bezpieczne działanie nowoczesnych środowisk informatycznych zależy w dużej mierze od właściwej konfiguracji wszystkich systemów, komponentów i aplikacji. Jest to korzystne dla bezpieczeństwa IT w małych firmach: Raz skonfigurowane procesy monitorowania mogą być w większości wdrażane automatycznie, nie generując tym samym prawie żadnych dodatkowych kosztów osobowych. Bezpieczne zarządzanie konfiguracją w technologii informacyjnej należy do obszaru środków technologicznych lub technicznych.

• 8.10 Usuwanie informacji, 8.11 Maskowanie danych, 8.12 Zapobieganie wyciekom danych
  MŚP często tworzą dla siebie niszę na rynku dzięki swojej unikalnej wiedzy. Ta specjalna wiedza jest kluczem do ich sukcesu i dlatego warto ją chronić. Środki techniczne w zakresie bezpieczeństwa informacji pomagają firmom uniknąć niepożądanego wycieku i utraty danych oraz zminimalizować powierzchnię ataku dla hakerów i szpiegostwa przemysłowego.

Kontrole zawarte w załączniku A do normy ISO 27001 mają ogromną wartość dla MŚP, zwłaszcza w świetle nadchodzącej dyrektywy NIS 2 dotyczącej cyberbezpieczeństwa przemysłowego w UE.

NIS2: Dlaczego MŚP muszą wzmocnić swoje bezpieczeństwo informacji?

Unia Europejska opublikowała nową wersję dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS) pod koniec 2022 roku. NIS2 nakłada nowe wymagania w zakresie bezpieczeństwa informacji na firmy w sektorach krytycznych, a także wpłynie na wiele MŚP w zakresie ochrony danych i struktur IT.

Zgodnie z dyrektywą NIS2, firmy zatrudniające co najmniej 50 pracowników i osiągające obroty w wysokości 10 mln euro w odpowiednich sektorach muszą spełniać wymagania. MŚP to firmy zatrudniające do 249 pracowników i osiągające obroty w wysokości 50 mln euro, a więc dotyczy ich to bezpośrednio. Ważne jest jednak, aby zdać sobie sprawę, że nawet mniejsze firmy mogą być pośrednio dotknięte przez NIS2 poprzez łańcuch dostaw, tj. jako dostawcy dotkniętej firmy. W przypadku wdrożenia w poszczególnych krajach, które wejdzie w życie 17 października 2024 r., limity te mogą również zostać przesunięte jeszcze bardziej w dół.

MŚP nie mają zbyt wiele czasu na przygotowanie się do nowych wymogów. Dobra wiadomość: dzięki ISO 27001 małe firmy mogą zrobić duży krok we właściwym kierunku, ponieważ norma ta obejmuje już dużą część (około 95%) wymagań NIS 2.

Bezpieczeństwo informacji dla MŚP - wnioski

W świetle obecnych scenariuszy zagrożeń, małe i średnie przedsiębiorstwa (MŚP), administracja publiczna i władze lokalne powinny również wdrożyć system zarządzania bezpieczeństwem informacji zgodnie z uznaną międzynarodową normą ISO 27001 i rozważyć certyfikację. Zaletą skutecznego systemu zarządzania jest nie tylko kompleksowy i dogłębny katalog wymagań, ale także - co jest szczególnie interesujące dla MŚP - wyraźnie zorientowany na praktykę załącznik A, który wymienia 93 środki bezpieczeństwa (kontrole) w czterech rozdziałach nowej edycji 2022.

Jeśli chodzi o bezpieczeństwo informacji dla MŚP, nie tylko wzrasta potrzeba wdrożenia i certyfikacji pełnoprawnego SZBI zgodnie z ISO 27001 - wystarczy spojrzeć na NIS-2 - ale w niektórych przypadkach zasadniczo zmieniły się również wymagania strukturalne. Wynika to z faktu, że obecnie wiele MŚP posiada już certyfikowany system zarządzania jakością zgodny z ISO 9001, co oznacza, że podstawy zintegrowanego systemu zarządzania wraz z ISO 27001 już istnieją, oszczędzając czas, personel i koszty. ISO 27001 dla małych firm jest więc w zasięgu ręki.

W dobrych rękach z DQS

Nasze audyty certyfikacyjne zapewniają przejrzystość. Holistyczne, neutralne spojrzenie z zewnątrz na ludzi, procesy, systemy i wyniki pokazuje, jak skuteczny jest Twój system zarządzania oraz jak jest on wdrażany i kontrolowany. Ważne jest dla nas, abyś postrzegał nasz audyt nie jako badanie, ale jako wzbogacenie Twojego systemu zarządzania.

Nasze podejście zawsze zaczyna się tam, gdzie kończą się listy kontrolne audytu. W szczególności pytamy "dlaczego", ponieważ chcemy zrozumieć powody, dla których wybrano określony sposób wdrożenia. Skupiamy się na potencjale poprawy i zachęcamy do zmiany perspektywy. To dokładne podejście gwarantuje, że zidentyfikujesz obszary, w których można podjąć działania w celu ciągłego doskonalenia systemu zarządzania.

Wskazówka do czytania: udokumentowane informacje

Szybkość, z jaką informacje są dystrybuowane i przetwarzane, jest głównym wyzwaniem w dzisiejszych organizacjach. Różnorodność informacji sprawia, że coraz trudniej jest zidentyfikować kluczowe informacje, które są istotne dla organizacji i jej systemu zarządzania.

Jednocześnie wykorzystanie nowoczesnych środków komunikacji do kontroli udokumentowanych informacji rodzi zupełnie nowe aspekty. Dostępność, integralność i poufność stają się zatem coraz ważniejsze. Jednak wraz ze wzrostem stopnia dostępności, bezpieczeństwo informacji spada, o ile nie zostaną podjęte odpowiednie środki ochronne.

Zaufanie i wiedza

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. standardów lub wieloletnich audytorów. W przypadku jakichkolwiek pytań dotyczących treści tekstu lub naszych usług dla autora, prosimy o kontakt.