Informačná bezpečnosť pre MSP

OBSAH

• Bezpečnosť informácií pre MSP
• Začíname s informačnou bezpečnosťou: ISO 27001 pre malé podniky
• Zlepšenie bezpečnosti IT pre MSP vďaka novým kontrolným mechanizmom
• NIS2: Prečo musia MSP posilniť svoju kybernetickú bezpečnosť
• Informačná bezpečnosť pre MSP - Záver
• V dobrých rukách s DQS
• Tip na čítanie: Zdokumentované informácie

Informačná bezpečnosť pre MSP

Časy sa zmenili a zmenili sa aj požiadavky na kybernetickú bezpečnosť pre MSP. Mnohé MSP rýchlo rastú a často patria medzi lídrov na trhu vo svojich odvetviach. Preto majú primerane vysokú potrebu chrániť svoje zvyčajne jedinečné know-how a obchodné tajomstvá - ale v zásade všetky svoje údaje a informácie pred neoprávneným prístupom.

Malé a stredné podniky však vzhľadom na svoje obmedzené zdroje len zriedka disponujú potrebnými prostriedkami na bezproblémové zabezpečenie informácií na podnikovej úrovni - a to aj v prípade, že si uvedomujú bezpečnostné riziká v celkovom obraze informačných technológií a bezpečnosti údajov. Nedostatok odborníkov v oblasti IT a obrovské náklady na prevádzku vlastného bezpečnostného operačného centra (SOC) sú len dva z mnohých problémov, ktoré stoja MSP v ceste k optimalizácii ich kybernetickej bezpečnosti.

Je to o to problematickejšie, že MSP čelia čoraz častejším útokom zo strany kybernetických zločincov, a to aj v dôsledku napätej geopolitickej situácie a rastúceho počtu útokov na dodávateľský reťazec. Ich spektrum siaha od ransomvéru zasielaného hromadne až po cielené profesionálne útoky na jednotlivé spoločnosti. Útočníci tiež čoraz častejšie využívajú ako vektor cloudové služby, ktoré malé a stredné podniky (musia) využívať obzvlášť často z dôvodu nákladov a efektívnosti.

Prieskum, ktorý v roku 2024 uskutočnila nemecká poisťovňa HDI Versicherungen, ukázal, že 53 % malých a stredných podnikov sa už stalo terčom kybernetického útoku. Tento údaj však neodráža celý rozsah útokov, ale dokumentuje len tie incidenty, ktoré spoločnosti verejne priznali.

Tento dojem potvrdzuje aj nemecká štúdia "Gothaer SME Study 2024", podľa ktorej kybernetická kriminalita predstavuje najväčšie riziko pre 48 % MSP. Podľa tejto štúdie 37 % malých podnikov tiež očakáva, že riziko, že sa stanú obeťou kybernetického útoku, sa v nasledujúcich dvanástich mesiacoch ešte zvýši. Do tohto počtu nie sú zahrnuté tie riziká informačnej bezpečnosti, ktoré vôbec nepochádzajú zo siete, ale majú interný, väčšinou osobný charakter a v kontexte komplexnej informačnej bezpečnosti zohrávajú významnú úlohu.

ISO 27001 pre malé podniky

Ako osoba zodpovedná za bezpečnosť informácií (ISO) a ochranu údajov v malej alebo strednej firme máte v súčasnosti sotva na výber: musíte zabezpečiť bezpečnosť citlivých údajov a informácií. Nejde pritom len o bezpečnosť informačných technológií. Do úvahy treba brať aj štrukturálne opatrenia, organizačné postupy a procesy a personálne požiadavky. Aj ľudský faktor zohráva v informačnej bezpečnosti ústrednú úlohu a musí sa primerane zohľadniť.

Zlatým štandardom pre systematickú informačnú bezpečnosť je medzinárodná norma ISO/IEC 27001. Poskytuje stanovený testovací základ a usmernenia na implementáciu systémov riadenia informačnej bezpečnosti (ISMS) - pre spoločnosti bez ohľadu na ich organizačnú štruktúru, zameranie alebo veľkosť. Príloha A novej normy ISO/IEC 27001:2022, ktorá sa vo svojej aktualizovanej podobe zaoberá všetkými aspektmi informačnej bezpečnosti, od organizačných opatrení cez personálne a fyzické opatrenia až po technické bezpečnostné opatrenia, ponúka dobrý úvod pre malé spoločnosti.

