fbpx

Twoje dane są u nas bezpieczne. Czyli jak uzyskać certyfikat ISO 27001.

Certyfikat ISO 27001 – czyli międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji – wraz ze wzrostem świadomości w organizacjach odnośnie wartości informacji oraz rozpowszechnieniem modelu pracy hybrydowej, jeszcze bardziej zyskał na znaczeniu. Jakich obszarów dotyczy, na ile skomplikowane jest wdrożenie go w firmie i dlaczego warto to zrobić?

  • Klienci z coraz większą uwagą podchodzą do kwestii bezpieczeństwa danych. Wdrożenie normy ISO 27001 jest dla nich jasnym sygnałem potwierdzającym najwyższy standard zabezpieczeń stosowanych w naszej organizacji.
  • Wdrożenie normy ISO 27001 jest przedsięwzięciem dość czasochłonnym, w Colliers cały proces zajął dwa lata.
  • Najlepszym sposobem na ocenę wszystkich aspektów złożonego problemu bezpieczeństwa w organizacji jest multidyscyplinarność zespołu ds. ISO.

Międzynarodowy standard ISO 27001 wskazuje obszary wymagające szczególnej uwagi oraz cyklicznego monitorowania i wprowadzania usprawnień w obszarze zarządzania bezpieczeństwem informacji. Jego zakres jest szeroki – od fizycznego dostępu do biura i serwerowni, cyfrowego dostępu do zasobów organizacji, przez ocenę dostawców, po klasyfikację informacji i ochronę danych osobowych. W dobie powszechnej digitalizacji, rola tego aspektu funkcjonowania organizacji staje się coraz ważniejsza.

ISO krok po kroku

Wdrożenie normy ISO 27001 jest przedsięwzięciem dość czasochłonnym, nie tylko ze względu na złożoność procedur, ale również wprowadzenie ich w życie – podnoszenie świadomości pracowników i ich przeszkolenie, testy i udoskonalenia. W Colliers cały proces zajął dwa lata. Prace zaczęły się na pół roku przed wybuchem pandemii. Nie było to rzecz jasna budowanie systemu od fundamentów: większość procesów i rozwiązań wymaganych przez normę ISO już od lat przyjętych było w firmie i z powodzeniem funkcjonowało jako stadardowe praktyki. Polityka bezpieczeństwa obejmowała zarówno zasady zachowania w sieci, jak i regułę czystego biurka, kwestie wyposażenia – zamykane kodami szafki indywidualnych użytkowników i zespołów, kontrolowany obieg dokumentów, czy kształtowanie świadomości zagrożeń wśród pracowników.

Procedury trzeba jednak jasno opisać, uporządkować i połączyć w spójny system. W tym celu powołany został zespół ISO, w którym współpracowali przedstawiciele różnych działów –  od IT, przez Compliance i HR, po dział prawny oraz reprezentację zarządu. Ta multidyscyplinarność jest najlepszym sposobem na ocenę wszystkich aspektów złożonego problemu bezpieczeństwa. Celem zespołu było  usprawnianie obecnych i wdrażanie kolejnych rozwiązań, oraz edukowanie pracowników poprzez spotkania informacyjne, szkolenia, newslettery, czy konkursy z nagrodami.

Strategia

Zależało nam na tym, aby zarządzanie bezpieczeństwem informacji stało się integralną częścią naszego podejścia do funkcjonowania organizacji. W Colliers proces certyfikacji postępował sprawnie dzięki powiązaniu ISO 27001 z firmową strategią ESG. Zapewnienie bezpieczeństwa danych zawsze było priorytetem; wobec rozwoju technologicznego koniecznością stało się systemowe podejście do tego aspektu. Również klienci z coraz większą uwagą podchodzą do kwestii bezpieczeństwa danych. Wdrożenie normy ISO 27001 jest dla nich jasnym sygnałem potwierdzającym najwyższy standard zabezpieczeń stosowanych w naszej organizacji. Ułatwia to i skraca czas negocjacji, eliminując konieczność szczegółowego omawiania przyjętych rozwiązań – certyfikat ISO to silna, międzynarodowa marka.

Łowienie haseł

Nawet najlepsze cyfrowe zabezpieczenia nie pomogą, jeśli słabym ogniwem okaże się użytkownik. Dlatego od samego początku priorytetem zespołu ISO była edukacja. Cyberprzestępcy sięgają po nowe metody, podszywając się pod kontrahentów albo zaufane strony, kopiując sformułowania i grafikę, by uzyskać łudząco znajomy efekt i uzyskać hasła oraz dane dające dostęp do zasobów organizacji. Phishing staje się coraz bardziej wyrafinowany. W tej sytuacji najlepszą ochroną przed próbami wyłudzenia informacji jest uświadamianie pracowników. W naszym przypadku najlepiej sprawdzają się działania niestandardowe, na przykład przygotowane przez dział IT kontrolowane „ataki phisingowe”, które należy rozpoznać i zgłosić. Taka praktyczna nauka o wiele silniej działa na wyobraźnię, niż tradycyjne szkolenia i jest ich cennym uzupełnieniem.

ISO 27001 – dlaczego warto?

Wdrożenie międzynarodowego standardu to oczywiście potwierdzenie jakości systemu zarządzania bezpieczeństwem danych, ale nie tylko. To także znakomity sposób na sprawdzenie kompleksowości przyjętych w firmie rozwiązań, uszczelnienia ewentualnych luk w zabezpieczeniach. To również impuls do dalszych, ciągłych udoskonaleń. Stała analiza incydentów bezpieczeństwa i coroczne kompleksowe badanie ryzyka wymuszają dyscyplinę i podążanie za wciąż rosnącymi wymaganiami w zakresie bezpieczeństwa. Klienci i kontrahenci zdają sobie z tego sprawę, a certyfikat jest dla nich potwierdzeniem najwyższego poziomu usług.

Przeczytaj także: Biurko dla robota? Czyli jak wygląda automatyzacja w praktyce.