Lepšia bezpečnosť IT pre malé a stredné podniky vďaka novým kontrolným mechanizmom

Už len vďaka pragmatickej povahe prílohy A je norma ISO 27001 dobrou voľbou pre malé spoločnosti. Obsahuje celkovo 93 opatrení (kontrol) informačnej bezpečnosti, z ktorých 11 bolo novo zavedených pri poslednej aktualizácii v roku 2022.

Nové kontroly sa zameriavajú predovšetkým na bezpečnosť údajov a štruktúr v digitálnej oblasti, a tak ponúkajú cenné usmernenia, ktoré môžu výrazne zlepšiť informačnú bezpečnosť malých a stredných podnikov. Tu je prehľad niektorých nových prvkov a spôsobov, ako ich môžu malé spoločnosti využiť:

• 5.7 Spravodajstvo o hrozbách, 8.16 Monitorovanie aktivít, 8.23 Filtrovanie webových stránok
  Tieto kontrolné mechanizmy na odhaľovanie, prevenciu a včasné rozpoznanie kybernetických útokov môžu mať pre malé a stredné podniky takmer existenčný význam z hľadiska bezpečnosti a riadenia kontinuity podnikania. Malé podniky sú nielen zraniteľné voči kybernetickej kriminalite z dôvodu ich obmedzených zdrojov, ale v prípade ransomvéru sa môžu rýchlo dostať do bodu všeobecnej platobnej neschopnosti.

• 5.23. Bezpečnosť informácií pri využívaní cloudových služieb
  Keďže MSP často využívajú externé cloudové služby, je obzvlášť dôležité zaviesť vhodné procesy na získavanie, využívanie, správu a ukončenie cloudových služieb. Opatrenie zohľadňuje aj zodpovednosť medzi poskytovateľom cloudových služieb a organizáciou využívajúcou cloudové služby za primeranú bezpečnosť cloudu.

• 5.30 Pripravenosť IKT na kontinuitu podnikania
  Kontinuita podnikania je nevyhnutná aj pre malé podniky ako súčasť niekedy hlboko integrovaných dodávateľských reťazcov a na udržanie finančných strát na minimálnej úrovni. Kontrola "Pripravenosť IKT na kontinuitu podnikania" pomáha vytvoriť vhodnú organizačnú štruktúru pre prípad incidentu a plány kontinuity IKT vrátane postupov reakcie a obnovy.

• 8.9. Riadenie konfigurácie
  Vysoko výkonná a bezpečná prevádzka moderných IT prostredí závisí do veľkej miery od správnej konfigurácie všetkých zapojených systémov, komponentov a aplikácií. Dobrá vec pre IT bezpečnosť malých spoločností: Po konfigurácii sa monitorovacie procesy môžu z väčšej časti realizovať automaticky, čím nevznikajú takmer žiadne dodatočné náklady na personál. Bezpečné riadenie konfigurácie v informačných technológiách patrí do oblasti technologických alebo technických opatrení.

• 8.10 Vymazávanie informácií, 8.11 Maskovanie údajov, 8.12 Zabránenie úniku údajov
  Malé a stredné podniky si často vytvárajú medzeru na trhu vďaka svojim jedinečným odborným znalostiam. Tieto špeciálne znalosti sú kľúčom k ich úspechu, a preto sa ich oplatí chrániť. Technické opatrenia v oblasti informačnej bezpečnosti pomáhajú spoločnostiam predchádzať nežiaducim únikom a strate údajov a minimalizovať priestor na útok hackerov a priemyselnú špionáž.

Kontrolné mechanizmy uvedené v prílohe A normy ISO 27001 majú pre malé a stredné podniky veľký význam, najmä vo svetle pripravovanej smernice NIS 2 pre priemyselnú kybernetickú bezpečnosť v EÚ.

NIS2: Prečo musia MSP posilniť svoju informačnú bezpečnosť

Európska únia zverejnila novú verziu smernice o bezpečnosti sietí a informácií (NIS) koncom roka 2022. NIS2 kladie na spoločnosti v kritických odvetviach nové požiadavky na informačnú bezpečnosť a dotkne sa aj mnohých MSP, pokiaľ ide o ochranu údajov a IT štruktúr.

Podľa smernice NIS2 musia požiadavky spĺňať spoločnosti s 50 a viac zamestnancami a obratom 10 miliónov eur z príslušných odvetví. MSP sú spoločnosti s počtom zamestnancov do 249 a obratom do 50 miliónov eur, takže sa ich to priamo týka. Je však dôležité uvedomiť si, že aj menšie spoločnosti môžu byť nepriamo ovplyvnené smernicou NIS2 prostredníctvom dodávateľského reťazca, t. j. ako dodávatelia dotknutej spoločnosti. Pri implementácii v jednotlivých krajinách, ktorá nadobudne účinnosť 17. októbra 2024, sa tieto limity môžu posunúť aj smerom nadol.

MSP už neostáva veľa času na prípravu na nové požiadavky. Dobrá správa: s normou ISO 27001 môžu malé spoločnosti urobiť veľký krok správnym smerom, pretože norma už pokrýva veľkú časť (približne 95 %) požiadaviek NIS 2.

Bezpečnosť informácií pre malé a stredné podniky - záver

Vzhľadom na súčasné scenáre hrozieb by aj malé a stredné podniky (MSP), orgány verejnej správy a samosprávy mali zaviesť systém riadenia informačnej bezpečnosti v súlade s medzinárodne uznávanou normou ISO 27001 a zvážiť certifikáciu. Výhodou účinného systému riadenia je nielen komplexný a podrobný katalóg požiadaviek, ale aj - a to je pre MSP obzvlášť zaujímavé - výslovne prakticky orientovaná príloha A, ktorá v novom vydaní z roku 2022 uvádza 93 bezpečnostných opatrení (kontrol) v štyroch kapitolách.

Pokiaľ ide o bezpečnosť informácií pre MSP, nielenže sa zvyšuje potreba zaviesť a certifikovať plnohodnotný ISMS v súlade s normou ISO 27001, stačí sa pozrieť na NIS-2, ale v niektorých prípadoch sa zásadne zmenili aj štrukturálne požiadavky. Je to preto, že mnohé MSP už dnes majú certifikovaný systém riadenia kvality v súlade s normou ISO 9001, čo znamená, že základy integrovaného systému riadenia spolu s normou ISO 27001 sú už vytvorené, čo šetrí čas, personál a náklady. Norma ISO 27001 pre malé spoločnosti je teda na dosah.

V dobrých rukách so spoločnosťou DQS

Naše certifikačné audity vám zabezpečia prehľadnosť. Holistický, neutrálny externý pohľad na ľudí, procesy, systémy a výsledky ukazuje, aký efektívny je váš systém riadenia a ako je implementovaný a riadený. Je pre nás dôležité, aby ste náš audit nevnímali ako skúšku, ale ako obohatenie vášho systému riadenia.

Náš prístup sa vždy začína tam, kde sa končia kontrolné zoznamy auditu. Pýtame sa konkrétne "prečo", pretože chceme pochopiť dôvody, prečo ste si zvolili konkrétny spôsob implementácie. Zameriavame sa na potenciál zlepšenia a podporujeme zmenu pohľadu. Tento dôkladný prístup vám zaručí, že identifikujete oblasti, v ktorých je možné neustále zlepšovať váš systém riadenia.

Tip na čítanie: Zdokumentované informácie

Rýchlosť, s akou sa informácie distribuujú a spracúvajú, je v dnešných organizáciách veľkou výzvou. Rozmanitosť informácií čoraz viac sťažuje identifikáciu kľúčových informácií, ktoré sú relevantné pre organizáciu a jej systém riadenia.

Využívanie moderných komunikačných prostriedkov na kontrolu dokumentovaných informácií zároveň prináša úplne nové aspekty. Dostupnosť, integrita a dôvernosť sú preto čoraz dôležitejšie. So zvyšujúcim sa stupňom dostupnosti sa však znižuje bezpečnosť informácií, ak sa neprijmú vhodné ochranné opatrenia.

Dôvera a odbornosť

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, obráťte sa na nás.